040 6969 85-0

SAP Pentest –

> SAP Security > SAP Pentest

Für Hacker, die Angriffe auf ein SAP-System durchführen ist das schnelle Geld das Ziel, nichts Anderes. Und deshalb sollten die klassischen Compliance Scans von SAP-Systemen durch Penetrationstests erweitert werden. Ob das SAP-System gehärtet ist, ob einzelne RFC-Aufrufe gefährlich sind, oder ob die Systemprofile Schwachstellen zeigen: Das sind Einzelaspekte, die aber einen Cyber-Angriff, einen Advanced Persistent Threat oder ein TAO (Tailored Access Operation) weder verhindern noch identifizieren können.

Ein SAP-Penetrationstest der neuen Generation soll die Gefährdung durch eben diese Threats aufzeigen. Ein Pentest kann in verschiedene Szenarien durchgeführt werden, z.B. als Blackbox- oder Whitebox-Text:

 

Pentest als Blackbox – Variante:

  • In einer “Black-Box-Variante eines Pen Tests werden keine detaillierten Informationen ausgetauscht. Das SAP-System wird angegriffen in einem klassischen Szenario, in dem der Hacker nur die IP-Adresse des SAP-Servers kennt. Dies erfolgt erst einmal ohne „Credentials“, also ohne Benutzer und Kennwort mit dem Ziuel, die generelle Verwundbarkeit eines Systems im Gesamt-Kontext auszuforschen.
  • Ist das SAP-System auch von extern erreichbar, wird eine zusätzliche Analyse der Angriffsoberfläche durch „Reconnaissance“ untersucht. Dies ist die Aufbereitung von Informationen aus dem Internet und dem Darknet, um Angriffsoberflächen zu identifizieren
  • In dem Black-Box-Pen Test wird dann weiterhin das Netzwerk analysiert. Das Netzwerk ist ein zentrales Element in der Infrastruktur eines Pen Tests. Auch wenn das primäre Ziel die SAP-Systeme sind, so ist die Einbettung der SAP-Systeme in die gesamte IT sowie deren möglichen Angriffsflächen ebenso wichtig.
  • Nur mit einer Bewertung des Netzwerkes kann auch eine Risiko-Betrachtung eines SAP-Systems ausgeführt werden. Ein Netzwerk, das zum Beispiel kaum Schutz vor Erpressungs-Trojanern bietet, macht auch SAP-Systeme zum Angriffspunkt für jeden Versuch von Verschlüsselung und Lösegeldzahlung.
  • In Absprache mit dem Kunden können dann entsprechend durch den Blackbox-Test thematisierte SAP-Sicherheitsaspekte über eine Konfigurationsanalyse im Einzelfall für ausgewählte Aspekte erfolgen.

In diesem Szenario werden verschiedene Personas durchgespielt. Die konkreten Szenarien werden im Vorwege abgestimmt. Als Beispiel könnten diese sein:

  1. Mitarbeiter in der Buchhaltung und/oder Technik mit Arbeitsplatz im produktiven ERP-System.
  2. Externer Entwickler im ERP-System mit Zugriff auf E-Q-P-System mit Standardrollen.
  3. Interne Keyuser, die im P-System über erweiterte Rechte zur Anwendungsbetreuung verfügen.
 

Getestet werden z.B. folgende Fragenstellungen:

  1. Was kann die betreffende Person (s.o.) in einem P-System anstellen?
    • Kann er unerlaubte Buchungen vornehmen?
    • Kann er unerlaubte Zahlungen vornehmen?
    • Kann er massenhaft personenbezogenen Daten wie Adress- oder Bankdatenabgreifen?
    • Kann er auf schützenswerte HR-Daten wie Adress- oder Bankdaten zugreifen?
    • Kann er Daten aus dem System herunterladen und außerhalb des internen Netzes bringen?
    • Kann er unerlaubt Daten löschen und vernichten?
    • Kann er die Systemintegrität gefährden und das System zerstören?
    • Können Programme unerkannt manipuliert werden, sodass diese Schaden anrichten können?

Wir haben in den letzten Jahren viele SAP-Penetration Tests durchgeführt, klassische Audit Scans, aber auch Angriffe auf SAP Cloud Systeme. Und die Abteilung „Forensik“ hat viele Einblicke in aktuelle Einbrüche, kriminelle Vorgehen und verborgene Einsichten in Angriffe bekommen. All dies hat unseren Blick auf SAP Security geschärft, aber auch verändert. ​