Sichere Systeme durch die SAP-Sicherheitsüberprüfung mit XAMS

Hinter der Gewährleistung der Sicherheit von SAP-Systemen verbergen sich viele Anforderungen an die Systemeinstellungen und dem enthaltenen Berechtigungskonzept, sodass sich der IST-Zustand oftmals vom SOLL-Zustand unterscheidet. Darüber hinaus kann die Zugriffseinschränkung auf sensible Daten durch ein historisch gewachsenes Rollenkonzept ohne SU24-konforme Pflege nicht mehr sichergestellt werden. Bei vielen Unternehmen bedarf es deshalb einer ganzheitlichen Sicherheitsüberprüfung der SAP-Landschaft, bei der diverse sicherheitsrelevante Analysen in Bezug auf Systemeinstellungen, Eigenentwicklungen sowie Rollen und Benutzer durchgeführt werden.

Herausforderung bei der Sicherheitsüberwachung von SAP-Systemen

Die Sicherheitsanforderungen von SAP-Systemen stehen aufgrund von wechselnden Anforderungen durch die Fachbereiche, wie auch durch gesetzliche Vorschriften, im ständigen Wandel. Diese Dynamik spiegelt sich oftmals auch in den SAP-Systemen von Unternehmen wider, sodass ein negatives Delta zwischen dem geforderten SOLL-Zustand laut Sicherheitskonzept und dem IST-Zustand der Systeme vorliegt. Da ein SAP-System viele verschiedene Angriffsoberflächen bietet, ist es umso schwerer diese Gefahrenzonen zu identifizieren und gezielt zu kontrollieren.

Außerdem kommt es oftmals aufgrund der historischen Entwicklung der Rollen und der damit nicht einhergegangen SU24-konformen Wartung zu einer starken Ausweitung der Berechtigungen der aktiven Benutzer. Dies kann weitverbreitet zu kritischen und unerwünschten Zugriffen auf sensible Daten im SAP-System führen.

Umsetzung durch Xiting mithilfe der XAMS

Um diese Schwachstellen in Ihrem System zu ermitteln und zu analysieren, werden bei der Sicherheitsüberprüfung neben der Analyse der grundlegenden Systemeinstellungen und -parameter mit SAP-Bordmitteln Tools aus der Xiting Auhtorizations Management Suite (XAMS) verwendet. Primär kommen dabei die im folgenden erwähnten Tools aus der XAMS zum Einsatz, um Ihre Systemeinstellungen, Eigenentwicklungen, Rollen und Benutzer zu analysieren.

Überprüfung der Systemeinstellungen 

Bei der Überprüfung der Systemeinstellungen werden gezielt mögliche Schwachstellen und Angriffsoberflächen Ihres SAP-Systems überwacht. Diese Sicherheitsüberprüfungen lassen sich zentral von einem System mithilfe des Security Architects verwalten und auswerten. Xiting bietet mit diesem Tool vordefinierte, sicherheitsrelevante Prüfungen, die auf Basis von gesetzlichen Anforderungen und dem DSAG-Prüfleitfaden berücksichtigt werden. Der Prüfumfang des Security Architects umfasst diverse Prüfungen die folgende Bereiche aus Ihrer Systemlandschaft abdecken:

  • Benutzerverwaltung
  • Berechtigungen
  • Rollenverwaltung
  • Systemeinstellungen
  • Systemsicherheit

Eine Überprüfung der Systemeinstellungen zielt beispielsweise auf die Parameter von Passworteinstellungen ab. 

Die Analyse der Passworteinstellungen wird anhand eines Ampelverfahrens ausgegeben, um schnell einen Überblick über den IST- und SOLL-Zustand Ihrer Parametereinstellungen zu erhalten.

In diesem Beispiel ist nun ersichtlich, dass viele Passworteinstellungen nicht unserer Best-Practice-Empfehlung entsprechen. Dieser IST-Zustand kann potentiellen Angreifern den Systemzugang z.B. über eine Brute-Force-Methode ermöglichen. Bei dieser Angriffsmethode werden verschiedene Buchstabenfolgen oder Zeichenketten automatisiert auf das System ausprobiert, um Kennwörter bzw. SAP-Zugänge zu kompromittieren. Deshalb bedarf es eine Überarbeitung der Parameter für unter anderem die Mindestanzahl an Zeichen, die im neuen Kennwort im Vergleich zum alten anders sein müssen oder auch die Mindestlänge des Kennworts, die vom Wert „6“ auf „7“ angepasst werden sollte. 

Analyse von Eigenentwicklungen

Da auch Eigenentwicklungen Auswirkungen auf die Sicherheit eines SAP-Systems haben, stehen ebenfalls selbstentwickelte Programme im Fokus der Sicherheitsüberprüfung, die mittels des ABAP Alchemists analysiert werden. Die Gefahr bei Eigententwicklungen liegt beispielsweise in der Außerkraftsetzung von SAP-Schutz- und Logfunktionen. So kann es wie in diesem Beispiel zu fehlenden Änderungsbelegen kommen, da SAP-Standardtabellen durch direkte Änderungen mittels DELETE, UPDATE oder MODIFY modifiziert werden.

Um direkte Änderungen an den SAP-Standardtabellen zu verhindern, sollten daher auch in Eigenentwicklungen die vorgesehenen APIs bzw. Transaktionen verwendet werden. Zur Unterstützung bei der Suche nach konkreten APIs kann daher der API-Finder des ABAP Alchemists genutzt werden.

Qualitätskontrolle der aktiv zugewiesenen Rollen

Da die Rollenqualität im Allgemeinen und die Ausprägung von Berechtigungsobjekten im Speziellen großen Einfluss auf schutzrelevante Daten haben, werden mit dem Role Profiler diverse rollenbezogene Qualitätsanalysen durchgeführt.

Insebsondere die Analyse auf manuelle Berechtigungsobjekte innerhalb der Rollenprofile stellt sich als äußerst wichtig dar, da durch das Hinzufügen von manuellen Objekten kein Verwendungsnachweis zu einer Transaktion exisitiert. Dies kann ungewollt zu kritischen Folgen führen da der vergebene Zugriff durch die betroffenen Rollen nicht mehr nachvollziehbar ist. Somit kann nicht mehr sichergestellt werden, dass unautorisierte Benutzer keinen Zugriff auf sensible Daten erhalten. Zusätzlich zu manuell eingefügten Berechtigungsobjekten prüft der Report nochmals gesondert per Ampelverfahren auf die folgenden Startberechtigungsobjekte:

  • S_TCODE (Transaktionen)
  • S_RFC (RFC-Zugriff)
  • S_SERVICE (exterene Services)
  • S_START (TADIR-Objekte)

Die rote Ampel in der letzten Zeile gibt in diesem Beispiel nun Auskunft darüber, dass über das manuelle Berechtigungsobjekt S_TCODE die Transaktion SCC4 der Rolle hinzugefügt wurde.

Überprüfung der Rollen und Benutzer durch CRAF-Regelwerk

Ergänzend zur Analyse der Qualität Ihrer Rollen in Bezug auf bspw. manuelle/veränderte Berechtigungen oder Vollzugriffen (*-Ausprägungen), wird bei der SAP-Sicherheitsüberprüfung ein weiterer Fokus auf kritische Berechtigungen und SoD-Konflikte (Segregation of Duties, Funktionstrennung nach dem 4-Augen-Prinzip) der Rollen gesetzt. Hierzu hat die Xiting ein eigenes Regelwerk aufgesetzt, wogegen Sie Ihre Rollen und auch Benutzer auf kritische Berechtigungen überprüfen lassen können. Dieses Regelwerk beruht auf dem DSAG-Prüfleitfaden und den Erfahrungswerten der Xiting. Im Rahmen der Sicherheitsüberprüfung erhalten Sie also eine schriftliche Auswertung über den Zustand Ihrer Rollen und die damit vergebenen (kritischen) Berechtigungen an die Benutzer. Die Auswertung gegen das CRAF-Regelwerk (Critical Authorization Framework) wird in Form eines Excel-Exports von uns vervollständigt und spiegelt den aktuellen Zustand Ihrer Rollen und Benutzer in Hinsicht auf kritische Berechtigungen, Berechtigungskombinationen und Zugriffsrechte wider.

Analyse Ihrer Berechtigungsdokumente

Neben den grundsätzlichen Systemparametern und der Überprüfung von Rollen und Benutzer, werden im Kontext der Sicherheitsüberprüfung auch die bestehenden Berechtigungskonzepte für die SAP-Systemlandschaft geprüft.

Ein Berechtigungskonzept muss bestimmte Kriterien erfüllen, damit es den gesetzlichen Bestimmungen, regulatorischen Standards sowie die Erfüllung unternehmensspezifischer Normen sicherstellt. So sollte unter anderem eine Namenskonvention für Benutzer und Rollen, die Berechtigungsvergabe bei Schnittstellen (RFC), der Umgang im Entwicklerschlüssel in SAP ERP oder die Konfigurationsvorgaben für das Security Audit Log ausführlich dokumentiert sein. Ebenso ist die Dokumentation eines Notfallbenutzerkonzepts und der Umgang mit High-Privileged-Usern von Bedeutung, da nur ein strukturiertes Notfallkonzept unter Verwendung nicht personalisierter Benutzerkennungen die Transparenz in Bezug auf Geschäftsvorfälle gewährleisten kann. Zusätzlich zum Notfallbenutzerkonzept sind auch Administratoren aufgrund der oftmals starken Berechtigungen im Fokus der Revision, sodass ein High-Privileged-User-Konzept ein weiterer Bestandteil des Berechtigungskonzepts sein muss.

Fazit

Der Service zur SAP-Sicherheitsüberprüfung berücksichtigt alle sicherheitsrelevanten Bereiche Ihrer SAP-Systemlandschaften und gibt den aktuellen Zustand Ihrer Systeme in Form eines detaillierten Sicherheitsberichts und CRAF-Exporten wieder. Hierbei werden explizit Systemeinstellungen wie unter anderem die Passwortparameter überprüft, um mögliche Angriffsoberflächen weitestgehend nach Best-Practice-Vorgaben zu schützen. Ebenso stehen Eigenentwicklungen im Fokus der Überprüfung, da bei implementierten Direkt-Zugriffen auf SAP-Standardtabellen Log- und Schutzfunktionen umgangen werden können. Zusätzlich wird neben der Rollenqualität auf Rollen- und Benutzerebene geprüft, ob kritische Zugriffe zu sensiblen Daten vorhanden sind und ob SoD-Konflikte durch Ihre Rollen- und Benutzerzuordnungen zustande kommen.

Mithilfe der XAMS kann diese Analyse schon in wenigen Tagen durchgeführt werden und einen strukturierten Überblick über den Zustand des zu überprüfenden SAP-Systems geben.  Zum Abschluss des Services erhalten Sie zudem eine Ergebnispräsentation auf Managementebene durch einen erfahrenen Berater bei Ihnen vor Ort, bei der mögliche Maßnahmen zur Problemlösung und Empfehlungen von uns ausgesprochen werden. Diese Analyse kann anschließend dafür genutzt werden die identifizierten Schwachstellen zu bereinigen und mögliche Maßnahmen zu ergreifen. Außerdem können Sie im Nachgang selbstständig Prüfungen mit dem Internen Kontrollsystem (IKS) des Security Architecten einplanen, um auch in Zukunft die sicherheitsrelevanten Systemeinstellungen zu überwachen. Nutzen Sie daher unseren Service zur Sicherheitsüberprüfung Ihrer produktiven SAP-Systeme, welcher sich schon in wenigen Tagen durch den Einsatz der Xiting Authorizations Mangement Suite (XAMS) verwirklichen lässt. Informieren Sie sich auch gerne über weitere Services und Produkte von Xiting oder nehmen Sie an einem unserer kostenlosen Webinaren teil.

Steffen Lüken
Letzte Artikel von Steffen Lüken (Alle anzeigen)
Kontakt

Nehmen Sie Kontakt mit uns auf!

Haben Sie Fragen zu unseren Produkten?

+41 43 422 8803
[email protected]
+49 7656 9888 155
[email protected]
+1 855 594 84 64
[email protected]
+44 1454 838 785
[email protected]
Kontakt
Termin