SAP-Systeme schützen

Holger Stumm ist Gründer und Geschäftsführer von log(2), einem auf SAP-Sicherheit spezialisierten Beratungsunternehmen. log(2) ist außerdem zertifizierter Partner von IBM für den Bereich SAP-Sicherheit. Für seine Kunden entwickelt er strategische Sicherheitskonzepte, analysiert die Systeme in Hinblick auf deren Sicherheit und erstellt Risikoanalysen. Dazu führt er unter anderem Penetrationstests durch. Seit 2014 ist er zertifizierter Partner der Allianz für Cyber-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik.

Daniel Berlin ist Security-Spezialist mit langjähriger Erfahrung und arbeitet in einer internationalen Bankengruppe. Im Bereich SAP-Sicherheit führt er regelmäßig Analysen durch und bewertet Bedrohungsszenarien. Er hat mehrere SAP-Sicherheitszertifizierungen abgeschlossen und erstellt regelmäßig Konzepte zu SAP-Berechtigungen. Zudem betreut er Security-Audits im Bereich SAP von Kundenseite. Seine Erfahrungen in der Programmierung erlauben es ihm, auch technische Aspekte der Systemsicherheit zu analysieren und zu bewerten.

Einleitung. 17

  1.  Risiko- und Bedrohungsanalyse für SAP-Systeme. 25

       1.1. SAP-Systeme und die Cyber-Bedrohung. 29

       1.2. Vorgehen zum Erstellen einer Risikomatrix. 31

       1.3. Internationale Standardmethoden für eine Risikoanalyse. 44

  2.  Eine Sicherheitsstrategie entwickeln. 53

       2.1. Ziele einer Sicherheitsstrategie. 57

       2.2. Kosten und Nutzen abwägen. 65

       2.3. Unternehmensbeispiele für Sicherheitsstrategien. 67

       2.4. Abschließende Überlegungen zur Sicherheitsstrategie. 77

  3.  SAP-Sicherheit -- Standards und aktuelle SAP-Werkzeuge. 79

       3.1. SAP-Sicherheit in der klassischen Sicht. 79

       3.2. SAP NetWeaver: Sicherheit mit neuer Softwaregeneration. 84

       3.3. SAP Enterprise Threat Detection. 86

       3.4. SAP Code Vulnerability Analysis. 91

       3.5. SAP Solution Manager als Steuerungsinstrument. 97

       3.6. Ausblick. 99

  4.  Netzwerksicherheit herstellen. 101

       4.1. Netzwerk, Switches, Router und Firewalls. 101

       4.2. SAP-Landschaft analysieren. 109

       4.3. Virtuelle Netzwerke und Software-Defined Networks. 117

  5.  Werkzeugkasten des SAP-Sicherheitsexperten. 123

       5.1. Kali-Linux-Distribution. 123

       5.2. Rot gegen Blau: Werkzeuge für Angriff und Verteidigung. 126

       5.3. Kommerzielle Produkte für Penetrationstests im Bereich SAP. 136

       5.4. Gegenmaßnahmen zum Schutz des Netzwerks. 138

       5.5. Patch-Management mit dem SAP Solution Manager. 139

       5.6. Klassische Angriffsvektoren für Hacker und Penetrationstester. 141

  6.  Schutz von SAProuter und SAP Web Dispatcher. 145

       6.1. Der SAProuter im SAP-Netzwerk. 145

       6.2. Angriff auf den SAProuter. 152

       6.3. Gegenmaßnahme: Härten des SAProuters. 153

       6.4. Der SAP Web Dispatcher im SAP-Netzwerk. 154

       6.5. Angriff auf den SAP Web Dispatcher. 157

       6.6. Gegenmaßnahme: Härten des SAP Web Dispatchers. 160

  7.  Schutz des SAP NetWeaver AS ABAP. 163

       7.1. Die ABAP-Laufzeitumgebung. 163

       7.2. Der SAP NetWeaver AS ABAP als Angriffsziel. 164

       7.3. Berechtigungen nach dem Need-to-know-Prinzip. 168

       7.4. Schutz des SAP NetWeaver AS ABAP gegen Angriffe. 179

       7.5. Dokumentation der Absicherungsmaßnahmen. 187

  8.  Schutz des SAP NetWeaver AS Java. 191

       8.1. Härten des SAP NetWeaver AS Java. 192

       8.2. Angriffe auf den AS Java und Gegenmaßnahmen. 206

  9.  Schutz von Remote Function Calls. 209

       9.1. Technische Komponenten der RFC-Verbindungen. 210

       9.2. RFC-Berechtigungen verstehen und einsetzen. 214

       9.3. Unified Connectivity: eine weitere Schutzebene. 223

       9.4. RFC-Sicherheit auf Client-Seite herstellen. 224

       9.5. RFC-Callback-Sicherheit aktivieren. 226

       9.6. Den RFC-Gateway absichern. 228

       9.7. Verschlüsselung aktivieren. 230

10.  Passwortschutz. 233

       10.1. Technologie und Logik von Hash-Prüfungen. 233

       10.2. Technische Implementierung der Passwörter im SAP-System. 236

       10.3. Werkzeuge: John the Ripper und HashCat. 242

       10.4. Wörterbücher beim Angriff. 244

       10.5. Angriff auf die Passwörter (Hashes). 244

       10.6. Gegenmaßnahmen: harte Passwörter, SSO und Hashes löschen. 245

11.  Schutz des Transportsystems. 263

       11.1. Transport Management System. 263

       11.2. Angriffe auf das Transportsystem. 265

       11.3. Gegenmaßnahme: Härtung des CTS mithilfe des SAP Solution Managers. 278

12.  Schutz der Datenbank. 281

       12.1. Die Rolle der Datenbank in SAP-Systemen. 281

       12.2. Generelle Risiken und Absicherungsmaßnahmen. 283

       12.3. Funktionstrennung in einer Oracle-Datenbank. 290

       12.4. Angriffe auf SAP-Datenbanken. 293

13.  SAP HANA und die Sicherheit der In-Memory-Datenbanken. 309

       13.1. Sicherheit in SAP HANA. 310

       13.2. Architektur von SAP HANA. 312

       13.3. Grundlagen der Sicherheitskonzepte für HANA. 315

       13.4. Absicherung der Webanwendungen. 318

       13.5. Penetrationstest auf SAP-HANA-Applikationen ausführen. 323

       13.6. Angriffe auf den Hauptspeicher. 324

14.  Erkennung von Angriffsmustern und Forensik. 329

       14.1. Die Quelle der Muster: die wichtigsten Log-Dateien. 330

       14.2. Auswertung mit Transaktion ST03. 346

       14.3. Auswertung mit Funktionsbausteinen. 347

       14.4. Usage and Procedure Logging. 349

       14.5. Netzwerkinformationen, Terminals und SAP-Benutzer-Sessions. 351

       14.6. Werkzeuge zur Auswertung der Muster: Security Information and Event Management. 354

       14.7. Sicherheitsmuster. 357

       14.8. Grundlegende Sicherheitsaktivitäten. 358

15.  Mobile Anwendungen sichern. 361

       15.1. Netzwerkarchitektur für den mobilen Zugriff auf SAP-Systeme. 362

       15.2. Komponenten der Sicherheitsstrategie für die SAP-Mobile-Infrastruktur. 366

       15.3. Angriffe auf die mobile Landschaft. 378

16.  Sicherheit im Internet der Dinge. 383

       16.1. Sicherheitsebenen des Internets der Dinge. 385

       16.2. SAP-Architektur für das Internet der Dinge. 396

       16.3. Kryptografie im Internet der Dinge. 400

       16.4. Gefährdungspotenzial für das Internet der Dinge im SAP-Bereich. 406

       16.5. Angriffswerkzeuge für Hardware-Hacks. 407

       16.6. Anatomie eines Hardware-Hacks. 410

       16.7. Anatomie eines Industrieanlagen-Hacks. 413

  Die Autoren. 417

  Index. 419

»Das Buch zeigt auf, wie Unternehmen die Angriffspunkte ihres SAP-Systems identifizieren und absichern. (...) Die Autoren erklären anschaulich, wie Hacker vorgehen, und zeigen, wie mögliche Sicherheitslücken geschlossen und Systeme gerettet werden können. (...) Das Buch erläutert, wie Verantwortliche eine Bedrohungsanalyse vornehmen und eine langfristige Sicherheitsstrategie ausarbeiten, die zu ihrem Unternehmen passt. (...) Die Leser erfahren, wie sie ihre Daten effektiv schützen können. (...) Die beiden Autoren sind seit vielen Jahren im SAP- und Security-Bereich erfolgreich. (...)« E-3 Magazin 201612

»Das Buch zeigt auf, wie Unternehmen die Angriffspunkte ihres SAP-Systems identifizieren und absichern. (...) Die Autoren erklären anschaulich, wie Hacker vorgehen, und zeigen, wie mögliche Sicherheitslücken geschlossen und Systeme gerettet werden können. (...) Das Buch erläutert, wie Verantwortliche eine Bedrohungsanalyse vornehmen und eine langfristige Sicherheitsstrategie ausarbeiten, die zu ihrem Unternehmen passt. (...) Die Leser erfahren, wie sie ihre Daten effektiv schützen können. (...) Die beiden Autoren sind seit vielen Jahren im SAP- und Security-Bereich erfolgreich. (...)«

»Literaturempfehlung zur Prüfung von SAP-Systemen«