{"id":34567,"date":"2023-08-31T23:46:00","date_gmt":"2023-09-01T06:46:00","guid":{"rendered":"https:\/\/pathlock.com\/?p=34567"},"modified":"2026-03-07T07:16:41","modified_gmt":"2026-03-07T12:16:41","slug":"sap-sicherheit-vulnerability-management-und-threat-detection","status":"publish","type":"post","link":"https:\/\/pathlock.com\/de\/sap-sicherheit-vulnerability-management-und-threat-detection\/","title":{"rendered":"SAP-Sicherheit: Vulnerability Management und Threat Detection"},"content":{"rendered":"\n

Wie funktionieren Bedrohungserkennung<\/strong><\/a> und Schwachstellenanalyse<\/a> <\/strong>eigentlich genau? Unser CTO Ralf Kempf erkl\u00e4rt am Beispiel eines IT-Unternehmens, warum die Synergie beider Methoden eine optimierte Gefahrenerkennung und gleichzeitig eine verk\u00fcrzte Reaktionszeit bei unerw\u00fcnschten Ereignissen erm\u00f6glicht.<\/p>\n\n\n\n

Wie sie jeweils funktionieren und wie die gezielte Kombination von Threat Detection und Vulnerability Management zu einer deutlichen Verbesserung der SAP-Sicherheit f\u00fchrt, l\u00e4sst sich gut am Beispiel eines klassischen B\u00fcrogeb\u00e4udes veranschaulichen. Denn Schwachstellen zuverl\u00e4ssig zu identifizieren und Bedrohungen in Echtzeit zu erkennen ist oft der entscheidende Faktor f\u00fcr die Systemsicherheit, sei es ein Geb\u00e4ude oder SAP.<\/p>\n\n\n\n

Vulnerability Management<\/strong><\/h2>\n\n\n\n

Beim Schwachstellen- oder Vulnerability-Management geht es darum, Systeme anhand einer Momentaufnahme zu einem bestimmten Stichtag zu untersuchen und sie in einen sicheren Betrieb zu bringen, unter anderem hinsichtlich Zugriffsschutz, Verf\u00fcgbarkeit, Konsistenz und Wiederherstellbarkeit der Daten. <\/p>\n\n\n\n

Zur\u00fcck zum Beispiel B\u00fcrogeb\u00e4ude: Da ist zun\u00e4chst die Perimetersicherheit. Das beginnt bei der Zufahrt zum Geb\u00e4ude, wo man vielleicht schon einen PIN-Code eingeben muss, um \u00fcberhaupt in die Tiefgarage zu kommen. Dann haben wir den Zugang \u00fcber die Tiefgarage, das hei\u00dft, \u00fcber diesen Weg wird der Verkehr der Mitarbeiterinnen und Mitarbeiter kanalisiert. Im Eingangsbereich gibt es wieder eine T\u00fcr, f\u00fcr die man eine Keycard braucht. Als Gast muss man sich beim Pf\u00f6rtner anmelden. Ansonsten sind alle T\u00fcren im Idealfall verschlossen, es gibt auch Oberlichter und vielleicht sogar eine Alarmanlage, eine Klimaanlage und eine unterbrechungsfreie Stromversorgung, damit ein solches Geb\u00e4ude sicher betrieben werden kann. Man will also generell unbefugten Zutritt verhindern, und das Gleiche gilt f\u00fcr IT-Systeme.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Zumindest in den letzten zehn Jahren war die IT meist in einem Geb\u00e4ude konzentriert: Das Rechenzentrum war im Keller, ich konnte es kontrollieren, war Herr \u00fcber meine Daten, hatte eine Firewall und konnte ziemlich genau sehen, wer reinkam. Ich hatte auch gut \u00fcberwachte Wartungszug\u00e4nge oder ein Citrix-Terminal. So ein IT-Haus zu betreiben, ist an sich schon sehr komplex, weil es viele Zust\u00e4ndigkeiten gibt: den Sicherheitsdienst, den Hausmeister, die Haustechnik. Bei der IT ist es \u00e4hnlich: Netzwerkmanagement, Access Control, SAP-Basis und IT-Basis. Und genau das ist Vulnerability Management: Wir machen eine Liste – und zum Gl\u00fcck gibt es gerade von SAP sehr gute Vorgaben, wie man seine Systeme absichert und \u00fcberwacht.<\/p>\n\n\n\n

Diese Liste muss Punkt f\u00fcr Punkt durchgegangen und abgehakt werden, \u00e4hnlich wie bei der Geb\u00e4udeleittechnik: Sind unn\u00f6tige T\u00fcren immer abgeschlossen oder steht in der Mittagspause ein Hintereingang offen, der unbemerktes Eindringen erm\u00f6glicht? Vulnerability Management versucht also immer, ein Mindestma\u00df an Stabilit\u00e4t, Verf\u00fcgbarkeit und Erreichbarkeit sicherzustellen. Und das nicht nur einmal, sondern wie bei einem Geb\u00e4ude: Der Hausmeister macht seinen t\u00e4glichen Kontrollgang und der Schlie\u00dfdienst \u00fcberpr\u00fcft jede Nacht, ob alle T\u00fcren verschlossen sind.<\/p>\n\n\n\n

Threat Detection<\/strong><\/h2>\n\n\n\n

Wenn wir unser Geb\u00e4ude zun\u00e4chst von au\u00dfen betrachten, h\u00e4ngen \u00fcberall an der Fassade Kameras, um zu beobachten, was drau\u00dfen passiert: Wer kommt, schleicht vielleicht jemand um das Geb\u00e4ude herum? Das ist die bereits erw\u00e4hnte Perimeter Security. Wenn wir jetzt in das Geb\u00e4ude hineingehen, sind nat\u00fcrlich auch dort Kameras, es sind Leute im Besprechungsraum, andere wie \u00fcblich an ihren Arbeitspl\u00e4tzen, manche sind unterwegs oder unterhalten sich auf dem Flur, also der \u00fcbliche B\u00fcroalltag. <\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Jetzt ist es, sagen wir, 12:30 Uhr und wir wissen eigentlich, was in einem Unternehmen in der Mittagspause passiert: Die Leute verlassen ihre B\u00fcros und gehen in die Kantine. Das hei\u00dft, wir haben hier eine ganz normale standardisierte Bewegung der Mitarbeiter.<\/p>\n\n\n\n

Was wir heute mit Threat Detection machen, ist vor allem, auftretende Anomalien zu erkennen, User Behavioral Analysis zu betreiben. Aber nicht, indem wir jeden Benutzer und jede Aktion st\u00e4ndig \u00fcberwachen, sondern indem wir beobachten, ob sich jemand auff\u00e4llig im Geb\u00e4ude bewegt. Wenn wir zum Beispiel einen Eindringling haben, der mit einem gut gef\u00e4lschten Ausweis unerkannt in das Geb\u00e4ude gekommen ist und an den entsprechenden Vorposten wie dem Empfang vorbeigekommen ist: Sein Ziel wird zu diesem Zeitpunkt nicht wie bei allen anderen die Kantine sein, sondern er bewegt sich jetzt genau in die entgegengesetzte Richtung und durchsucht alle B\u00fcros, ob irgendwo ein nicht gesperrter Rechner oder sonst etwas Wertvolles zu finden ist. Das hei\u00dft, er verh\u00e4lt sich ganz anders als alle anderen Mitarbeiter, in diesem Moment und auch generell, weil er nacheinander schnell in Raum 3, 4 und 5 schaut, das macht sonst keiner.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Daran kann man also erkennen, ob sich jemand in einem Unternehmen anormal verh\u00e4lt. Hier sollten sozusagen die Alarmglocken l\u00e4uten, wenn ein Benutzer pl\u00f6tzlich anf\u00e4ngt, sich gegen den Strom oder au\u00dferhalb des \u00fcblichen Verhaltens zu bewegen. Auff\u00e4llig k\u00f6nnen zum Beispiel andere Downloads oder andere Downloadmengen sein. Oder es sind ungew\u00f6hnliche Geolocations, von denen aus sich dieser Mitarbeiter einloggt. Oder es werden bestimmte Transaktionen in SAP-Systemen zu seltsamen Zeiten durchgef\u00fchrt. All das ist dann Anomaly Detection, die ein sonderbares Verhalten feststellt und den ersten Alarm der Threat Detection ausl\u00f6st.<\/p>\n\n\n\n

Wenn wir jetzt wieder auf unseren Eindringling zur\u00fcckkommen, kann es nat\u00fcrlich sein, dass er einen nicht gesperrten Rechner findet oder \u00fcber eine Schnittstelle in das System gelangt und anf\u00e4ngt, Konfigurations\u00e4nderungen vorzunehmen oder sich bestimmte Dokumente anzuschauen, zum Beispiel HR- oder Kontodaten. Das hei\u00dft, es passiert etwas im System, im Grunde ruft er die Transaktion auf und stiehlt die Informationen nur mit seinen Augen oder einer Kamera. Er k\u00f6nnte aber auch anfangen, sicherheitsrelevante Systemparameter zu ver\u00e4ndern, Gesch\u00e4ftsbelege, Bestellmengen, Steuerinformationen oder ganze Auftr\u00e4ge im SAP-System zu manipulieren. In beiden F\u00e4llen ist es dann Aufgabe der Threat Detection, ein solches Verhalten innerhalb des SAP-Systems zu erkennen. Unabh\u00e4ngig davon, ob eine echte ID im Unternehmen verwendet wurde und ob er von innen oder von au\u00dfen eingedrungen ist. Das darf zun\u00e4chst keine Rolle spielen, denn der Perimeter hat es nicht erkannt, es ist am Vulnerability Management vorbeigegangen.<\/p>\n\n\n\n

Hier stellt sich dann die Frage, wie ich diese Anomalien, wie abweichendes Nutzerverhalten erkenne und wie ich es \u00fcber einen l\u00e4ngeren Zeitraum beobachten kann. Denn die einzelnen Schritte eines Hacks finden in der Regel nicht an einem Tag statt, sondern \u00fcber einen l\u00e4ngeren Zeitraum. Sie m\u00fcssen dann gesammelt und miteinander korreliert werden, um sagen zu k\u00f6nnen: Im Change Documents Log habe ich dieses Ungew\u00f6hnliche gesehen, im Security Audit Log und im User Change Log jenes. Wenn ich das alles zusammenf\u00fchre, dann kann ich sagen: Das ist ein faktischer Hackerangriff.<\/p>\n\n\n\n

Das Beste aus zwei Welten<\/strong><\/h2>\n\n\n\n

Also das, was wir im Vulnerability Management machen, ist im Prinzip erst einmal die Grundlage, um sp\u00e4ter eine effektive Threat Detection von Anomalien durchf\u00fchren zu k\u00f6nnen, denn sonst sieht man den Wald vor lauter B\u00e4umen nicht. Mit anderen Worten: Was n\u00fctzt mir ein Tool, das akribisch dokumentiert, dass jemand durch eine T\u00fcr ein- und ausgeht, wenn ich weder wei\u00df, wer das ist, noch ob er diesen Raum betreten darf. <\/p>\n\n\n\n

Der entscheidende Punkt ist nat\u00fcrlich die Integration und deshalb ist es zwingend notwendig, dass sich Kunden intensiv mit Vulnerability Management und der Integration von Threat Detection auseinandersetzen. Wenn eine T\u00fcr offen ist, wenn jemand eine Keycard kopiert hat, oder wenn die Kamera aus ist, dann muss ich eine Meldung bekommen, und das muss zeitnah passieren. Das ist kein Hexenwerk, aber die Teams m\u00fcssen sich abstimmen und man muss praxisnahe Szenarien abbilden. Es m\u00fcssen Prozesse definiert werden und deren Schnittmenge technisch so gef\u00fcllt werden, dass die Daten flie\u00dfen. Und da ist es entscheidend, dass man einen Prozess hat, wie man damit umgeht, wenn man eine Schwachstelle beheben will oder eine Bedrohung erkennt. Und auch, dass es in der R\u00fcckkopplung funktioniert, denn am Anfang steht oft eine Vermutung: Derjenige, der sich entgegen dem Mitarbeiterstrom zur Kantine durch mehrere B\u00fcros bewegt, ist vielleicht nur der Hausmeister, der gerade Fenster wartet.<\/p>\n\n\n\n

\"Ralf Ralf Kempf (Gesch\u00e4ftsf\u00fchrung Pathlock Deutschland)<\/strong><\/p>\n\n\n\n

\"Blog <\/p>\n\n\n\n

Sie finden diesen Fachbeitrag auch in der Ausgabe Juli\/August 2023 der it security <\/strong>sowie online im Leserservice der it-daily.net<\/strong><\/a>.<\/p>\n\n\n\n

<\/p>\n\n\n\n

In unserem Expert Talk<\/strong><\/a> der IT-Onlinekonferenz erfahren Sie mehr \u00fcber die Synergieeffekte von Threat Detection & Vulnerability Management.<\/p>\n\n\n\n

\n
[Expert Talk] Ying und Yang der SAP-Sicherheit<\/a><\/blockquote>