Im Zuge eines längeren Dialoges rund um die Entwicklung von Cybersecurity kam es zu einem Treffen der Geschäftsführer von anovis it-services and trading gmbh, Markus Guttenberg und des eng befreundeten Partners XIT-cross information technologies GmbH, Hubert Deutsch. Gemeinsam beleuchteten sie im Gespräch das Thema Sicherheit und Absicherung von SAP bei österreichischen Kunden.
Kriminelle Energie wird nicht nur verwendet, um etwas zu zerstören, sondern auch um illegal an Daten zu kommen – was es nicht weniger problematisch macht, da Datendiebstal meist nicht bemerkt wird, aber den unternehmerischen Erfolg nachhaltig schädigt und den USP vernichtet.
MG: Wenn es um Security geht, denkt man kaum zuerst an SAP – wie kam es dazu, sich näher damit auseinanderzusetzen?
HD: Wir haben zuerst gesehen, dass Microsoft die Möglichkeit (wie SIEM Lösungen von anderen Herstellern) bietet, Aktivitäten einzubinden – in unserem konkreten Fall: SAP.
Im Zuge einer Markt-Recherche hat sich dann schnell gezeigt, dass in diesem Bereich noch kein ganzheitliches Managed Service – welches SAP umfangreich einbindet – existiert. Wie viele andere Dienste und Applikationen befindet sich auch SAP auf der Reise in die Cloud. Die letzten Messebesuche haben die folgende Frage aufgeworfen: Wie schafft es SAP, ihre Kunden sicher und automatisiert in die Cloud zu bringen? Die Antwort darauf scheint in der Automatisierung Power Automate und für Sicherheit Sentinel zu sein.
MG: Wo siehst du die Herausforderung unserer Kunden bzw. des Marktes?
HD: Wenn wir über Sicherheit sprechen, reden wir meist nur über Firewalls oder technische Tools und Komponenten, nicht jedoch über den gesamten Geschäftsprozess, der bis in die Applikation des Nutzers reicht – wie insbesondere unternehmenskritische Applikationen wie SAP.
Das ist der Grund, warum man in einer gesamten Sicherheitsbewertung eine end-to-end Betrachtung braucht – vom Angreifer bis zum Endbenutzer. Der Weg läuft hier gerne und häufig an, in oder rund um eine Applikation, aber Schaden ereignet sich meist woanders.
MG: Gibt es konkrete Erfahrungsberichte von Kunden zum Thema Sicherheit von SAP bzw. etwaigen Breaches?
HD: Ja, die gibt es leider immer mehr. Wir standen in diesem Jahr zumindest mit einem Dutzend Kunden zu Sicherheitsvorfällen eng im Austausch, drei Fälle waren besonders kritisch. Die Dunkelziffer ist sicherlich dramatisch höher.
In einem Fall wurde von einem Lieferanten (sitzend in USA) eine infizierte Datei hochgeladen, die dann von einem Endnutzer in Österreich ausgewertet, und damit ein Virus (Ransomware) ins Firmennetz geschleust wurde. Später wurde forensisch herausgearbeitet, dass der Weg der Datei bis zum Endnutzer klar identifizierbar war. Mit einer entsprechenden Vorkehrung, also einem einfachen Monitoring, hätte man die Ransomware an mehreren Stellen oder Checkpoints isolieren können – der Schaden wäre vermeidbar gewesen.
In einem anderen Fall wurde ebenfalls eine Datei über einer Schnittstelle firmenintern abgelegt. Die Datei wurde von sämtlichen Viren-Checks nicht als schadhaft erkannt und hat das komplette Microsoft- und SAP-Environment kompromittiert. Auch hier hätte ein Monitoring von Aktivitäten Schaden vermieden.
Ein umgesetztes Berechtigungskonzept in SAP ist nicht immer ausreichend. Der Ort der Ausführung einer Transaktion, oder die zeitliche Komponente können oft auf eine Abnormalität hinweisen, auf die man reagieren kann. Warum beispielsweise speichert jemand mit einem Benutzer, der in Österreich seinen Arbeitsplatz hat, eine Datei aus Toronto oder Singapur um 02:00 früh in ein SAP-System? Der Benutzer (Credentials) im richtigen System mit der richtigen Berechtigung – wäre demnach für SAP in Ordnung. Passiert dies außerhalb Österreichs zu einer Uhrzeit in der Nacht, dann wäre hier ein Incident wahrscheinlich.
Die Erfahrungen, die wir mit betroffenen Kunden gemacht haben, zeigen dass es niemals zu diesem Schaden gekommen wäre, wenn bereits im Vorfeld die vorhandenen Daten ausgewertet, und darauf adäquat reagiert worden wäre.
MG: Warum ist SAP hier eine entscheidende Applikation – wenn man an Dateien-Upload und Download denkt, ist man gedanklich nicht sofort bei SAP, oder?
HD: SAP zählt bei Unternehmen meist als geschäftskritische Applikation. Sehr oft werden Dokumente oder Dateien im Zuge von Transaktionen in SAP hochgeladen, oder vom Benutzer aus dem SAP am Frontend heruntergeladen. Wird dieser Datenstrom nicht kontrolliert und auf Plausibilität geprüft wird, kann das SAP-System wie ein trojanisches Pferd agieren. Wie eine tickende Zeitbombe kann so ein kompromittiertes File, das in SAP abgelegt wurde, Tage oder Wochen später wieder durch einen Benutzer aktiviert werden und einen massiven Schaden verursachen.
MG: Was ist nun der Nutzen oder Mehrwert für österreichische Firmen, die SAP einsetzen, und sich wirklich sicher fühlen wollen?
HD: Mit der gemeinsam zwischen XIT und anovis entwickelten Lösung bieten wir unseren Kunden einen Security Monitor als Managed Service, der bei diesen Problemen unterstützt. Gemeinsam mit den Kunden werden relevante Prozesse auf mögliche Angriffsszenarien analysiert, und Vorkehrungen getroffen, um zeitnah vor einem Schaden zu alarmieren, die Schadsoftware zu isolieren oder wenn möglich, auch einen Schaden zu verhindern.
Anovis bietet für Kunden am österreichischen Markt umfassend Managed Security Services an. Die bestehenden Security Monitoring Services wurden nun gemeinsam mit XIT erweitert, um insbesondere Unternehmen mit SAP in ihrer Sicherheit zu unterstützen. Bei Fragen und näherem Interesse unterstützen die Ansprechpartner aus beiden Unternehmen.
XIT-cross information technologies GmbH
XIT ist ein international agierendes SAP Beratungsunternehmen mit Sitz in Österreich. Als führendes Unternehmen betreuen sie Kunden jeder Größenordnung am österreichischen SAP Basistechnologie Markt.
Mit individueller Beratung, SAP Basisprojekten und weiterführender SAP Betriebsunterstützung haben sie sich in den letzten Jahren bei zahlreichen namhaften Kunden etabliert und ausgezeichnet.
Sie betreuen KMUs bis hin zu international vertretenen Unternehmen und sehen ihre Kernkompetenz in Beratung, Planung, Implementierung, Betrieb und Wartung von IT-Infrastrukturen im SAP Umfeld.