Ungebetene Gäste: Warum lieben Hacker aus aller Welt unsere SAP Landschaften?

Prof. Dr. Sachar Paulus!Prof. Dr. Sachar Paulus!

Ungebetene Gäste: Warum lieben Hacker aus aller Welt unsere SAP Landschaften?!

Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 !Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 !

Zum Referenten!

!   Professor für IT-Sicherheit an der Hochschule Mannheim!! Davor Studiendekan Masterstudiengang „Security Management“ an der FH

Brandenburg …!!   … und Forschungsprofessor durch EU-FP7-Projekt „OPTET“: nachweisbar,

vertrauenswürdige Internet-Dienste!

! Freiberuflicher Berater!!   SAP-Security, sichere Software-Entwicklung, Informationssicherheits-Management-

Systeme!

! Erfahrungen!!   8 Jahre bei SAP (Director Product Management Security, Chief Security Officer)!! Davor 4 Jahre im Mittelstand als Berater und Projektmanager!


Agenda!

!   Compliance-Anforderungen an SAP!!   Hacker und SAP-Systeme!!   SAP und die Cloud!

!   Der Software-Lifecycle!

! Mögliche Gründe!! Empfehlungen!


Compliance-Anforderungen an SAP!

!   Quellen: !!   MA Risk, GoBS, IDW PS 330, KonTraG, …!!   Sarbanes-Oxley, FDA CFR, PCI DSS, …!

!   Inhalte:!!   Kritische Berechtigungen!!   Kritische Berechtigungskombinationen !!   Verschlüsselung, sichere Speicherung!!   Digitale Signatur!

Funktionale Anforderungen!Nachträgliche Lösung!Wenig Abstimmung !


Hacker und SAP-Systeme!

! Wie Hacker SAP sehen!! Sehr kompliziert, viel Know-How erforderlich, proprietär!!   Aber: wenn interessant, dann kein Problem! JUST DO IT!! Seit HANA ist das Interesse deutlich gestiegen!

! Einfallstore!!   Insider, Social Engineering, etc.!!   Web-Schnittstellen ausnutzen (z.B. SQL-Injection)!!   SAP-spezifische Angriffe (Bsp: RFC, Trusted Systems)!! Trojaner, Würmer!

Nicht-funktionale Anforderungen!Oft systemimmanent!Erfordert Abstimmung mit IT-Sec !


SAP und die Cloud!

!   SAP in der Cloud betreiben!!   Public Cloud: werden die gesetzlichen Anforderungen (z.B. Datenschutz)

erfüllt? In welcher Gerichtsbarkeit liegen die Daten? Wer darf gesetzlich dort dran?!

!   Public Cloud: sind die Risiken größer? Kommt darauf an, gegen wen man sich schützen möchte/muss!

!   Any Cloud: vertrauen Sie Ihrem Dienstleister?!!   SAP Cloud Services nutzen!

!   Das Angebot ist inzwischen recht groß…!!   …aber meist eine andere technologische Basis (Standard-Web-Technologien)!!   ==> es gelten die „normalen“ Web-Anwendungs-Risiken!


Der Software-Lifecycle!

!   Wo wird an Sicherheit gearbeitet?!! Anforderungsmanagement !! Architektur (= meist vorgegeben durch SAP)!!   Coding (speziell Customizing)!! Inbetriebnahme!! Wartung!

! Fakt: in ALLEN Phasen fehlt es an Verständnis und Kompetenz!!! Beispiel 1: Anforderungen nicht bekannt!! Beispiel 2: SAP Security Notes werden nicht eingespielt!

In JEDER Phase ist Sicherheit wichtig.!Ein Fehlen in einer Phase kann die!restlichen Maßnahmen überflüssig machen.!


Gründe!

! Fakt: SAP Sicherheit ist immer noch der „klassischen“ IT- und Informationssicherheit hinterher!

! Mögliche Gründe:!! Abkapselung des SAP-Betriebs !!   Oft rein funktionale Sicht auf Sicherheit, keine „Qualitäts“-Sicht!!   Die Botschaft „Firewalls sind nutzlos“ ist bisher nicht verstanden (= mangelnde

Awareness)!! Es passiert zu wenig (bzw. man bekommt es nicht durch Presse usw. mit, oder der

Anwender bemerkt den Angriff nicht)!! Es ist niemand verantwortlich!!   „Der Hersteller ist schuld“!! Berechtigungsmanagement ist so teuer und aufwändig, da bleibt keine Zeit für

anderes!


Empfehlungen Top-Down!

! Verantwortlichen für SAP-Sicherheit benennen!!   Das Thema braucht einen Namen und ein Gesicht!

! Entwickeln einer Sicherheitsstrategie für SAP!!   Welches Risiko bin ich selbst bereit zu tragen? Welches der SAP-Betrieb? Welches die

IT?!

! Entwickeln einer Sicherheitsarchitektur für SAP!! Welche Maßnahmen und Zusatzlösungen möchte ich? Was kann auch vom SAP Standard

übernommen werden? Wo ist mein Schwerpunkt? Wie spielen diese Lösungen zusammen? !

! Explizite Aufnahme der Sicherheitsanforderungen!! Nur wenn diese dokumentiert und in ihrer Bedeutung gewichtet sind, werden sie auch

bewusst umgesetzt!! Strategie und Architektur sollten dokumentiert und beschlossen werden!


Organisatorische Empfehlungen!

!   Zusammenarbeit mit Informationssicherheit (CISO)!!   Auflösen der „SAP-Mauer“, die Kollegen zu Komplizen machen!!   Vergleich der Risiken bringt oft Ernüchterung, aber auch Unterstützung!

!   Zusammenarbeit mit Qualitätssicherung!!   Sicherheit als Qualitätsziel etablieren und über den QS-Prozess verankern!

!   Integration der Sicherheitstests und -prüfungen in den Bestellprozess!

!   Was für Desktop-Software gilt, sollte auch für SAP-Add-Ons und Zusatzsoftware gelten!


Spezifische Empfehlungen!

! Berechtigungen!! Wichtiger als das „richtige“ Tool ist die saubere, organisatorische Vorbereitung: wer

muss was entscheiden können? !! Eine saubere Strukturierung ermöglicht oft ein deutlich einfacheres

Berechtigungskonzept!

!   Web-Sicherheit von SAP!!   Die (neuen) Web-Schnittstellen sind ein Einfallstor für Hacker und verdienen besondere

Beobachtung, speziell HANA!! Gerade dort ist eine Lösung durch Dritt-Produkte (a la „Application Level Firewall“) oft

nur bedingt hilfreich!

!   SAP Spezifisches!! Begreifen Sie SAP als „kritische Infrastruktur“: SAP-spezifische Protokolle einschränken!!! Sicheres Coding in ABAP ist essenziell!!

Technology

Ungebetene Gäste: Warum lieben Hacker aus aller Welt unsere SAP Landschaften?