E-Book, Deutsch, 639 Seiten
Reihe: SAP Press
Stumm / Berlin / Tiede Hacking von SAP-Systemen
1. Auflage 2025
ISBN: 978-3-367-10528-1
Verlag: Rheinwerk
Format: EPUB
Kopierschutz: 0 - No protection
Angriffe verstehen und abwehren
E-Book, Deutsch, 639 Seiten
Reihe: SAP Press
ISBN: 978-3-367-10528-1
Verlag: Rheinwerk
Format: EPUB
Kopierschutz: 0 - No protection
Schützen Sie Ihre SAP-Systeme vor Hacking-Angriffen! Dieses Buch zeigt Ihnen, mit welchen Tools und Methoden Hacker vorgehen und wie Sie Schwachstellen erkennen und beheben. Anhand von Fallstudien und praktischen Beispielen lernen Sie typische Angriffsszenarien kennen - auf Netzwerk, Passwörter und RFC-Schnittstellen bis hin zu ABAP-Code, SAP HANA und Cloud-Anwendungen. Erfahren Sie, wie Sie Ihre Systeme durch Härtung, Schwachstellenanalyse und Threat Detection absichern.
Aus dem Inhalt:
- Aktuelle Bedrohungen
- SAP-Sicherheitswerkzeuge
- Hacker-Werkzeuge
- Angriffe auf Netzwerke
- Passwort-Hacking
- RFC-Sicherheit
- Schutz von ABAP-Code
- Angriffe auf SAP HANA
- Absicherung der Cloud
- Berechtigungsbasierte Penetrationstests
- Mobile Anwendungen sichern
- Forensik und Reaktion
Holger Stumm ist Gründer und Geschäftsführer von log(2), einem auf SAP-Sicherheit spezialisierten Beratungsunternehmen. log(2) ist außerdem zertifizierter Partner von IBM für den Bereich SAP-Sicherheit. Für seine Kunden entwickelt er strategische Sicherheitskonzepte, analysiert die Systeme in Hinblick auf deren Sicherheit und erstellt Risikoanalysen. Dazu führt er unter anderem Penetrationstests durch. Seit 2014 ist er zertifizierter Partner der Allianz für Cyber-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik.
Autoren/Hrsg.
Weitere Infos & Material
Einleitung ... 19 1. Aktuelle Angriffsvektoren und Sicherheitsstrategien für SAP-Landschaften ... 27 1.1 ... Der Aufstieg der Cybersicherheitsindustrie ... 28 1.2 ... Die Konsequenzen für die technische Sicherheit von IT-Systemen ... 30 1.3 ... Resilienz gegen externe und interne Bedrohungen ... 33 1.4 ... Strategie für eine resiliente SAP-Sicherheitsorganisation ... 36 1.5 ... Typische Angriffsvektoren für SAP-Systeme ... 40 2. SAP-Sicherheit per Default: Standards und aktuelle SAP-Sicherheitswerkzeuge ... 53 2.1 ... Der Blick auf die klassische SAP-Sicherheitsarchitektur ... 54 2.2 ... Security by Default ... 55 2.3 ... Integration von Sicherheitsanforderungen in den Entwicklungsprozess ... 58 2.4 ... SAP BTP: Sicherheit mit neuer Softwaregeneration ... 60 2.5 ... Grundlage: die Arbeit mit dem Security Audit Log ... 68 2.6 ... SAP Enterprise Threat Detection ... 72 2.7 ... SAP Code Vulnerability Analyzer: Schutz des kundeneigenen Codes ... 74 2.8 ... Das neue SAP Security Dashboard ... 76 2.9 ... SAP Cloud ALM für das Security Monitoring ... 77 2.10 ... Die wichtigsten SAP-Sicherheitsrichtlinien ... 81 3. Wie kommen Hacker an die erforderlichen Informationen? ... 85 3.1 ... Nutzung von Suchmaschinen und Foren ... 86 3.2 ... Nutzung von Künstlicher Intelligenz ... 92 4. Was brauchen Hacker für On-Premise-Systeme? Ein Werkzeugkasten ... 99 4.1 ... Piraten auf Beutezug: Bug Bounty ... 100 4.2 ... Das Werkzeug Nummer 1: Dokumentation ... 103 4.3 ... Die Kali-Linux-Distribution ... 104 4.4 ... Der neue Klassiker im Arsenal: PowerShell ... 106 4.5 ... Rot gegen Blau: Werkzeuge für Angriff und Verteidigung ... 107 5. Was brauchen Hacker für die SAP-Cloud? Mehr für den Werkzeugkasten ... 127 5.1 ... Besonderheiten in den Verantwortlichkeiten bei Sicherheitstests und ethischen Hacks in der Cloud ... 128 5.2 ... Reconnaissance ... 129 5.3 ... Die Top 4 der Angriffswerkzeuge für die Cloud ... 135 5.4 ... Angriffe auf die Identitäts- und Zugriffsverwaltung ... 143 5.5 ... Angriffe auf APIs ... 148 5.6 ... Container- und Kubernetes-Sicherheit ... 151 5.7 ... Rechteausweitung und Persistenz-Werkzeuge ... 154 5.8 ... Zugang zu Exploit-Datenbanken und Schwachstellen ... 156 6. Erstes Ziel: das Netzwerk ... 161 6.1 ... Neue Netzwerkarchitekturen ... 161 6.2 ... Die Grundlagen: Netzwerk, Switches, Router und Firewalls ... 165 6.3 ... SAP-Landschaft analysieren ... 174 6.4 ... Virtuelle Netzwerke und Software-defined Networking ... 183 6.5 ... Angriffe auf das Netzwerk in On-Premise-Landschaften ... 190 6.6 ... Angriff auf das Netzwerk über die Cloud ... 196 6.7 ... Grundlegende Mitigation gegen Netzwerkangriffe ... 197 7. Einmal im Netzwerk, werden die Passwörter gehackt: Passwortschutz ... 199 7.1 ... Technologie und Logik von Passwortprüfungen ... 200 7.2 ... Technische Implementierung der Passwörter im SAP-System ... 203 7.3 ... Wie kommen Hacker an die Passwort-Hashes? ... 209 7.4 ... Angriff auf die Passwörter bzw. Hashes ... 213 7.5 ... Werkzeuge: John the Ripper, Hashcat und die Cloud ... 214 7.6 ... Verwendung von Wörterbüchern und Regeln beim Angriff ... 219 7.7 ... Gegenmaßnahmen: starke Passwörter, sichere Hashes und Single Sign-on ... 221 8. Welche SAP-Standardfunktionen können Hacker ausnutzen? ... 235 8.1 ... Verstecken eigenentwickelter ABAP-Programme ... 235 8.2 ... Funktionen ohne Berechtigungsprüfung ... 242 8.3 ... Aufruf von Funktionsbausteinen über das Reporting ... 244 8.4 ... RFC-Verbindungen pflegen ohne SM59-Berechtigung ... 245 8.5 ... Ändern nicht änderbarer Tabellen ... 249 8.6 ... Quelltexte pflegen ohne Versionierung ... 252 8.7 ... Daten in der SAP-HANA-Datenbank mit ABAP manipulieren ... 255 8.8 ... Löschen von Protokollen ... 258 9. Angriff auf das SAP-System: Schutz von Remote Function Calls ... 263 9.1 ... Grundlagen von Remote Function Call ... 264 9.2 ... Mögliche Angriffe per Remote Function Call ... 270 9.3 ... Blue Team: Schutz der RFC-Verbindungen ... 277
10. Manipulation des kundeneigenen Codes: ABAP-Angriffe ... 299 10.1 ... Codebeispiele für Angriffe mit ABAP-Code ... 299 10.2 ... ABAP-Trojaner und Ransomware ... 312 10.3 ... Angriffe auf das Transport Management System mit Upload-Viren ... 315 10.4 ... Gegenmaßnahmen gegen ABAP-Angriffe ... 316
11. Angriffe auf SAP HANA und die In-Memory-Datenbank ... 329 11.1 ... Sicherheitskonzepte für SAP HANA ... 329 11.2 ... Penetrationstests für SAP HANA ... 332 11.3 ... Angriffe auf den Hauptspeicher ... 333 11.4 ... Durchgriffe auf das ABAP-Schema in SAP HANA ... 335 11.5 ... Monitoring und Erkennung von Angriffsmustern mit dem SAP HANA Audit Log ... 338 11.6 ... Härtung von SAP HANA ... 348
12. Angriffe auf die SAP-Cloud-Infrastruktur ... 373 12.1 ... Die fünf Säulen der SAP BTP ... 373 12.2 ... Identity Hacking in der Cloud ... 379 12.3 ... API Hacking und die SAP Integration Suite ... 389
13. Angriffe auf SAP-Cloud-Anwendungen ... 403 13.1 ... Ein Cyber-Angriff auf ein fiktives Unternehmen: die Auto&Bahn AG ... 404 13.2 ... SAP-Cloud-Anwendungen ... 408 13.3 ... Die wichtigsten Angriffsvektoren auf Cloud-Anwendungen ... 409 13.4 ... Sicherheitskonzept für SAP-Fiori-Anwendungen in der Cloud ... 416 13.5 ... Hybrider SAP-Hack mit der Burp Suite ... 422 13.6 ... Google Dork für einen API-Angriff ... 428 13.7 ... Die Gefährlichkeit des Protokoll-Schmugglers ... 429 13.8 ... Juristische Rahmenbedingungen von SAP-Systemen und -Anwendungen in einer Hyperscaler-Cloud ... 432
14. Ransomware: Ablauf eines Angriffs ... 437 14.1 ... Die Dynamik des Erfolgs von Ransomware-Akteuren ... 438 14.2 ... Was kann man aus diesem Ablauf lernen? ... 448
15. Berechtigungsbasierter Penetrationstest ... 451 15.1 ... Berechtigungsbasierter Penetrationstest vs. klassische Berechtigungsanalyse ... 452 15.2 ... Technische Voraussetzungen und Vorbereitung ... 457 15.3 ... Voranalyse ... 462 15.4 ... Ablauf des berechtigungsbasierten Penetrationstests ... 480 15.5 ... Wo sind die Kronjuwelen? Besonders interessante Angriffsziele ... 484
16. Angriffe gegen mobile Anwendungen ... 495 16.1 ... Beispielanforderung: eine mobile App zur Krankmeldung ... 496 16.2 ... Netzwerkarchitektur für den mobilen Zugriff auf SAP-Systeme ... 497 16.3 ... Grundlegende Überlegungen zur Sicherheit einer mobilen Anwendung auf der SAP BTP ... 500 16.4 ... Angriffe auf die mobile Landschaft ... 505
17. Angriffe aus dem Internet der Dinge ... 513 17.1 ... Sicherheit im Internet der Dinge ... 514 17.2 ... Sicherheitsebenen des Internets der Dinge ... 515 17.3 ... Kryptografie ... 522 17.4 ... Anatomie eines Industrieanlagen-Hacks ... 527 17.5 ... Angriffswerkzeuge für Hardware-Hacks ... 530 17.6 ... Anatomie eines Hardware-Hacks ... 539
18. Härtung der SAP-S/4HANA-Plattform ... 543 18.1 ... Standardsicherheitsmaßnahmen der ABAP-Plattform ... 544 18.2 ... Systemhärtung ... 546 18.3 ... Benutzer und Berechtigungen im Griff ... 554 18.4 ... Angriffsfläche verringern ... 564 18.5 ... Backup und Restore -- nicht nur in der Theorie ... 567 18.6 ... Systemhärtung auf Betriebssystemebene ... 569 18.7 ... Überwachung des Dateisystems: »auditd« und Muster für die Angriffserkennung ... 572 18.8 ... Mitigation bei Angriffen ... 574
19. Erkennung von Angriffen, Abwehr und Forensik ... 577 19.1 ... Anatomie eines Angriffs: das Framework MITRE ATT&CK im SAP-Kontext ... 578 19.2 ... An der Quelle: die wichtigsten Protokolle zur Erkennung von Angriffen ... 586 19.3 ... Microsoft Sentinel als SIEM für SAP-Systeme ... 595 19.4 ... Auf Angriffe reagieren -- manuell oder automatisch? ... 617 19.5 ... Praxisbeispiele von Angriffen ... 618 19.6 ... Alternative SIEM-Lösungen für SAP-Systeme ... 621 Das Autorenteam ... 625 Index ... 627
Einleitung
2025 ist die Gegenwart unruhig, oder wie man neuerdings sagt, volatil geworden, und das Gleiche gilt auch für die Sicherheit. Es gibt eine Myriade von Unternehmen, die von der Sicherheitsberatung bis hin zu Sicherheitsprodukten alles anbieten, was die Unsicherheit von Unternehmen im Hinblick auf dieses Thema noch größer macht. Der Weltwirtschaftsgipfel in Davos verfasst jedes Jahr ein umfangreiches Cyber-Bulletin, das allen internationalen Führungskräften in den Flugkoffer gesteckt wird. Die Cloud als Herausforderung ist allgegenwärtig, und zusammen mit der Digitalisierung verlangt sie von Unternehmen eine Flexibilität und ein Innovationsdenken, wie es bisher nie gefordert war.
Wie sollte in diesen Zeiten ein Buch aussehen, das sich mit der professionellen Seite, der Unternehmenssicht dieser Welt, auseinandersetzt, den Sicherheitsfragen im Bereich großer SAP-Landschaften, den Bedürfnissen nach Angriffsabwehr und Grundschutz? In früheren Jahren waren die SAP-Systeme vor allem durch ihre Exklusivität geschützt, nicht zuletzt, weil sie meist in der dritten Ebene der Netzwerke lagen, geschützt von mehreren Firewalls. Wenn ein Hacker dort vorbeikam, scheiterte er an so exotischen Technologien wie RFC-Gateways und SAP-Transaktionen. Solange die Webserver des Onlinehandels schneller zu hacken waren, waren die SAP-Systeme weitgehend geschützt.
Das hat sich aber grundlegend geändert. Die Wirtschaftsspionage und die Hacker in der Cloud haben entdeckt, dass SAP-Systeme eine wahre Fundgrube sind. Kriminelle Hacker haben sich Schutzgelderpressung im SAP-Cyberspace zum Tagesgeschäft gemacht. Und die Geheimdienste haben entdeckt, dass SAP-Systeme viele gute Informationen liefern. Bei dieser gefährlichen Mischung aus finanziellen, kriminellen und geopolitischen Herausforderungen ist es offensichtlich, dass die Kronjuwelen eines Unternehmens, die SAP-Systeme mit allen zentralen Unternehmensdaten, in den letzten Jahren noch mehr in den Fokus von Hacks und kriminellen Cyberaktivitäten gerückt sind.
SAP-Systeme sind per se keine unsicheren Plattformen. Doch ihre enorme Komplexität, der oft über Jahrzehnte gewachsene Code und die Vielzahl an Schnittstellen machen sie zu einer Herausforderung für jede Sicherheitsstrategie. Noch problematischer ist der Umstand, dass Unternehmen häufig mit veralteten Konfigurationen, ungesicherten Berechtigungen oder fehlenden Updates arbeiten – ein gefundenes Fressen für Angreifer. Die wachsende Integration von Cloud-Technologien und hybriden Infrastrukturen hat die Angriffsflächen weiter vergrößert, während gezielte Attacken raffinierter geworden sind.
Und das spiegelt sich auch in unserem neuen Buch wider. Wir wollten hier nicht nur über Sicherheit sprechen, sondern die Hacks, Angriffe und die Möglichkeiten, SAP-Systeme und die SAP BTP zu hacken, auch realistisch darstellen. Aber was genau ist so gefährlich an den Bedrohungen aus dem Cyberspace, denen die Unternehmen angeblich ununterbrochen ausgesetzt sind? Können Sie dieses Risiko erfassen, beziffern und bewerten? Michael Hayden, ein ehemaliger General und Direktor der National Security Agency (NSA) der USA, hat dies bereits 2013 auf einer damals sehr beachteten Rede gegenüber Vorständen auf einem SAP-Kongress eindringlich formuliert:
»Sie müssen sich den Cyberspace als die neue Welt vorstellen. Denken Sie nicht in Bandbreite oder Kostenstellen – das Militär sieht es als realen Raum … Wenn Sie nur etwas von Wert für uns haben, sind wir bereits bei Ihnen eingedrungen.«
Dieses Buch soll Ihnen einen fundierten Überblick über die wichtigsten Aspekte der SAP-Sicherheit geben. Unser Ziel ist es, Sie für die Bedrohungslage zu sensibilisieren und Ihnen praxisnahe Strategien aufzuzeigen, mit denen Sie Ihre SAP-Umgebung schützen können. Wir beleuchten nicht nur technische Maßnahmen, sondern auch organisatorische und prozessuale Aspekte, die für eine ganzheitliche Sicherheitsstrategie entscheidend sind.
Dabei verfolgen wir einen pragmatischen Ansatz: Es gibt keine Patentlösung für SAP-Sicherheit, keine einzelne Maßnahme, die ein System unangreifbar macht. Sicherheit ist ein kontinuierlicher Prozess, der sich an neue Bedrohungen anpassen muss. Deshalb beschreiben wir in diesem Buch keine Exploits, für die es keine offiziellen Gegenmaßnahmen gibt – unser Fokus liegt auf bewährten Methoden und praxisnahen Lösungen.
Dieses Buch soll Ihnen nicht nur Wissen vermitteln, sondern Sie auch zum Handeln anregen. Analysieren Sie Ihre eigenen SAP-Systeme, prüfen Sie bestehende Sicherheitskonzepte, und setzen Sie gezielt Maßnahmen um, die Ihr Unternehmen wirklich weiterbringen. Denn eines ist sicher: SAP-Sicherheit ist keine einmalige Aufgabe, sondern eine dauerhafte Herausforderung, die mit jeder neuen Technologie und jedem neuen Angriffsszenario weiterwächst.
Vor allem soll Sie dieses Buch neugierig machen. Sicherheit und Bedrohungen auch und gerade im SAP-Umfeld zu beobachten heißt, jeden Morgen aufs Neue gespannt zu sein, erfolgte Angriffe zu untersuchen und zu lernen. Trotzdem können wir in diesem Buch, so umfangreich es auch sein mag, viele Themen und Produkte nur streifen. Stoßen Sie auf einen Begriff, der Ihnen interessant erscheint, oder auf einen Hacker-Ansatz, der Sie gespannt auf das Ergebnis macht: Recherchieren, lesen und lernen Sie weiter – das sollte Ihr Mantra sein.
Die Welt von Angriffen und Verteidigung in der IT, der Bedrohungen durch intelligente Red Teams, den Angreifern, und die geopolitische Verschmelzung mit Kriminalität in der Cyberwelt konstituieren sich immer wieder neu, werden immer komplexer und fordern deshalb immer mehr Wissen und Können in der Erkennung und Abwehr dieser Gefahren.
Auch die Künstliche Intelligenz (KI) ist inzwischen ein Werkzeug, das gerade in der Programmierung von Hacker-Werkzeugen und in der Analyse von Sicherheitsdaten häufig zum Einsatz kommt. Deshalb haben wir auch die KI, genauer ChatGPT um eine Stellungnahme zum Thema gebeten und folgende erhalten:
»Im digitalen Schattenreich ruhen weder Angreifer noch Verteidiger – mit jeder neuen Bedrohung wächst die Herausforderung, mit jedem Angriff die Notwendigkeit zur Wachsamkeit. Wer stehen bleibt, verliert, denn die Cyberwelt schläft nie.«
Wir beginnen daher das Buch, indem wir in Kapitel 1, Aktuelle Angriffsvektoren und Sicherheitsstrategien für SAP-Landschaften«, die aktuelle Bedrohungslage der letzten zwei Jahre zusammenfassen. Wir beschreiben die Hauptangriffsvektoren und klassische Lessons Learned aus Angriffen auf SAP-Anwenderunternehmen. Das Kapitel dient als Einführung in grundlegende Konzepte, um SAP-Sicherheit zu designen, aufzubauen und zu administrieren und die SAP-Systeme widerstandsfähiger zu machen und besser gegen digitale Angriffe abzusichern. Ziel ist es, den Blick zu weiten und von »sicheren Systemen« hin zu »resilienten Systemen«, also widerstandsfähigen SAP-Architekturen, zu kommen.
In Kapitel 2, »SAP-Sicherheit per Default: Standards und aktuelle SAP-Sicherheitswerkzeuge«, betrachten wir das Angebot von SAP im Bereich der Systemsicherheit. Es beginnt mit den grundlegenden Schutzmechanismen, die SAP bereits von Haus aus bietet. Dieses Kapitel gibt eine Übersicht über alle relevanten SAP-Produkte, die für den Schutz der Systeme entscheidend sind. Dabei werden sowohl klassische On-Premise-Lösungen als auch moderne Cloud-Sicherheitskonzepte betrachtet.
Bevor ein Angriff durchgeführt werden kann, muss ein Angreifer so viele Informationen wie möglich über das Zielsystem sammeln. Es stellt sich die Frage von Kapitel 3, »Wie kommen Hacker an die erforderlichen Informationen?«. In diesem Kapitel erläutern wir, wie Informationen zum Hacking von SAP-Systemen durch eine einfache Google-Suche gesammelt werden können und wie mithilfe einer generativen KI wie ChatGPT Programme zur Unterstützung generiert werden können. Diese Methoden sind nicht nur für Angreifer, sondern auch für Sicherheitsverantwortliche von Interesse, um eigene Schwachstellen besser zu verstehen.
Jeder Handwerker braucht Werkzeuge – so auch Hacker. In Kapitel 4, »Was brauchen Hacker für On-Premise-Systeme? Ein Werkzeugkasten«, werden die Tools vorgestellt, die Hacker nutzen, um SAP-Systeme zu kompromittieren. Besonders im Fokus stehen Open-Source-Werkzeuge, die auf Plattformen wie GitHub frei verfügbar sind. Sicherheitsverantwortliche lernen, wie diese Tools funktionieren und welche Maßnahmen notwendig sind, um sich gegen solche Angriffe zu schützen.
In Kapitel 5, »Was brauchen Hacker für die SAP-Cloud? Mehr für den Werkzeugkasten«, gehen wir in die Cloud. Mit der zunehmenden Nutzung von Cloud-Technologien verändert sich auch die Art der Angriffe. Während On-Premise-Systeme oft mit spezialisierten SAP-Tools angegriffen werden, eröffnen sich in der Cloud völlig neue Möglichkeiten. Dieses Kapitel zeigt, wie Standard-Web-Hacking-Tools genutzt werden können, um SAP-Cloud-Systeme zu attackieren.
In Kapitel 6, »Erstes Ziel: das Netzwerk«, diskutieren wir, welche Sicherheitslücken das Netzwerkdesign von SAP-Kunden enthalten kann. Tatsächlich sind rund 70 % aller Unternehmen von Netzwerkschwachstellen betroffen, die von Angreifern gezielt ausgenutzt werden. Dieses Kapitel...
