Gehackte SAP-Systeme: "Die Angriffstaktiken werden immer perfider"
Ransomware auf dem Client kennt man, nun "frisst" sich Malware "bis zum SAP-Stack", warnt Christoph Nagy von SecureBridge. Die Folge: Systeme, Schnittstellen und das Berechtigungsmanagement müssen gehärtet werden, so Tobias Kübler, Leiter SAP beim Systemhaus SVA. Was genau zu tun ist, beschreiben die Manager im CRN-Interview.
SAP-Sicherheitsspezialist SecurityBridge und das Systemhaus SVA System Vertrieb Alexander haben vor einigen Wochen eine Partnerschaft abgeschlossen, um "gemeinsam eine sichere Zukunft für SAP-Kunden zu schaffen", wie es hieß. Der Hintergrund: Cyberangriffe häufen sich und viele deutsche Unternehmen sind ihnen bereits zum Opfer gefallen. Dabei sind immer mehr auch zentrale Unternehmensanwendungen wie SAP im Visier der Kriminellen. Worauf es hier jetzt besonders ankommt, erklären Tobias Kübler, Head of Business Line SAP der SVA und Christoph Nagy, Geschäftsführer der Sicherheitsspezialisten SecureBride.
CRN: SVA setzt mit mehr als 2.900 Beschäftigten an 27 Standorten künftig im Bereich SAP auf die Sicherheitsplattform SecurityBridge. Warum braucht es einen Third-Party-Spezialisten, um SAP-Systeme zu schützen?
Tobias Kübler: Das liegt schlicht und ergreifend an der sich verändernden Sicherheitslage. SAP-Systeme sind heute viel stärker im Visier von Kriminellen als noch vor wenigen Jahren. Trotzdem verlassen sich noch immer viele SAP-Kunden in puncto technischer Sicherheit auf die Bordmittel von SAP. Oft wird nur stichpunktartig geprüft. Dies reicht heute aber eben nicht mehr aus, denn die Anzahl der Cyberangriffe gerade auch auf geschäftskritische Systeme wie SAP ist in Deutschland in der letzten Zeit signifikant angestiegen. Damit wachsen auch das Bewusstsein der Unternehmen für SAP-Sicherheit und der Bedarf nach entsprechenden Security-Lösungen. Hier können automatisierte und damit regelmäßige Prüfungen und Überwachungen helfen und die Reaktionszeiten verkürzen.
Gibt es Angriffsvarianten, die derzeit besonders en vogue bei Kriminellen sind?
Christoph Nagy: Neben Phishing und Social Engineering ist Ransomware in breit angelegten Angriffswellen seit einiger Zeit ein Nummer-1-Thema, von dem alle Unternehmen betroffen sind. Inzwischen gibt es sogar Ransomware, die dediziert für SAP geschrieben wurde. Wir stellen immer häufiger fest, dass sich Ransomware bis zum SAP-Stack frisst. Früher nur auf dem Client, ist sie inzwischen auch immer mehr auf den Server-Betriebssystemen ein Prob-lem. Und sobald sie dort ankommt, ist auch SAP betroffen.
Die Angriffstaktiken werden immer perfider, weil die Ransomware-Angreifer nicht nur Daten verschlüsseln, sondern auch stehlen. Anschließend wird damit gedroht, sie an Interessenten weiterzugeben oder in breiter Masse zu streuen. Ein Blick in die Tagespresse zeigt zahlreiche Fälle prominenter Unternehmen. So meldete TechCrunch zuletzt, dass 10TB Daten mitunter aus dem SAP Backoffice des Speicherhersteller Western Digital in die Hände von Angreifern geraten sind.
Kübler: Die Angst vor Verschlüsselung, Verlust oder Veröffentlichung von Daten sehen auch wir zunehmend bei Kunden, die uns bitten, ihre SAP-Systeme und -Schnittstellen auf deren Sicherheit hin zu prüfen. Dabei betrachten wir die unterschiedlichen Schichten, die zu einem SAP-System gehören, angefangen von der Infrastruktur bis hin zum Application Layer.
Das Bewusstsein, die Systeme sicherer zu machen, nimmt stetig zu. Bemerkbar macht sich dies in der steigenden Nachfrage nach Sicherheitsplattformen, wie wir sie bei SecurityBridge registrieren. Es gilt, die entsprechenden Anomalien auf SAP-Applikationsebene frühzeitig zu erkennen. Anzeichen können häufige Anmeldefehler, hochfrequente Zugriffe und Datenabflüsse sein. Hier schafft eine Sicherheitsplattform Transparenz.
Künstliche Intelligenz im Bereich generativer Sprachmodelle hat das Potenzial, auch die SAP Threat Intelligence zu beeinflussen - also die Art und Weise, wie Security-Verantwortliche evidenzbasierte Informationen über Cyber-Angriffe organisieren und analysieren. Was sehen Sie davon schon in der Praxis?
Kübler: Der Einsatz generativer KI für SAP Security könnte sicherlich ein nächster wichtiger Schritt werden, um der steigenden und vielfältigen Zahl an Angriffsversuchen auch in Zukunft beizukommen. Jedoch sehen wir dies momentan in unseren SAP-Kundenprojekten noch nicht auf der Tagesordnung. Aber was nicht ist, kann ja noch werden. Da hilft uns natürlich auch, die SecurityBridge als passenden Lösungspartner an der Seite zu haben.
Nagy: Derzeit nutzt unsere Lösung statistisches Lernen, um auf Verhaltensanomalien im System hinzuweisen. Dies ist keine künstliche Intelligenz, es handelt sich vielmehr um statistische Erhebungen, die als Grundlage genutzt werden, um Abweichungen von etablierten Verhalten zu entdecken. Künstliche Intelligenz wird in der Cybersicherheitsbranche eine wichtige Rolle spielen, leider sowohl auf Seiten der Angreifer als auch der Verteidiger. Daher pilotiert unser Engineering-Team die Anomalie-Erkennung über APIs zu KI-Frameworks. Die ganze KI-Thematik ist ja dialektisch: Ebenso wie wir neue Techniken einsetzen, verwenden Kriminelle sie für ihre ganz eigenen Zwecke. KI-Modelle werden durch Lernen trainiert, ob in guter oder böser Absicht. Als Sicherheitshersteller muss man dieses Feld mit Argusaugen betrachten und genau das tun wir.
Im Zuge der neuen S/4HANA-Produktgeneration sollen Erweiterungen zum ERP-System nach Vorstellungen von SAP künftig ausschließlich auf deren neuer "Business Technology Platform" (BTP) stattfinden. Was bedeutet das für die Sicherheit von SAP-Systemen?
Nagy: Als neue Entwicklungsumgebung für SAP-Kunden bietet BTP ungeahnte Variationsmöglichkeiten. Es herrscht eine Art Wilder-Westen-Aufbruchstimmung. Von Governance, festen Strukturen und Best Practices ist noch wenig zu sehen und das ist aus Gesichtspunkten der IT-Sicherheit heraus erst einmal gefährlich. Es gibt Kunden, die von heute auf morgen, ohne vorherige Prüfung (Wer darf was? Ist das not-wendig? etc.), zahlreiche BTP-Tenants an ihr Produktivsystem angeschlossen vorfinden. Oft ist dabei überhaupt nicht geklärt, wo die Verantwortlichkeiten liegen, ob alle Tenants produktiv genutzt werden und was die einzelne fachliche Anforderung dahinter ist.
Kübler: Da die SAP BTP zukünftig integraler Bestandteil in jeder SAP-Kundenlandschaft sein wird, bedeutet dies auch wiederum, dass spätestens dann hybride Landschaften bei den meisten Kunden Einzug erhalten. Damit kommen Sicherheitsaspekte zum Tragen: hinsichtlich der Anbindung der Systeme an die SAP BTP (bspw. auf den unter-schiedlichen Hypervisors) und hinsichtlich der Authentifizierung, Identity Provider und den Berechtigungen. Nicht zu vergessen die Verwaltung der Global- und Subaccounts für die Tenants auf der SAP BTP. Gerade hier gibt es oftmals Wissenslücken, wer für die Sicherheit in welchem Rahmen zuständig ist.
Welchen grundlegenden Tipp geben Sie SAP-Anwenderunternehmen an die Hand, wie dem Thema Security am besten begegnet werden sollte?
Kübler: Unsere wichtigste Botschaft für SAP-Kunden lautet: Um dem ständig wachsenden Angriffsrisiko entgegenzuwirken, müssen sie in allen Sicherheitsdomänen im SAP-System für einen kontinuierlich steigenden Reifegrad sorgen: bei der Angriffserkennung, der Härtung der Systeme, dem Patching und im Code Vulnerability Management (Custom Code Bereich). Man kann und muss nicht überall perfekt sein. Mit diesem Anspruch plant man sogar oft zu viel und setzt zu wenig in die Tat um.
In der Praxis ist dieser Reifegrad in den Domänen jedoch eher heterogen. Wir registrieren vor allem zwei große Themen mit Optimierungsbedarf: die technische Sicherheit von Systemen und Schnittstellen und das Thema Berechtigungen. Hier müssen wir als Dienstleister die Anforderungen des Kunden erst einmal verstehen, was er wie und wann plant einzuführen und wie dies mit einem -hoffentlich schon bestehenden Sicherheitskonzept in Einklang zu bringen ist. Die Erhöhung des Reifegrads ist dann ein kontinuierlicher Prozess, der auf mehreren Ebenen stattfindet. Gutes Systemhärtung bei gleichzeitig offenen Flanken im Custom Code hilft hier gar nichts; die Kette ist nur so stark wie ihr schwächstes Glied.
Nagy: Und es kommt natürlich darauf an, getrennte Silos in den Unternehmen zusammenzuführen. Die SAP-Organisation ist so ein Silo, da sie oftmals separat neben der IT-Security-Organisation agiert. Selbst innerhalb der SAP-Community gibt es Silos: hier die Basis, dort die Entwicklung. Diese Bereiche müssen im Sinne einer übergreifenden Security Operation einfach viel besser zusammenarbeiten. Teamplay ist hier eine echte Herausforderung. Ohne dies hat man professionellen Cyber-Kriminellen heute einfach zu wenig entgegenzusetzen.
Herr Kübler, Herr Nagy, vielen Dank für das Gespräch.