Prof. Dr. Sachar Paulus von der Hochschule Mannheim über Sicherheitsanforderungen an SAP Systeme und die Herausforderungen beim Schutz kritischer SAP-Infrastrukturen. Empfehlungen für die Entwicklungen einer optimalen Sicherheitsstrategie im SAP-Umfeld. Vortrag vom Virtual Forge Infotag Stuttgart im September 2014.

1. Prof. Dr. Sachar Paulus!
Ungebetene Gäste: Warum lieben Hacker aus
aller Welt unsere SAP Landschaften?!

2. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 !
Zum Referenten!
! Professor für IT-Sicherheit an der Hochschule Mannheim!
! Davor Studiendekan Masterstudiengang „Security Management“ an der FH
Brandenburg …!
! … und Forschungsprofessor durch EU-FP7-Projekt „OPTET“: nachweisbar,
vertrauenswürdige Internet-Dienste!
! Freiberuflicher Berater!
! SAP-Security, sichere Software-Entwicklung, Informationssicherheits-Management-
Systeme!
! Erfahrungen!
! 8 Jahre bei SAP (Director Product Management Security, Chief Security Officer)!
! Davor 4 Jahre im Mittelstand als Berater und Projektmanager!

3. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 !
Agenda!
! Compliance-Anforderungen an SAP!
! Hacker und SAP-Systeme!
! SAP und die Cloud!
! Der Software-Lifecycle!
! Mögliche Gründe!
! Empfehlungen!

4. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 !
Compliance-Anforderungen an SAP!
! Quellen: !
! MA Risk, GoBS, IDW PS 330, KonTraG, …!
! Sarbanes-Oxley, FDA CFR, PCI DSS, …!
! Inhalte:!
! Kritische Berechtigungen!
! Kritische Berechtigungskombinationen !
! Verschlüsselung, sichere Speicherung!
! Digitale Signatur!
Funktionale Anforderungen!
Nachträgliche Lösung!
Wenig Abstimmung !

5. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 !
Hacker und SAP-Systeme!
! Wie Hacker SAP sehen!
! Sehr kompliziert, viel Know-How erforderlich, proprietär!
! Aber: wenn interessant, dann kein Problem! JUST DO IT!
! Seit HANA ist das Interesse deutlich gestiegen!
! Einfallstore!
! Insider, Social Engineering, etc.!
! Web-Schnittstellen ausnutzen (z.B. SQL-Injection)!
! SAP-spezifische Angriffe (Bsp: RFC, Trusted Systems)!
! Trojaner, Würmer!
Nicht-funktionale Anforderungen!
Oft systemimmanent!
Erfordert Abstimmung mit IT-Sec !

6. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 !
SAP und die Cloud!
! SAP in der Cloud betreiben!
! Public Cloud: werden die gesetzlichen Anforderungen (z.B. Datenschutz)
erfüllt? In welcher Gerichtsbarkeit liegen die Daten? Wer darf gesetzlich dort
dran?!
! Public Cloud: sind die Risiken größer? Kommt darauf an, gegen wen man sich
schützen möchte/muss!
! Any Cloud: vertrauen Sie Ihrem Dienstleister?!
! SAP Cloud Services nutzen!
! Das Angebot ist inzwischen recht groß…!
! …aber meist eine andere technologische Basis (Standard-Web-Technologien)!
! ==> es gelten die „normalen“ Web-Anwendungs-Risiken!

7. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 !
Der Software-Lifecycle!
! Wo wird an Sicherheit gearbeitet?!
! Anforderungsmanagement !
! Architektur (= meist vorgegeben durch SAP)!
! Coding (speziell Customizing)!
! Inbetriebnahme!
! Wartung!
In JEDER Phase ist Sicherheit wichtig.!
Ein Fehlen in einer Phase kann die!
restlichen Maßnahmen überflüssig machen.!
! Fakt: in ALLEN Phasen fehlt es an Verständnis und Kompetenz!!
! Beispiel 1: Anforderungen nicht bekannt!
! Beispiel 2: SAP Security Notes werden nicht eingespielt!

8. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 !
Gründe!
! Fakt: SAP Sicherheit ist immer noch der „klassischen“ IT- und
Informationssicherheit hinterher!
! Mögliche Gründe:!
! Abkapselung des SAP-Betriebs !
! Oft rein funktionale Sicht auf Sicherheit, keine „Qualitäts“-Sicht!
! Die Botschaft „Firewalls sind nutzlos“ ist bisher nicht verstanden (= mangelnde
Awareness)!
! Es passiert zu wenig (bzw. man bekommt es nicht durch Presse usw. mit, oder der
Anwender bemerkt den Angriff nicht)!
! Es ist niemand verantwortlich!
! „Der Hersteller ist schuld“!
! Berechtigungsmanagement ist so teuer und aufwändig, da bleibt keine Zeit für
anderes!

9. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 !
Empfehlungen Top-Down!
! Verantwortlichen für SAP-Sicherheit benennen!
! Das Thema braucht einen Namen und ein Gesicht!
! Entwickeln einer Sicherheitsstrategie für SAP!
! Welches Risiko bin ich selbst bereit zu tragen? Welches der SAP-Betrieb? Welches die
IT?!
! Entwickeln einer Sicherheitsarchitektur für SAP!
! Welche Maßnahmen und Zusatzlösungen möchte ich? Was kann auch vom SAP Standard
übernommen werden? Wo ist mein Schwerpunkt? Wie spielen diese Lösungen
zusammen? !
! Explizite Aufnahme der Sicherheitsanforderungen!
! Nur wenn diese dokumentiert und in ihrer Bedeutung gewichtet sind, werden sie auch
bewusst umgesetzt!
! Strategie und Architektur sollten dokumentiert und beschlossen werden!

10. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 !
Organisatorische Empfehlungen!
! Zusammenarbeit mit Informationssicherheit (CISO)!
! Auflösen der „SAP-Mauer“, die Kollegen zu Komplizen machen!
! Vergleich der Risiken bringt oft Ernüchterung, aber auch Unterstützung!
! Zusammenarbeit mit Qualitätssicherung!
! Sicherheit als Qualitätsziel etablieren und über den QS-Prozess verankern!
! Integration der Sicherheitstests und -prüfungen in den
Bestellprozess!
! Was für Desktop-Software gilt, sollte auch für SAP-Add-Ons und
Zusatzsoftware gelten!

11. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 !
Spezifische Empfehlungen!
! Berechtigungen!
! Wichtiger als das „richtige“ Tool ist die saubere, organisatorische Vorbereitung: wer
muss was entscheiden können? !
! Eine saubere Strukturierung ermöglicht oft ein deutlich einfacheres
Berechtigungskonzept!
! Web-Sicherheit von SAP!
! Die (neuen) Web-Schnittstellen sind ein Einfallstor für Hacker und verdienen besondere
Beobachtung, speziell HANA!
! Gerade dort ist eine Lösung durch Dritt-Produkte (a la „Application Level Firewall“) oft
nur bedingt hilfreich!
! SAP Spezifisches!
! Begreifen Sie SAP als „kritische Infrastruktur“: SAP-spezifische Protokolle einschränken!!
! Sicheres Coding in ABAP ist essenziell!!