Tipps von Deloitte
5 Sicherheitsschwachstellen in SAP-Systemen
Das SAP-System ist die digitale Schatzkammer vieler Unternehmen. Hier liegen sämtliche Daten und Angaben zu Unternehmensstruktur und Prozessen. Angriffe können nicht nur finanziellen Schaden, sondern auch enorme Einbußen an Reputation und Vertrauen aufseiten der Kunden und Anteilseigner zur Folge haben.
Ein typisches Sicherheitsrisiko im SAP-Umfeld ist der Zugriff auf das ERP-System von außerhalb des Firmennetzwerks über Remote-Function-Call-Verbindungen (RFC). Die RFC-Schnittstelle ermöglicht Funktionsaufrufe zwischen zwei SAP-Systemen oder zwischen einem SAP- und einem externen System. Hier weist Deloitte auf fünf Versäumnisse hin, die einen unerwünschten Zugriff über RFC-Verbindungen begünstigen.
1. Benutzerkonten unzureichend geschützt
Softwareanbieter liefern alle Installationen mit den sogenannten Standardbenutzern wie SAPSAP oder DDIC aus. Alle Benutzer-IDs und die zugehörigen voreingestellten Passwörter sind bei jeder Auslieferung zunächst gleich und diese Angaben sind über Internetportale allgemein zugänglich. Die Kenntnis von Teilen von Benutzername und Passwort erleichtert unbefugte Zugriffe sehr, so Deloitte. Alles zu SAP auf CIO.de
2. RFC-Schnittstelle schlecht konfiguriert
Mit den gerade genannten Kenntnissen können Mitarbeiter mithilfe einer frei im Web erhältlichen Software uneingeschränkt auf kritische Unternehmensdaten auf Tabellenebene zugreifen, wenn die RFC-Schnittstellen unzureichend geschützt sind. Das gilt auch, wenn sie nicht über die dafür notwendigen Transaktionsberechtigungen innerhalb des SAP-Systems verfügen.
3. Firmennetzwerk unzureichend gesichert
Das Risiko eines unerlaubten Zugriffs erhöhen auch unzureichende Sicherheitsmaßnahmen für das Firmennetzwerk. Hier nennt Deloitte insbesondere Lücken in der Firewall-Konfiguration (offene Ports) und eine mangelhafte Auswertung der Zugriffsprotokolle.