SAP-Systeme richtig absichern
SAP-Risiken lauern im eigenen ABAP-Code
IT-Angriffe durch die "Hintertür"
Wie viele SAP-Sicherheitsvorfälle tatsächlich auf fehlerhaftem Kundencode basieren, ist nicht zu beziffern. Das liegt daran, dass meist nicht lückenlos nachgewiesen werden kann, wie ein Angreifer überhaupt in ein SAP-System eindringen konnte. Eventuell kommt dafür auch ein Fehler im SAP-Standardcode oder bei der System- oder Firewall-Installation in Frage. Zudem merken viele Unternehmen erst nach geraumer Zeit, etwa bei Routineprüfungen oder rein zufällig, dass ihre SAP-Anwendungen gehackt wurden.
Ein spektakuläres Beispiel aus jüngster Vergangenheit sind die Cyber-Angriffe auf die US-Bundespersonalbehörde OPM, die schon 2014 stattfanden, aber erst in diesem Frühjahr entdeckt wurden. Erfolgt sind sie unter anderem über die SAP-Systeme externer Dienstleister der OPM. Dabei verschafften sich die Hacker neben anderen persönlichen Daten von 22 Millionen Regierungsangestellten auch die Fingerabdrücke von 5,6 Millionen Beschäftigten.
Angriffe wie dieser widerlegen das Argument vieler SAP-Administratoren, dass SAP-Systeme prinzipiell nur über das interne Netzwerk zugänglich sind. Zwar führte auch der ABAP Quality Benchmark zum Ergebnis, dass nur 0,3 Prozent des selbstgeschriebenen ABAP-Codes in einem Unternehmen über das Internet erreicht werden können. Dies lässt den Schluss zu, dass rein statistisch gesehen mehr Angriffe auf ABAP-Code durch "Innentäter" zustande kommen.
Doch sind auch Fälle bekannt, in denen von Fremdfirmen zugelieferter Code bestimmte "Hintertüren" - Trojaner also - enthielt, durch die Daten aus dem SAP-System herausgeholt und nach außen versendet wurden. Eine Firma beispielsweise hatte ABAP-Code eingekauft, der einmal monatlich die Ergebnisse der Buchungsläufe aggregierte und an eine externe E-Mail-Adresse versandte. Das Beispiel zeigt, dass ein SAP-System aufgrund fehlerhaften Kundencodes auch dann gehackt werden kann, wenn vom Internet aus kein direkter Zugriff besteht.
Langfristige Sicherheitsstrategie erforderlich
Der aktuelle ABAP Quality Benchmark ist die weltweit umfassendste Untersuchung zu Anteil und Qualität von Kundencode in SAP-Systemen. Da dieser Code entweder von unternehmenseigenen Entwicklern oder externen Beratungshäusern geschrieben wird, können beide Gruppen die Verursacher fehlerhafter Programmierungen sein - vorsätzlich, aber auch unbewusst. So dürfte schon mancher Programmierer beim Übergang vom Entwicklungs- ins Qualitätssicherungssystem vergessen haben, die erforderlichen Berechtigungsprüfungen einzubauen.