SAP-Systeme richtig absichern

SAP-Risiken lauern im eigenen ABAP-Code

17. November 2015
Andreas Wiegenstein ist seit 2003 als Berater im Bereich SAP-Sicherheit tätig. Er hat zahllose SAP Security-Audits durchgeführt und erhielt mehrfach die Anerkennung für das Auffinden von Schwachstellen in verschiedenen SAP-Produkten.
Die meisten SAP-Systeme enthalten Millionen selbst geschrieben Code-Zeilen. Doch darin lauern etliche Sichherheitsrisiken, wie der ABAP-Quality-Benchmark aufzeigt.

IT-Angriffe zählen zu den größten Sicherheitsrisiken für Unternehmen und Organisationen. Bislang noch wenig bekannt ist über die Gefahren, die von fehlerhaftem Kundencode in SAP-Systemen ausgehen. Ein aktueller ABAP Quality Benchmark schafft Transparenz.

Zahlreiche Studien belegen: Die Gefahr durch Hacker wächst. Nach einer jüngsten Umfrage der Prüfungs- und Beratungsgesellschaft Ernst & Young wurde in den vergangenen drei Jahren schon jede siebte Firma in Deutschland Opfer von Spionage und Datenklau. Während die meisten Unternehmen meinen, die Bedrohung durch Firewalls, Antiviren-Software und gute Passwörter abwehren zu können, zeigt der ABAP Quality Benchmark, dass diese Maßnahmen gerade bei SAP-Anwendern nicht ausreichend sind. Gegen die gravierenden Risiken, die durch Fehler im eigenentwickelten ABAP-Code entstehen, hilft nur eines: die konsequente Sicherstellung hochwertiger Code-Qualität.

Über 300 SAP-Kundensysteme auf dem Prüfstand

Der Benchmark liefert Ergebnisse und Erkenntnisse aus anonymisierten Scans bei 306 SAP-Anwenderunternehmen aller Größen und Branchen, mit Schwerpunkt auf Deutschland und den USA. Demnach umfasst jedes SAP-Produktivsystem im Durchschnitt rund zwei Millionen Zeilen selbstgeschriebenen ABAP-Code, mit dem die Kunden die SAP-Standardfunktionen an ihre individuellen Geschäftsprozesse anpassen. Höchst alarmierend ist das Ergebnis, dass jeder Kundencode zahlreiche Fehler enthält, die die Sicherheit und Stabilität eines SAP-Systems gefährden können. So ist pro Anwendung von rund 2000 kritischen Sicherheitsfehlern auszugehen, die ein Unternehmen für Attacken verwundbar machen und auch Probleme beim Compliance-Audit verursachen.

Der ABAP-Benchmark enthüllt die Schwachstellen im selbstgestrickten ABAP-Code.
Der ABAP-Benchmark enthüllt die Schwachstellen im selbstgestrickten ABAP-Code.
Foto: Virtual Forge

Rein zahlenmäßig angeführt wird die Liste der Sicherheitsfehler zwar von mangelhaft programmierten oder fehlenden Berechtigungsprüfungen. Diese können dazu führen, dass Mitarbeiter Zugriff auf bestimmte Daten erhalten, ohne vom Unternehmen dafür autorisiert worden zu sein. Weitaus folgenreicher jedoch ist das Benchmark-Ergebnis, dass im Kundencode eines jeden SAP-Systems durchschnittlich 16 gravierende Sicherheitsfehler zu finden sind, von denen jeder einzelne ausreicht, um das System komplett zu übernehmen.

Diese "Killerfehler" im kundeneigenen Code bieten potenziellen Angreifern das Einfallstor, um ganze Datenbestände zu kopieren, zu ändern oder zu löschen und damit das Bilanzergebnis zu verfälschen oder das System vollständig abzuschalten. Der wirtschaftliche Schaden, der dadurch für ein Unternehmen entstehen kann, ist enorm, zudem leidet seine Reputation.