Der blinde Fleck von SAP
Von Max Freitag
SAP NetWeaver besitzt einen blinden Fleck. An dieser Stelle werden aus Konstruktionsgründen trotz tausender Sensoren keine sicherheitsrelevanten Informationen ausgewertet. Das ist ein großes Risiko, werden doch in SAP per Definition ausschließlich geschäftskritische Inhalte ausgetauscht, also Daten von hohem Wert.
Die Plattform verbindet über ihre zahlreichen Module und Schnittstellen verschiedene wichtige Prozesse, User und Informationsquellen miteinander. Die Module setzen auf anerkannten Internet-Standards auf und sind auch von extern zu erreichen – zugunsten der Effizienz.
SAP hat bei der Programmierung der offenen Strukturen viel Wert auf Sicherheit gelegt. Die Anwender müssen sich ausführlich authentifizieren, bevor sie auf das System zugreifen dürfen. Danach dürfen sie nur die Ressourcen ansteuern, für die sie explizit Rechte erhielten. Beim Datenaustausch chiffriert NetWeaver die Informationen, damit sie auf dem Weg vom Anwender zur Plattform vor den Augen neugieriger Dritter verborgen bleiben.
So ist die Welt von SAP NetWeaver in sich geschlossen und baut hohe Hürden für alle auf, eindringen möchten. Wer jedoch einmal eingebunden ist, dem wird blind vertraut.
Fehlender Einblick
NetWeaver vertraut darauf, dass die User nur saubere Daten in SAP einspielen. SAP eRecruting ist z.B. ein Modul, mit dem Interessenten die Bewerbung im Portal [[E-Recruiting|direkt hochladen]. So können Lebensläufe oder Anschreiben später von den HR-Mitarbeitern bearbeitet und in firmenweit angebundene Datenbanken überspielt werden.
Der Prozess geht jedoch davon aus, dass die Dateien der Bewerber sauber sind. Kein Sicherheitsmechanismus prüft die eingespielten Daten. Ob die firmeninterne SAP-Datenbank infiziert wird, ist damit abhängig vom Virenschutz der Bewerber. Ist ein Anhang infiziert, breitet sich die Malware von einer Datenbank auf weitere Module aus und kann das ganze SAP-System befallen – den Schadcode würde nichts aufhalten.
Sensoren ausgesperrt
Auch bekannten Usern wird fast blind vertraut. Mobile Anwender oder Geschäftspartner können von außen über die SAP-GUI und die Portale wichtige Dokumente abrufen und bearbeiten. Auch hier wird der User streng authentifiziert und der gesamte Datentransfer kodiert.
Die Daten werden jedoch ohne weitere Analyse in die kritischen Anwendungen überführt. Die Anwendungswelt von SAP vertraut darauf, dass die Dokumente sicher sind. Von den Sicherheitssensoren im Netz des Unternehmens können infizierte, kodierte Daten meist nicht geprüft werden. Die meisten Schutzsysteme lassen SSL-Verkehr passieren, da sie keinen Sinn in den chiffrierten Daten erkennen können. Eine Infektion könnte sich in der SAP-Welt ungehemmt ausbreiten und ließe sie sich nur von außen eindämmen: an den Endpunkten der SSL-Verschlüsselung.
Unwissen gewollt
Ein infizierter Rechner ist Produktionskapital, mit dem Hacker Geld verdienen, indem sie diesen Rechner für illegale Zwecke vermieten. Sei es, um Spam zu verschicken, Malware zu vertreiben oder die Infrastruktur einer Firma zu attackieren.
„Cybercrime ist zu einem professionellen Geschäft geworden, mit Millionenumsätzen und professioneller Organisationsstruktur“ erklärt Stefan Schiffert, CTO bei der Avira GmbH. Illegale Aktionen soll der Besitzer des Rechners auf keinen Fall bemerken. Sonst würde er Maßnahmen einleiten und die Infektion beseitigen – und damit das Produktionsmittel des Hackers gefährden. Anwender merken also überhaupt nicht, ob ihre Systeme befallen sind, da die PCs sich aus ihrer Sicht völlig normal verhalten. „Virenschutz gehört heute in allen Unternehmen zum Pflichtprogramm, denn die Vernetzung und Internet sind zentrale Einfallstore für Malware“, so Schiffert weiter.
Der Virenschutz für NetWeaver ist SAP-zertifiziert. (Bild: Avira)
Fazit: Essenzielle Zwischenschicht
IT-Sicherheitsexperte Avira hat einen Virenscanner entwickelt, der auf SAPs NetWeaver aufsetzt. AntiVir Virus Scan Adapter für SAP NetWeaver wurde von den Laboren von SAP getestet und zertifiziert – unter Windows und unter Sun Solaris. Der Scanner untersucht die Daten, die zwischen den Modulen und Applikationen von SAP ausgetauscht werden. Einer Infektion ist so vorgebeugt.
Auch im E-Government-Bereich besteht Handlungsbedarf. Die öffentliche Hand hat zahlreiche Projekte auf Basis von NetWeaver aufgesetzt. Gerade bei virtuellen Behördengängen wollen Anwender auf wichtige Informationen zugreifen – User, die teils keine oder veraltete Antimalware-Software auf ihrem PC installiert haben. „Der AntiVir Virus Scan Adapter überwacht den kompletten Dokumentenaustausch von SAP-Anwendungen. Kunden profitieren damit von einer Lösung, die ihr System vor Malware schützt und Ausfälle unternehmenskritischer Anwendungen verhindert“, resümiert Schiffert.