Bundesamt für Sicherheit in der Informationstechnik

G 2.108 Fehlende oder unzureichende Planung des SAP Einsatzes

Wird ein SAP System ohne ausreichende Planung eingesetzt, so kann dies zu einer Vielzahl von Problemen führen. Unter anderem kommt es dabei immer auch zu Sicherheitsproblemen. Im Folgenden sind nur einige Probleme dargestellt, die jedoch deutlich machen, dass eine gute Planung vor dem Einsatz eines SAP Systems notwendig ist:

  • In einem mittelständischen Unternehmen soll ein SAP System eingeführt werden. Es wurde sich für eine Installation auf einem Rechner entschieden (Single-Host-Installation). Aus Zeitgründen wurde keine Ressourcen-Planung durchgeführt. Aus Kostengründen wurde ein Rechner aus einer Sonderaktion eines Computerherstellers beschafft. Nach der Installation zeigt sich, dass der Rechner mit zu wenig Hauptspeicher ausgerüstet ist und aufgrund von Hardwarebeschränkungen auch nicht mit viel mehr Speicher bestückt werden kann. Durch die Notwendigkeit, neue, geeignete Hardware zu beschaffen, entstehen Verzögerungen und erhebliche Mehrkosten.
  • Durch fehlende Planung der Aufgabentrennung im Rahmen des Administrationskonzeptes kann ein Administrator auf alle HR-Daten eines R/3 Systems zugreifen.
  • Die Zuständigkeiten und Abläufe für das Änderungsmanagement und das Notfallkonzept eines SAP Systems wurden nicht geplant. Daher haben Entwickler vollen Zugriff auf das Produktivsystem, da der Zugriff für "Notreparaturen unbedingt erforderlich ist". Ein Zugriff auf alle Konten- und Kreditkarten-Daten der Unternehmenskunden ist somit möglich.
  • Besitzen Personen Entwickler-Zugriffsmöglichkeiten auf produktive SAP Systeme (diese werden über das Berechtigungsobjekt S_DEVELOP vergeben), so können diese Personen die Sicherheitsmechanismen des SAP Systems unterlaufen und unberechtigt auf Funktionen und Daten zugreifen.
  • Können Transaktionen eines SAP Systems unberechtigt aufgerufen werden, so kann dies weitreichende Folgen haben. In der Regel kann dann auf Funktionen und Daten zugegriffen werden, die dem Zugreifer nicht verfügbar sein sollen. Sind administrative Transaktionen betroffen, kann die Systemsicherheit unter Umständen vollständig unterlaufen werden.
  • Bestehen für einen Angreifer Zugriffsmöglichkeiten auf der Betriebssystem-Ebene eines SAP Systems, so kann der Angreifer in die Konfiguration des SAP Systems eingreifen. So ist beispielsweise der Zugriff auf die Profil-Parameter möglich, durch die unter anderem auch die Zugriffsbarrieren reduziert werden können (z. B. Kontosperr-Einstellungen). Für den Java-Stack kann auf Konfigurationsdateien zugegriffen werden, die dann modifiziert werden können. Dadurch kann die Sicherheit drastisch reduziert sein. Ist der Rechner, auf dem die Datenbank des SAP Systems läuft, betroffen, können die Datenbankinhalte auch sehr einfach durch Datei-Kopien erlangt werden. Die Sicherheitsmechanismen des SAP Systems werden damit unterlaufen.
  • Standardinstallationen sind in der Regel nicht sofort auf die Sicherheitsanforderungen eines Produktivbetriebs ausgelegt. Werden Komponenten mit Standardkonfiguration dennoch produktiv betrieben, so ist die Gefahr groß, dass die System- und Datensicherheit gefährdet ist. Angriffsmöglichkeiten können durch verschiedene unkonfigurierte Schnittstellen entstehen und reichen von unberechtigtem Zugriff auf Funktionen und Daten bis hin zu Durchgriffen auf das Betriebssystem unter den Berechtigungen des SAP Systems.
  • Werden die (öffentlich bekannten) Standardpasswörter wichtiger Benutzer wie "SAP*" oder "DDIC" im ABAP -Stack oder "Administrator" oder "System" im Java-Stack nicht verändert, so können Angreifer Administrator-Zugriffmöglichkeiten erlangen. Damit kann ein Angreifer auf alle Daten des SAP Systems zugreifen und administrative Funktionen ausführen.
  • Wird ein SAP System ausgesondert und dessen Identität (IP, SID) nicht durch ein Ersatzsystem übernommen, so kann die unvollständige Aussonderung dazu führen, dass Angreifer ein eigenes SAP System aufsetzen, das die Identität des ausgesonderten Systems übernimmt. Zugriffe anderer SAP Systeme über bestehende Destinationen werden dann vom Angreifersystem akzeptiert. Damit können dort Daten abgerufen und auch gespeichert werden. Diese enthalten auch Authentisierungsinformationen, die für den Anmeldeprozess benötigt werden. Oft werden technische Benutzer in mehreren Systemen gleichartig verwendet, so dass dadurch auch Zugriffsmöglichkeiten auf andere Systeme bestehen können.
  • Ist für ein SAP System die HTTP-basierte RFC-SOAP-Schnittstelle aktiviert (ABAP-ICF-Dienst oder JAVA-Stack-SOAP-Dienst), so können Benutzer RFC-fähige Bausteine über die HTTP-Schnittstelle aufrufen. In der Regel ist dies in Szenarien, in denen der SAP System-Zugriff über einen Browser erfolgt, nicht gewünscht. Dennoch können in diesem Fall RFC-Aufrufe durchgeführt werden, so dass je nach Berechtigungseinstellung auch unberechtigte Zugriffe auf Daten ermöglicht werden.
  • Werden wichtige Systemereignisse nicht protokolliert oder die Protokolleinträge nicht ausgewertet, so können Angriffe oder Sicherheitsverletzungen nicht erkannt werden. Erfolgreichen Angriffen kann nicht begegnet oder nachgegangen werden. Daher kann unbemerkt ein unberechtigter Zugriff auf Daten oder Funktionen bestehen.

Stand: Stand 2006

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK