So geht Angriffserkennung und Schutz von Geschäftsdaten mit SAP Enterprise Threat Detection (ETD)

Kurzum: Sie beinhalten Geschäftsgeheimnisse und Informationen, die von höchster Relevanz und aus diesem Grund besonders schützenswert sind. Hieraus ergibt sich eine brisante Ausgangslage, denn externe und interne Angriffe auf Geschäftsdaten gehören heutzutage fast schon zum Alltag. Beunruhigend ist dabei nicht nur, dass sich die Gefährdungslage im Vergleich zum Vorjahr verschärft hat und komplexer geworden ist – laut eines Sicherheitsberichtes der IT-Sicherheitsfirma Malwarebytes war Informationsdiebstahl 2018 sogar die häufigste Angriffsart auf deutsche Unternehmen.

Unternehmen sollten alles daransetzen, um Angriffe im Voraus erkennen und abwehren zu können. Geschäftsdaten sind in SAP-Systemen gespeichert. Und auch wenn diese allem Anschein nach gut geschützt sind, könnten weitere Vorkehrungen nötig sein, um die komplexen Systemlandschaften von SAP- und Non-SAP-Systemen, die mit der Netzwerktechnik verbunden sind, abzusichern und vor Cyberangriffen zu schützen. Erschwerend kommt hinzu, dass in der Datenschutzgrundverordnung komplexe Richtlinien und Unternehmensregeln verankert sind, deren Einhaltung schwer einzuschätzen bzw. zu kontrollieren ist. Unternehmen sind jedoch nicht nur an die DSGVO gebunden – auch das neu geltende Gesetz zum Schutz von Geschäftsgeheim-nissen (GeschGehG, §1) hat strenge Vorgaben, die einzuhalten sind, damit das Unternehmen den gesetzlichen Schutz in Anspruch nehmen kann. Diese Vorgaben für ein „ausreichendes“ Schutzniveau richten sich in diesem Zusammen-hang beispielsweise auch nach der Unternehmensgröße. Sehr viele Übergriffe auf die IT-Infrastruktur und die darauf gespeicherten Daten werden auch tatsächlich bereits recht-zeitig erkannt und abgewehrt. Im Gegensatz zu IT-Systemen bieten SAP-Anwendungen aufgrund ihrer Funktionalität und ihrer Komplexität jedoch eine große Angriffsfläche, die nicht komplett überwacht werden kann. Sicherheitslücken entstehen beispielsweise durch nötige Updates, welche monatlich über das SAP Solution Center oder den SAP Solution Ma-nager bereitgestellt und die häufig auf einen späteren Zeit-punkt verschoben werden. Diese Sicherheitsupdates immer direkt nach ihrem Release auf das System zu spielen, erweist sich aus technischer Sicht nämlich leider zu oft als beinahe unmöglich. Doch genau an dieser Stelle entsteht in diesem Fall ein sogenanntes Gefährdungsfenster (engl.: „Window of Exposure“), das es Internetkriminellen ermöglicht, sich Zugriff auf das System zu verschaffen oder es sogar zu schädigen. Auch falsche Berechtigungen stellen signifikante Schwachstellen dar, da sie für klassische Security Information und Event Management-Systeme (SIEM) schwer bis gar nicht zu erkennen sind. Um derartige Sicherheitslücken auf Anwendungsebene zu schließen, hat die SAP die Enterprise Threat Detection (SAP ETD) entwickelt.

SAP ETD: die Funktionen und Arbeitsweisen

Das Monitoring-Werkzeug stellt derzeit die beste Wahl dar, um SAP Log-Einträge auszuwerten, da vorgefertigte Szenarien speziell für SAP ausgeliefert und alle wichtigen SAP-Logs unterstützt werden. Feste Regeln werden dabei in Szenarien hinterlegt. SAP liefert bereits über 100 vordefinierte Szenarien aus, die sich im Gegensatz zu klassischen SIEM-Systemen speziell auf SAP-Systeme beziehen, wie z. B. das Berechtigungswesen oder kritische Transaktionen. Dank der Auswertung des Read Access Loggings (RAL) kann der Zugriff auf kritische Daten sehr gut überwacht werden. Neben festen Regeln (Szenarien) liefert das Anomaly Detection Lab Möglichkeiten zur Erkennung von statistisch unerwarteten Verhaltensweisen des Systems. Ein großer Vorteil von SAP ETD ist die flexible Handhabung: Das Monitoring-Werkzeug kann erst einmal für einen minimalen Bereich umgesetzt werden, um es dann später auf Wunsch sukzessive auf mehr Szenarien (Auffälligkeits-logiken, die zu Alarmen führen) zu skalieren. Ebenso ist es möglich, weitere SAP-Systeme anzubinden – neben Produktiv auch Qualitäts-, Test- und Schulungssysteme, Non-SAP-Systeme (z. B. Salesforces oder auch andere SIEM-Systeme) – sowie Netzwerktechniken wie beispielsweise Firewalls und Router. Grundsätzlich können alle Log-Daten beliebiger Ge-räte durch das ETD mithilfe des „Log Learnings“ ausgewertet werden. Die Skalierungen benötigen dabei weder Migrationen noch etwaige Umstellungen in der Architektur – sie werden über eine Aufstockung der Hardwarekomponenten erreicht, wodurch sich folgende Vorteile ergeben:

• Verarbeitung von 200.000 Log-Einträgen (und mehr) pro Sekunde durch ein großes ETD-System

• Vielzahl an bearbeitbaren Dashboards, welche die korrekte Arbeitsweise des ETD visualisieren und bei forensischen Nacharbeiten helfen

• Gesetzeskonformität durch Pseudonymisierung der Kennungen der Systemnutzer

• sehr schnelle Echtzeit-Verarbeitung dank HANA-Datenbank

• Integration des vollständigen Workflows in der Fiori-Oberfläche (Alarme werden gebündelt den Sachbearbeitern zugeordnet, die diese bewerten und nächste Schritte einleiten können)
  
  

Die Vorteile von SAP ETD im Überblick

• Analyse von verschiedenen Protokolldaten, sowohl von SAP- als auch von Drittsystemen

• Aufspüren ungewöhnlicher Ereignisse und automatische Einstufung des Gefährdungspotenzials

• Extraktion relevanter Protokolldaten aus der gesamten Systemlandschaft und ausfallsichere Weiterleitung an den SAP Event Stream Processor

• Möglichkeit der Einbindung von Infrastrukturelementen wie Proxys, Switches oder Router über Schnittstellen

• Vergleich von historischen Daten mit bereits vorhandenen Mustern zur Erkennung neuer Muster und späteren Gestaltung von Ad-hoc-Analysen

• Analyse verschiedener Protokolle (z. B. Benutzerwechsel, Sicherheitsüberwachungen, Transaktionen etc.) sowie automatische Erstellung dazugehöriger Muster

• Alarmierung bei verdächtigen Aktivitäten und Abweichungen vom Muster

• Möglichkeit der Einbindung von SAP-fremden Protokoll-daten über Log-Learning sowie einer Vielzahl von API für weitreichende Analysen
  
  

Natuvions Strategie für Sicherheit in SAP-Systemen

Programmgestützte Vor-Analyse

• Sensible Daten(SAP- und Z-Tabellen, Dateien,..)

• Kritische ABAP (Z-)Objekte, Trans-aktionen, Berechtigungen, usw.

• Kritische Systemeinstellungen und fehlende Sicherheitshinweise
  
  

Fokus-Workshop

• Welche Angriffsszenarien sollen abgedeckt werden? Intern/Extern

• Technische Logauswertung odertransaktionale Auswertung?

• Echtzeit-Überprüfung der Einhaltung von Richtlinien z.B. gemäß der DSGVO
  
  

Lösungsauswahl

• SAP ETD

• SAP BIS

• SAP GRC

• SAP RAL

• Natuvion TDA
  
  

Technische Umsetzung und Begleitung mit Natuvion

Dank der bewährten Analysetools zur Identifikation von kritischen Daten in ihrem Portfolio (wie z. B. SOPHIA) ist Natuvion vertrauensvoller Ansprechpartner auf dem Gebiet Angriffserkennung und Schutz von Geschäftsinformationen und anderen sensiblen Daten. Aufgrund der Brisanz dieses Themas setzen die Experten alles daran, die Tools kontinuierlich upzudaten, den neuesten Begebenheiten anzupassen und zudem weitere eigene hilfreiche Werkzeuge zu entwickeln. So zum Beispiel steht ein statisches Analysetool zur Verfügung, das besonders kritische Systemeinstellungen sofort erkennen kann. Von anderen firmeneigenen Innovationen in diesem Zusammenhang können Kunden ebenfalls profitieren.