SAP Security: Das ist wie ein Auto ohne Bremsen!

Nach wie vor werden bei der Absicherung von SAP-Systemen die Erkennung von Bedrohungen und die Analyse von Schwachstellen oft getrennt betrachtet. Dabei ermöglicht ihre Synergie eine deutliche Verbesserung der Systemsicherheit, erklärt Ralf Kempf, CTO von Pathlock Deutschland, im Interview. Er sagt: „Threat Detection ohne Vulnerability Management ist wie ein Auto ohne Bremsen. Es mag schnell sein, ist aber vor allem unsicher.“

Interview mit der it security: Vulnerability Management & Threat Detection

it security: Hallo Herr Kempf, eine Teilnehmer-Umfrage zur SAP-Security im Rahmen der IT-Onlinekonferenz 2023 ergab, dass gerade einmal ein Drittel der Befragten beide Methodiken implementiert hat. Wie ist das zu erklären?

Ralf Kempf: Hallo, freut mich, wieder hier zu sein. Zunächst: Das deckt sich ganz gut damit, wie der Markt gerade dasteht. Wir stellen aber schon eine verstärkte Nachfrage im Bereich Vulnerability Management in Kombination mit Threat Detection fest. Viele Kunden haben erkannt, dass man am besten beides zusammen macht, weil die Zuständigkeiten ähnlich sind. Wir sehen dennoch nach wie vor häufig, dass erst mal Vulnerability-Management eingeführt wird und dann Threat Detection.

it security: Laut Expert-Talk-Umfrage gibt es immerhin 8 Prozent, die es umgekehrt machen. Kann man also genauso mit Threat Detection beginnen oder damit allein arbeiten?

Ralf Kempf: Nun, das ist, was ich mit dem Auto ohne Bremsen meine, man erhält sehr schnell sehr viele Ergebnisse, doch sind diese meist nicht verwertbar. Man muss die Informationsflut gezielt steuern und ausbremsen, sonst fährt man sozusagen alle Vorteile für die Systemsicherheit gegen die Wand. Anders gesagt: Die Schwachstellen-Analyse ist die Grundlage für eine effektive Threat Detection. Sonst sieht man den Wald vor lauter Bäumen nicht.

it security: Und was vernachlässigen diejenigen, die nur Vulnerability Management betreiben?

Beim Vulnerability-Management geht es darum, die Systeme an einem Stichtag zu untersuchen und in einen Zustand zu bringen, dass man sie sicher betreibt. Also Zugangsschutz, Verfügbarkeit, Wiederherstellbarkeit und Konsistenz der Daten gewährleistet. Die Statistiken zeigen aber, dass über 80 % der erfolgreichen Angriffe mit gestohlenen oder verlorenen Identitäten passieren. Das heißt, ich habe als Eindringling die Zugangskarte, kann diese ganz normal durch den Kartenleser ziehen und komme in das Gebäude hinein. Oder ich habe Namen und Passwort von hochprivilegierten Benutzern gestohlen. Ein Vulnerability Management allein würde mich in diesem Moment nicht bemerken, weil ich für dieses ein qualifizierter Benutzer bin. Hier kommt dann die Threat Detection ins Spiel, deren Aufgabe es unter anderem ist, auftretende Anomalien zu entdecken. In dem Moment, wenn ich etwas Sonderbares tue, etwa ungesperrte Rechner suche, kann die Threat Detection Alarm schlagen.

it security: Wo liegen denn die Herausforderungen für eine kombinierte Umsetzung?

Ralf Kempf: Knackpunkt ist zunächst die steigende Komplexität der Systeme, auch gerade unserer SAP-Kundschaft. Man hat das klassische SAP on premise wie ERP, S/4HANA, CRM und mittlerweile natürlich auch die klassische Microsoft-IT, die Operations IT, die Produktionssteuerung. Hinzu kommen jetzt heterogene Cloudanwendungen, viele haben Personaldaten, DATEV und Shopsysteme in der Cloud. Damit wird der gesamte IT-Fokus immer komplizierter. Folglich auch die Übersicht, was in den Systemen passiert und wie diese überhaupt betrieben und gehärtet werden. Das ist stets die große Herausforderung, ein einheitliches Bild zu bekommen und Zuständigkeiten zu klären.

it security: Wie gehen Unternehmen Ihrer Erfahrung nach damit um?

Ralf Kempf: Es gibt eigentlich zwei Strategien: Man kann es dezentral machen, das heißt, jeder achtet auf seine eigene Systemlandschaft. Das ist aber meist keine gute Idee, weil jeder froh ist, wenn es irgendwie läuft, und sich nicht weiter darum kümmert. Andererseits gibt es den sehr spannenden Ansatz, zentral darauf zu schauen. Dafür sollte man allerdings wissen: Was habe ich denn für eine IT? Hier haben wir schon sehr interessante Entdeckungen gemacht, Systeme irgendwo im Mikrokosmos der Kunden-IT, die sehr wichtig sind, die keiner kennt, die aber irgendwie laufen. Und es gibt immer wieder Kunden, die nicht wissen, wie viele SAP-Systeme sie eigentlich haben.

it security: Aber das gilt sicherlich nicht für jedes Unternehmen.

Ralf Kempf: Natürlich nicht, aber klar ist: Oft fehlen Experten, die diese Komplexität überhaupt überblicken, und oft ist es nicht mangelnder Wille in den Unternehmen, sondern es sind fehlende Ressourcen, die gesamte Landschaften im Blick und dann noch einen SAP-Fokus haben. Ein riesengroßer Bereich, wo Firmen selbst ausbilden müssen, um die Lücke zu schließen. Ein weiteres Defizit: Als Folge gestiegener Komplexität betrachtet man SAP-Systeme gerne mal als Blackbox nach dem Motto: „Lassen wir die schwarze Kiste einfach mal unbeachtet in der Ecke stehen, dann wird schon alles gut gehen.“ Und diese Bequemlichkeit ist völlig inadäquat, denn hier laufen die eigentlich wichtigsten Business-Prozesse der Kunden und diese müssen entsprechend abgesichert sein.

it security: Trotzdem wird ja vergleichsweise selten über Attacken auf SAP-Systeme berichtet, oder?

Ralf Kempf: Tja, auch hier führt eine gewisse Ignoranz zu dem Trugschluss, es sei vermutlich noch nie viel passiert, man sehe ja auch nichts in den Nachrichten. Denn was publik wird, sind häufig so bekannte Attacken auf Betriebssysteme wie Heartbleed, aber es steht letzten Endes nie dabei, was genau passiert ist. Betrachtet man jedoch die Menge abhandengekommener Daten, genügt es zu überlegen, wo diese in einem Unternehmen eigentlich gespeichert sind.

it security: Wie gelingt dann die Verbindung von Vulnerability Management und Threat Detection?

Ralf Kempf: Zuerst muss organisatorisch geklärt werden, dass beide Komponenten korrekt zusammenspielen. Im zweiten Schritt ist es nötig, die Schnittstelle zu haben, dass das Vulnerability Management in die Threat Detection hinein reportet und so Alarme generiert und zusammengefasst werden können. Für Investigations muss man sich das Ganze über einen längeren Zeitraum anschauen können. Und diese müssen von den Teams auch korrekt bewertet werden können. Dazu müssen die internen Prozesse richtig aufgesetzt und Entscheidungen getroffen werden.

Das ist eigentlich der größte Aufwand für ein Unternehmen, die Mitigation von Schwachstellen oder auch von Threats. Die Technologie aufzusetzen ist meist gar nicht der große und komplexe Teil. Die Unternehmen tun sich eigentlich auf der Prozess-Ebene schwerer. Und von daher muss das Ganze auf jeden Fall top-down passieren. Für Mitarbeiter und Mitarbeiterinnen ist es kaum möglich, das nach oben zu arbeiten. Es wird Zeit und Geld benötigt und im Unternehmen muss einfach das Bewusstsein vorhanden sein, dass sonst etwas Kritisches passieren kann.

it security: Apropos kritisch: Welchen Einfluss hat das IT-Sicherheitsgesetz 2.0 auf das Thema?

Ralf Kempf: Grundsätzlich ist wichtig, dass Threat Detection, Monitoring, das kontinuierliche Loggen jetzt auch im IT-SiG 2.0 aufgenommen worden und verpflichtend sind. Was wir jetzt merken, ist, dass dies zu mehr Nachfrage gerade im Bereich der Monitoringsysteme führt, da bewegt sich etwas. Was sich allerdings auch abzeichnet, ist, dass manche derzeit alles dafür tun, nicht unter das Sicherheitsgesetz zu fallen. Denn dann muss man berichten und tätig werden. Das geht natürlich am eigentlichen Sinn vorbei, weil es gerade für kleinere Stadtwerke, Unternehmen und Organisationen wichtig ist, das Gleiche wie die Großen zu tun. Ob eine Landesverwaltung ausfällt oder eine Kreisverwaltung, am Ende steht der Schaden für alle Beteiligten.

it security: Wird die Cloud das Thema Security in dieser Form nicht sowieso überflüssig machen?

Ralf Kempf: Natürlich bemühen sich die Hoster, dass Systeme sicher betrieben werden, ohne Frage. Das sind namhafte Firmen, aber Fehler können alle machen. Es gibt einmal konzeptionelle, wie Cloud-Anwendungen überhaupt gebaut sind. Da gibt es laufend Fehlermeldungen und hier ist eine Cloud häufig nicht besser als eine On-premise-Anwendung. Allerdings ist der Effekt des Fehlers in der Cloud-Anwendung immer größer, weil die Daten mein Gebäude ja schon verlassen haben. Was wir auch merken, gerade die Konfiguration und die Überwachung von Cloud-Anwendungen ist ein sehr schwieriges Thema. Wenn ich einen Tenant hochfahre bei einem Kunden, stellt sich die Frage, wenn ich den jetzt lösche, wird das protokolliert? Die Antwort ist Nein, dann sind auch die Logs weg. Also wird die Komplettabschaltung nicht sauber protokolliert, das merkt man dann umgehend, wenn die Anwender anrufen.

Das sind Aspekte der Cloud, da müssen wir alle noch lernen. Und ich sage mal, was wir als Sicherheitsforscher oder -berater als Berufskrankheit haben, dieses ständige Paranoia-Denken, darüber schmunzeln ja manche und spotten, was wir uns da vorstellen, das passiert alles nicht. Ich antworte dann immer, stimmt, es kommt noch viel schlimmer, als wir uns das vorstellen.

it security: Herr Kempf, wir danken für das Gespräch.

Ralf Kempf (Geschäftsführung Pathlock Deutschland)

Dieser Artikel wurde in der Ausgabe Juli/August 2023 der it security-Fachzeitschrift als Coverstory veröffentlicht und ist auch online im Leserservice der it-daily.net zu finden.

Wenn Sie mehr über das Thema erfahren möchten, kontaktieren Sie uns und sehen Sie sich die Expert Talk-Aufzeichnung an.