Neuer Benchmark: ABAP-Kundencode als Sicherheitsrisiko 

ABAP-Kundencode ist ein hochkritisches Sicherheitsrisiko für SAP-Systeme. Andreas Wiegenstein, CTO des SAP-Sicherheitsanbieters Virtual Forge, erläutert die Ursachen und wirksame Schutzmaßnahmen.

 

foto autor Wiegenstein Andreas virtual forgeHerr Wiegenstein, wie fanden Sie heraus, dass der eigenentwickelte SAP-Kundencode potenziellen Angreifern zahlreiche Einfallstore bietet?

Virtual Forge führt seit mehreren Jahren weltweite Risikobewertungen von Eigenentwicklungen in SAP-Anwendungen durch. In unserem aktuellen ›ABAP Quality Benchmark‹ aggregierten wir die Erkenntnisse aus anonymisierten Scans von mehr als 300 SAP-Systemen in Unternehmen aller Größen und Branchen, vor allem in Deutschland und den USA. Die Zahlen geben statistischen Aufschluss über den Anteil und Zustand des ABAP-Kundencodes.

Können Sie die Benchmark-Ergebnisse näher erläutern?

Zunächst ergaben die Scans, dass jedes SAP-Produktivsystem im Durchschnitt eine signifikante Menge – nämlich rund 2 Millionen Zeilen – selbstgeschriebenen Kundencode umfasst. Dies widerlegt die weit verbreitete Annahme, dass sich die SAP-Nutzer überwiegend am Standard orientieren – offenbar werden immer noch recht häufig Anpassungen der Software an die individuellen Geschäftsanforderungen vorgenommen.

Äußerst überraschend ist auch die hohe Zahl an Fehlern, die in jedem Kundencode gefunden wurden. So machten wir pro SAP-Anwendung rund 2.000 Sicherheitslücken aus, die die Unternehmen für Attacken anfällig machen und auch Probleme beim Compliance Audit verursachen können.

Was ist durch diese Sicherheitsfehler konkret zu befürchten? 

Den Löwenanteil der Kundencode-Fehler bilden mangelhaft programmierte oder fehlende Berechtigungsprüfungen. Sie können dazu führen, dass unbefugte Mitarbeiter auf bestimmte SAP-Daten zugreifen und damit einen Missbrauch betreiben, der in den betroffenen Unternehmen erheblichen Schaden anrichten kann.

Weitaus gefährlicher jedoch sind die wirklich gravierenden »Killerfehler« im ABAP-Kundencode, von denen wir aktuell durchschnittlich 16 in jedem Kundensystem entdeckt haben – deutlich mehr als noch in den vergangenen Jahren.

»Killerfehler« klingt nach Totalausfall – kann dies denn tatsächlich die letzte Konsequenz sein?

Durchaus, denn jeder dieser Sicherheitsfehler allein ist so hochkritisch, dass Angreifer ihn dazu ausnutzen können, um die vollständige Kontrolle über das SAP-System zu übernehmen. Sie erhalten damit ein Schlupfloch, um komplette Datenbestände zu stehlen, zu löschen oder zu manipulieren, etwa um das Bilanzergebnis eines Unternehmens zu verfälschen. Schlimmstenfalls kann ein SAP-System von außen vollständig sabotiert oder abgeschaltet werden. Für die Kunden kann dies einen hohen wirtschaftlichen Schaden und großen Imageverlust bedeuten, zum Beispiel, wenn bei einem solchen Angriff sensible Mitarbeiter- oder Kundendaten in die falschen Hände gelangen.

Wie können sich SAP-Anwender vor fehlerhaftem Kundencode und seinen Folgen schützen?

Zum einen sollten die Weichen schon frühzeitig bei der Entwicklung gestellt werden, für die in der Regel interne Programmierer oder externe Beratungshäuser zuständig sind. So sind für die eigenen Entwickler systematische ABAP-Sicherheitsschulungen zu empfehlen, etwa auf Basis der Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI). Werden externe Zulieferer beauftragt, sollten die Unternehmen unbedingt darauf achten, entsprechende Code-Qualitätsstandards in die Service-Vereinbarungen aufzunehmen, zu prüfen und auch einzufordern.

Zu welchen technischen Sicherheitsmaßnahmen raten Sie den Unternehmen?

Da die Fehler dem ABAP-Kundencode inhärent sind, reichen die üblichen Vorkehrungen, wie Firewalls, Antiviren-Software und gute Passwörter, natürlich nicht aus, um mögliche Einfallstore für externe Angreifer zu schließen. Wesentlich sinnvoller ist es, dass SAP-Anwenderunternehmen ihre ABAP-Eigenentwicklungen gründlichen Scans unterziehen. Dazu empfiehlt sich der Einsatz spezieller Prüfsoftware, die die vorhandenen Fehler automatisch identifiziert und, soweit es möglich ist, auch gleich korrigiert. Für solche Scans sind in der Regel nur wenige Minuten zu veranschlagen. Dieselben Prüfverfahren sollten alle neuen SAP-Eigenentwicklungen durchlaufen. Denn nur so kann sichergestellt werden, dass sie keine für das Unternehmen kritischen Fehler mehr enthalten, wenn sie produktiv gehen.

Darüber hinaus ist es dringend geboten, zeitnah alle von SAP veröffentlichten Sicherheitspatches einzuspielen und ein laufendes Monitoring der SAP-Systeme vorzunehmen, um bei möglichen Attacken unmittelbar reagieren zu können. Oft merken Unternehmen nämlich erst nach geraumer Zeit, dass ihre SAP-Systeme gehackt wurden, etwa bei Routineprüfungen oder per Zufall – und da ist es natürlich schon zu spät, um größeren Schaden abzuwenden. Auch sind geeignete Notfallpläne unverzichtbar, wenn es trotz aller Vorsichtsmaßnahmen zum Angriff auf ein SAP-System kommen sollte.

Kann auch die Teilnahme an Ihrem Benchmark ein erster Schritt zu einer nachhaltigen Sicherheitsstrategie sein?

Ganz richtig. Bei unserem ABAP Quality Benchmark handelt es sich um eine fortlaufende Untersuchung, die die Erkenntnisse von Scanergebnissen aggregiert, die uns von SAP-Kunden anonymisiert zur Verfügung gestellt werden. Durch eine Teilnahme an diesen Analysen erhalten Kunden in kürzester Zeit Transparenz über die Qualität ihres eigenentwickelten ABAP-Codes. Dazu scannen wir den Kundencode eines ausgewählten SAP-Systems komplett und stellen die Ergebnisse den Unternehmen im Rahmen eines Prüfberichts zur Verfügung, der pro Fehlertyp beispielhaft fünf Fundstellen zeigt. Wie unsere Erfahrung zeigt, treten dabei oft Schwachstellen zutage, die neben der Sicherheit auch die Leistung eines SAP-Systems beeinträchtigen. So stellte manches Unternehmen nach der Fehlerbeseitigung im Kundencode erleichtert fest, dass das SAP-System nicht nur sicherer, sondern auch wesentlich stabiler und schneller läuft.

Der neue ABAP Code Quality Benchmark Report kann als Gratis E-Book über diesen Link bezogen werden: https://info.virtualforge.com/de/business_code_quality_benchmark_2016

cover (c) Virtual Forge eBook-BCQ-Report_2016

grafik virtual forge authorization checks BCQ grafik virtual forge rfc BCQ tabelle virtual forge security issues BCQ

Bildquellen: ABAP Code Quality Benchmark Report

Weitere Artikel zu