SAP-Systeme richtig absichern

Im eigenen ABAP-Code lauern die SAP-Risiken

Die meisten SAP-Systeme enthalten Millionen selbst geschrieben Code-Zeilen. Doch darin lauern etliche Sicherheitsrisiken, wie der ABAP-Quality-Benchmark aufzeigt.

IT-Angriffe zählen zu den größten Sicherheitsrisiken für Unternehmen und Organisationen. Bislang noch wenig bekannt ist über die Gefahren, die von fehlerhaftem Kundencode in SAP-Systemen ausgehen. Ein aktueller ABAP Quality Benchmark schafft Transparenz.

Zahlreiche Studien belegen: Die Gefahr durch Hacker wächst. Nach einer jüngsten Umfrage der Prüfungs- und Beratungsgesellschaft Ernst & Young wurde in den vergangenen drei Jahren schon jede siebte Firma in Deutschland Opfer von Spionage und Datenklau. Während die meisten Unternehmen meinen, die Bedrohung durch Firewalls, Antiviren-Software und gute Passwörter abwehren zu können, zeigt der ABAP Quality Benchmark, dass diese Maßnahmen gerade bei SAP-Anwendern nicht ausreichend sind. Gegen die gravierenden Risiken, die durch Fehler im eigenentwickelten ABAP-Code entstehen, hilft nur eines: die konsequente Sicherstellung hochwertiger Code-Qualität.

Über 300 SAP-Kundensysteme auf dem Prüfstand

Der Benchmark liefert Ergebnisse und Erkenntnisse aus anonymisierten Scans bei 306 SAP-Anwenderunternehmen aller Größen und Branchen, mit Schwerpunkt auf Deutschland und den USA. Demnach umfasst jedes SAP-Produktivsystem im Durchschnitt rund zwei Millionen Zeilen selbstgeschriebenen ABAP-Code, mit dem die Kunden die SAP-Standardfunktionen an ihre individuellen Geschäftsprozesse anpassen. Höchst alarmierend ist das Ergebnis, dass jeder Kundencode zahlreiche Fehler enthält, die die Sicherheit und Stabilität eines SAP-Systems gefährden können. So ist pro Anwendung von rund 2000 kritischen Sicherheitsfehlern auszugehen, die ein Unternehmen für Attacken verwundbar machen und auch Probleme beim Compliance-Audit verursachen.

Der ABAP-Benchmark enthüllt die Schwachstellen im selbstgestrickten ABAP-Code.
Der ABAP-Benchmark enthüllt die Schwachstellen im selbstgestrickten ABAP-Code.
Foto: Virtual Forge

Rein zahlenmäßig angeführt wird die Liste der Sicherheitsfehler zwar von mangelhaft programmierten oder fehlenden Berechtigungsprüfungen. Diese können dazu führen, dass Mitarbeiter Zugriff auf bestimmte Daten erhalten, ohne vom Unternehmen dafür autorisiert worden zu sein. Weitaus folgenreicher jedoch ist das Benchmark-Ergebnis, dass im Kundencode eines jeden SAP-Systems durchschnittlich 16 gravierende Sicherheitsfehler zu finden sind, von denen jeder einzelne ausreicht, um das System komplett zu übernehmen. Diese "Killerfehler" im kundeneigenen Code bieten potenziellen Angreifern das Einfallstor, um ganze Datenbestände zu kopieren, zu ändern oder zu löschen und damit das Bilanzergebnis zu verfälschen oder das System vollständig abzuschalten. Der wirtschaftliche Schaden, der dadurch für ein Unternehmen entstehen kann, ist enorm, zudem leidet seine Reputation.

IT-Angriffe durch die "Hintertür"

Wie viele SAP-Sicherheitsvorfälle tatsächlich auf fehlerhaftem Kundencode basieren, ist nicht zu beziffern. Das liegt daran, dass meist nicht lückenlos nachgewiesen werden kann, wie ein Angreifer überhaupt in ein SAP-System eindringen konnte. Eventuell kommt dafür auch ein Fehler im SAP-Standardcode oder bei der System- oder Firewall-Installation in Frage. Zudem merken viele Unternehmen erst nach geraumer Zeit, etwa bei Routineprüfungen oder rein zufällig, dass ihre SAP-Anwendungen gehackt wurden. Ein spektakuläres Beispiel aus jüngster Vergangenheit sind die Cyber-Angriffe auf die US-Bundespersonalbehörde OPM, die schon 2014 stattfanden, aber erst in diesem Frühjahr entdeckt wurden. Erfolgt sind sie unter anderem über die SAP-Systeme externer Dienstleister der OPM. Dabei verschafften sich die Hacker neben anderen persönlichen Daten von 22 Millionen Regierungsangestellten auch die Fingerabdrücke von 5,6 Millionen Beschäftigten.

Angriffe wie dieser widerlegen das Argument vieler SAP-Administratoren, dass SAP-Systeme prinzipiell nur über das interne Netzwerk zugänglich sind. Zwar führte auch der ABAP Quality Benchmark zum Ergebnis, dass nur 0,3 Prozent des selbstgeschriebenen ABAP-Codes in einem Unternehmen über das Internet erreicht werden können. Dies lässt den Schluss zu, dass rein statistisch gesehen mehr Angriffe auf ABAP-Code durch "Innentäter" zustande kommen. Doch sind auch Fälle bekannt, in denen von Fremdfirmen zugelieferter Code bestimmte "Hintertüren" - Trojaner also - enthielt, durch die Daten aus dem SAP-System herausgeholt und nach außen versendet wurden. Eine Firma beispielsweise hatte ABAP-Code eingekauft, der einmal monatlich die Ergebnisse der Buchungsläufe aggregierte und an eine externe E-Mail-Adresse versandte. Das Beispiel zeigt, dass ein SAP-System aufgrund fehlerhaften Kundencodes auch dann gehackt werden kann, wenn vom Internet aus kein direkter Zugriff besteht.