16. Sep. 2022
SAP-Security und SIEM-Integration: Durchblick mit Dashboards
Anfang Mai erneuerte der Arbeitskreis Vulnerability-Management im Rahmen der DSAG-Technologietage seine Forderung nach einem Security-Dashboard, das SAP bereits seit Jahren ankündigt. Angesichts der aktuellen Bedrohungslage ist es ratsam, nun nicht mehr darauf zu warten, zumal inzwischen Lösungen von Security-Spezialisten existieren, die zusätzlich die Integration der SAP-Security in die gesamte Sicherheitsarchitektur von Unternehmen optimieren. In puncto ganzheitliche IT-Security lohnt sich dazu ein Blick auf die Betreiber kritischer Infrastrukturen (KRITIS) und das neue IT-Sicherheitsgesetz 2.0.
Von Ralf Kempf
Unternehmen können mit geeigneten Maßnahmen dafür sorgen, dass Cyber-Angriffe abgewehrt werden oder zumindest der Schaden begrenzt wird. Von staatlicher Seite setzt hier die neue Cybersicherheitsagenda des Bundesinnenministeriums an, die zunächst vor allem eine Absichtserklärung zur Umstrukturierung für eine starke Sicherheitsarchitektur ist, während das in diesem Jahr in Kraft getretene IT-Sicherheitsgesetz 2.0 (SiG 2.0) für kritische Infrastrukturen hier bereits Tatsachen schafft. Es fordert prozessuale, direktive und reaktive Maßnahmen, unter anderem Sicherheitsüberwachung in den Systemen und Monitoring-Maßnahmen, um im Vorfeld die Härtung der Systeme nach Marktstandard durchzuführen. Und es gibt konkrete Auflagen, die Infrastruktur und Prozesse so zu definieren, dass sie prüffähig sind und alle zwei Jahre abgenommen werden können. Diese Qualität der Architektur und der Prozesse setzt ein Umdenken voraus. Man kann nicht einfach weiterverfolgen, was man immer getan hat, sondern muss konkrete Vorgaben erfüllen. Verantwortung wurde damit neu definiert und Überwachungs- und Kontrollmechanismen müssen integriert und nun in Echtzeit auswertbar sein.
SAP, eine Welt für sich
Gerade am Beispiel SAP-Systemlandschaften lässt sich verdeutlichen, dass die Vorgaben des SiG 2.0 zeitgemäß sind und auch für Non-KRITIS-Unternehmen in die richtige Richtung gehen, aber logischerweise nicht alle Schwachstellen abdecken können. Für S/4HANA etwa haben sich die Anforderungen nochmals verändert, Datenbank, User-Interface, Gateway, Applikationen und Berechtigungen sind enger zusammengewachsen, der Zugriff auf wichtige Daten ist komplexer geworden – und somit auch schwieriger zu überwachen. Das SiG 2.0 fordert ein detailliertes Business-Continuity-Planning und Desaster-Recovery-Szenarien mit dem Einsatz eines Intrusion-Detection-Systems (IDS) nach dem „neuesten Stand der Technik“ (§ 8a). Solche Systeme erkennen und konkretisieren Angriffe mithilfe von Log-Dateien, die nun nicht nur aufgezeichnet, sondern auch ausgewertet werden müssen. Damit sind Security-Information-and-Event-Management-(SIEM)-Systeme für das schnelle Identifizieren von Cyberattacken künftig unverzichtbar, wenn auch für SAP meist nicht ausreichend.
SIEM kombiniert Security-Information-Management (SIM) und Security-Event-Management (SEM), um Analysen von Sicherheitsalarmen zu erstellen. Wesentliche Aufgaben sind, Berichte über sicherheitsrelevante Vorfälle bereitzustellen und Benachrichtigungen zu senden, wenn eine Aktivität gegen vorgegebene Regelsätze verstößt. Die Analysen nutzen Regeln, Korrelationsmodelle, maschinelles Lernen und künstliche Intelligenz, um Beziehungen zwischen den Einträgen zu generieren und Auffälligkeiten zu erkennen. Leider funktioniert dieses Prinzip kaum bei SAP-Systemen, da die speziellen SAP-Protokolle und -Auswertungen nicht verstanden und folglich keine Angriffsmuster ausgemacht und erkannt werden. Klassische SIEM-Tools betrachten nicht einzelne Applikationen, sondern IT-Infrastrukturen. In den letzten Jahren wurde zwar immer deutlicher, dass man auch Applikationen einbeziehen muss, ob Microsoft Dynamics, ein Produktplanungstool oder ein SPS in der Produktion. SAP ist jedoch eher ein Netzwerk für sich, sowohl Rollen und Berechtigungen betreffend als auch hinsichtlich Security, und differiert bereits hinsichtlich Nomenklatur und Rule-Sets.
Intelligente Filterung einbinden
Ein nach wie vor erhebliches Risiko in der Sicherheitsarchitektur resultiert aus diesem mangelnden Zusammenspiel von SIEM mit SAP. Hier sind nun die SAP-Anwenderunternehmen gefragt. Ohnehin wollen laut aktuellem DSAG-Investitionsreport 2022 vier von fünf SAP-Kunden in die Verbesserung ihrer Cybersecurity investieren. Schafft man keinen Zugang zu SAP, erkennt SIEM wenig mehr als eine Art Grundrauschen von Logs mit Millionen Einträgen. Exceptions in SAP können auf Netzwerkebene unauffällig scheinen und sind nur erkennbar, wenn man die Applikation selbst betrachtet. Diese Verständnisprobleme führen oft dazu, dass das Thema SAP gar nicht erst angegangen oder stiefmütterlich behandelt wird – selbst bei Unternehmen, die hochprofessionell IT-Security betreiben, die SIEM im Einsatz haben und alle Non-SAP-Bereiche par excellence beherrschen. Für diesen sicherheitskritischen „blinden Fleck“ gibt es jedoch Lösungen, denn inzwischen existieren Möglichkeiten zur ganzheitlichen Absicherung beider Welten.
Integration in das SIEM
Spezialisierte Software-Tools können die Events aus dem Applikationslayer herausziehen und so transportieren und übersetzen, dass SIEM-Netzwerker damit etwas anfangen können. Die Erkennung von Angriffen auf Basis von Log-Dateien und die Auswertung von Netzwerkverkehr erfordern tiefe Kenntnisse über Angriffswege und -muster. Die sicherheitsrelevanten Events müssen aus der Fülle der Daten herausgefiltert und in den richtigen Kontext gestellt werden. Um diese Security-Daten auswerten und ins SIEM einbinden zu können, ist somit ein intelligentes Management aller Informationen notwendig. Ein gutes Tool zur Gefahrenerkennung analysiert daher nicht nur SAP-Protokolle, sondern integriert auch Konfigurations- und Rollenanalysen, speist diese Informationen aus SAP praktisch „out of the box“ in bestehende SIEM-Systeme aller Couleur ein und macht sie auswertbar. Durch ihre Integration mit dem SIEM-Tool können dann alle sicherheitsrelevanten Vorfälle von SAP-Landschaften mit anderen relevanten IT-Systemen konsolidiert werden.
Hier nun spielt das integrierte Dashboard eine entscheidende Rolle, es schafft zusätzlich Transparenz über alle Systeme. Nicht nur KRITIS-Unternehmen, sondern alle mit realistischem Sicherheitsbedürfnis erhalten so eine bewertete visualisierte Darstellung und Dokumentation ihres gesamten Sicherheitsstatus. Essenziell für die sofortige Umsetzung von SiG 2.0 ist also beim Beispiel SAP die Einbindung eines professionellen Security-Partners, um nicht nur die Anforderungen des neuen IT-Sicherheitsgesetzes 2.0 wirksam zu erfüllen, sondern gleichzeitig die Revisionssicherheit der SAP-Systemlandschaft zu erhöhen. Durch den Einsatz spezialisierter Software können Ableitungen der Template-Rollen je nach Organisation der Kunden realisiert werden. Im Betrieb dient sie zur Validierung der Rollen und Berechtigungen auf Sicherheit und Funktionstrennung, zur Nutzungsanalyse, weiteren Optimierung von Rollen und Berechtigungen und zum Einsatz der Notfall-User-Funktionalität für Support-Aufgaben. Gerade eine anstehende S/4HANA-Migration kann unter der Perspektive des SiG 2.0 auch als Chance genutzt werden, um die eigene IT-Sicherheit auf ein neues Level zu heben. Sie gibt etwa Gelegenheit, die alten Schnittstellen zu bereinigen und vor allem zu standardisieren – ein enormer Sicherheitsgewinn.
Visualisierung ermöglicht Sicherheit
Unternehmen versuchen häufig, bei der Schwachstellen-Erkennung anzusetzen und diese zu automatisieren. Doch diese lässt sich nicht so einfach erlernen, führt häufig zum Überlernen oder falschem Training und dann greift ein Algorithmus bei echten Bedrohungen in der Folge auch mal nicht ein. Oberste Priorität hat stattdessen, die Bereitstellung von Informationen zu automatisieren und zu optimieren. Durch die Einbindung mit einem übergreifenden SIEM-Tool können alle sicherheitsrelevanten Vorfälle von SAP ERP- und S/4HANA-Systemen mit anderen relevanten IT-Systemen konsolidiert werden. So findet SAP im SIEM Gehör und Unternehmen erhalten auf Knopfdruck eine bewertete Darstellung ihres gesamten Sicherheitsstatus in Echtzeit. Zweckgebundene Security-Dashboards bieten eine neue Qualität der Transparenz aktueller Sicherheitslagen. Zudem zeigt gerade hier ein gezielter Know-how-Aufbau für interne Security-Experten einen der größten Effekte. Denn nur wer Angriffsszenarien wirklich durchdringt, kann sie auch effektiv bewältigen. So lassen sich mit Dashboards Ergebnisse für Security-Teams nachvollziehbar visualisieren und ermöglichen die zeitnahe Identifikation von und Reaktion auf Änderungen der Bedrohungslage.
Ralf Kempf ist CTO bei Sast Solutions und Vice President ABAP Architecture bei Pathlock.
