SAP: Sicherheitsanalyse von SAP ERP-Umgebungen

Das Produkt SAP ERP des Softwareherstellers SAP ist die marktführende Lösung zur Abwicklung von Geschäftsprozessen wie beispielsweise Buchführung, Controlling, Vertrieb oder Personalwesen in Firmen beliebiger Größe. Darüber hinaus bietet SAP die Möglichkeiten, solche Geschäftsprozesse individuell und auf die jeweiligen Bedürfnisse eines Unternehmens abzubilden. Die aus spezifischen Anforderungen und Individualität resultierende Komplexität sowie die Kritikalität der verarbeiteten Daten schaffen zusätzlich ein sehr lukratives Ziel für eine breite Palette von Angreifern, das mit den „10KBLAZE Exploits“ im Jahr 2019 ein mediales Echo erlangte.
Deshalb sollten gerade in kritischen Umgebungen wie SAP regelmäßige Sicherheitsüberprüfungen durchgeführt werden, um beispielsweise Wirtschaftsspionage oder Sabotageangriffen vorzubeugen.

Die SySS bietet im Rahmen einer solchen Sicherheitsanalyse verschiedene Prüfszenarien bzw. Testgegenstände an, die der Komplexität der eingesetzten SAP-Softwarelösung gerecht werden:

• Berechtigungsanalyse (auf Rollenbasis, via SAP GUI/WebGUI)
• Analyse der Providing Infrastructure
• Analyse der eingesetzten Datenbankanbindung und -konfiguration
• Analyse der SAP-spezifischen Konfiguration auf Clientsystemen
• Analyse der SAP-Systemkonfiguration (inklusive z. B. SAP-Router)
• Test der eingesetzten SAP-Webapplikation(en)

Die Vorgehensweise im Rahmen der verschiedenen Testszenarien gestaltet sich in der Regel sehr unterschiedlich und ist optimal auf die jeweiligen Kundenbedürfnisse abgestimmt. Auch die eingesetzten Werkzeuge unterscheiden sich von den anderen Modulen, selbst bei der Durchführung einer Prüfung über das Internet. Beispielsweise kann es im Rahmen eines solchen Tests möglich sein, auf aktive Dienste des Internet Communication Manager (ICM) zuzugreifen. Ein Worst-Case-Szenario wäre hier eine vollständige Kompromittierung des internen SAP-Systems sowie eine Rechteeskalation und Ausweitung im internen Netzwerk.

Im Rahmen der internen Sicherheitsanalyse stehen vorrangig die System- und Konfigurationsanalyse, die Berechtigungsprüfung von unterschiedlichen SAP-Benutzerrollen sowie die Providing Infrastructure der SAP-Landschaft im Fokus. Sofern ein SAP-Router eingesetzt wird, rückt auch dieser in den Mittelpunkt der System- und Konfigurationsanalyse. Die erwähnte Berechtigungsanalyse der zur Verfügung gestellten SAP-Rollen wird in der Regel über die auf Clientsystemen zumeist installierte SAP GUI durchgeführt. Nur selten kommt eine Prüfung über die aktivierte WebGUI infrage. In der Regel werden dafür ein paar der im Unternehmen verwendeten Rollen ausgewählt. Im Rahmen dieser Prüfung werden zusätzliche spezifische Systemparameter aus sicherheitstechnischem Blickwinkel identifiziert und bewertet sowie mögliche Risiken daraus abgeleitet. Für jegliche Art der detaillierten Untersuchung benötigt die SySS in jedem Fall einen vorab bereitgestellten administrativen SAP-Benutzer.

Als weiterer wichtiger Aspekt muss der besondere Schutzbedarf der Providing Infrastructure einer SAP-Umgebung und ihrer verschiedenen Kommunikationsschnittstellen (RFC, DIAG oder SOAP) hervorgehoben werden. Die im Rahmen einer solchen Prüfung erreichbaren Dienste, wie beispielsweise das Gateway, der Message-Server, die Management Console oder auch der ICM, werden auf Aktualität und konfigurative Fehler hin überprüft. Dabei wird vorrangig nach unautorisierten Zugriffsmöglichkeiten gefahndet, mit denen auf hochkritische Unternehmensdaten, wie zum Beispiel geheime Projektinformationen oder personenbezogene Angestellten-, Kunden- oder Dienstleisterdaten, zugegriffen werden kann. Ferner werden auch die Möglichkeiten der Ausbreitung auf andere SAP-Systeme analysiert. Denn die enge Verzahnung der verschiedenen SAP-Systeme ermöglicht es einem Angreifer, von einem kompromittierten SAP-System auf weitere Systeme Zugriff zu erlangen.

Neben dem eigentlichen SAP-Applikationsserver und dessen Komponenten werden im Rahmen der Untersuchung sowohl die SAP-spezifische Konfiguration der Windows-Clients als auch die Konfiguration der eingesetzten Datenbanklösung (z. B. Oracle, MSSQL, DB2, MaxDB, SyBase sowie HANA) einer gründlichen Analyse unterzogen.

Die SySS setzt für die Durchführung dieser Testgegenstände unterschiedliche Security- und Verwundbarkeitsscanner sowie Exploit-Sammlungen ein, wie z. B. das Metasploit-Framework. Zudem werden bei Sicherheitstests im entsprechenden Kontext selbst entwickelte Softwaretools der SySS herangezogen. Darüber hinaus kommen SAP-typische Werkzeuge wie SAP GUI, SQL-Clients, PySAP, Bizploit (oder Sapyto) und weitere öffentlich zugängliche Tools zum Einsatz.