Gastbeitrag: SAP – Sicherheit als Problem (4)

Heuristika Unternehmensberatung

Heuristika Unternehmensberatung

Teil IV: Der Entwickler als latentes Sicherheitsrisiko

Um diesen Teil des Artikels gleich mit einem Knall zu beginnen: Die Situation bei den Entwicklern ist beängstigend, dem Autor dieser Zeilen ist in mehr als 15 Jahren kein einziger Entwickler begegnet, der eine spezielle Schulung zum Datenschutz oder zur SAP-Systemsicherheit besucht hätte, in der Regel wurden nicht einmal die nach Bundesdatenschutzgesetz für alle Mitarbeiter vorgeschriebenen Datenschutzunterweisungen durchgeführt. Was bei „normalen“ Mitarbeitern schon ein Gesetzesverstoß ist, ist bei Mitarbeitern solchen „Kalibers“ eine nicht hinnehmbare Fahrlässigkeit der IT-Verantwortlichen und der Geschäftsführung. Jeder Entwickler, ob intern oder extern, hat weitreichende Möglichkeiten der Systemmanipulation und ist im Falle von Fehlern bei der Implementierung oder (auch das kann man nicht ausschließen) absichtlichen Manipulationen ein latentes Sicherheitsrisiko.

Aber das Problem liegt nicht nur beim Entwickler selbst. So werden Eigenentwicklungen grundsätzlich nur auf Funktion und Fehler, im Zweifel noch auf korrekt arbeitende Berechtigungsprüfungen hin getestet, aber nicht auf Sicherheit und Datenschutz, obschon eigentlich jede Eigenentwicklung, auch jede Erweiterung des SAP-Standards, auf Sicherheitslücken hin getestet werden muss, und zwar am besten automatisch durch entsprechende ABAP Unit Tests und/oder eCATT-Szenarien. Aber hierfür bedarf es schon einer Ressource, die es in vielen Unternehmen gar nicht gibt: Entwickler, Anwender und Modulverantwortliche mit einem Auge für Sicherheitsprobleme! Dieses Auge wird nicht angeboren, sondern ist ein Ergebnis von Schulungen und Workshops und der Fähigkeit, destruktiv und eben nicht aus der Sicht des gutmütigen SAP-Anwenders zu denken.

SAP-Entwickler bei Endkunden haben oft eine lange berufliche Entwicklung hinter sich, haben nicht selten schon für das vorher verwendete System (oftmals R/2) entwickelt, dann den Schritt zum R/3 gemacht. Dort haben sie vorwiegend im Reporting entwickelt mit logischen Datenbanken und Extrakten und schon der Schritt zur Dialogprogrammierung war ein bedeutender. Mit Objektorientierung, Business Server Pages und WebDynpro kommen Themen hinzu, die sehr komplex und vom Paradigma her völlig unbekannt sind und SAPUI5 (also der Benutzeroberfläche, die komplett auf HTML5 und Javascript setzt statt auf die bisher verwendete SAPGUI) ist nochmal ein großer Schritt hin zu neuen Technologien. Gerade für solche Mitarbeiter ist die Berücksichtigung von Datenschutz- und Systemsicherheitsfragen geradezu berufsfremd, da ihnen das SAP-System zuvor eigentlich alles abgenommen hat.

Das Problem beginnt schon bei den klassischen Techniken: Da werden Eingaben völlig ungeprüft im Programm verwendet (zum Beispiel Dateinamen, die der Anwender als Quelle oder Ziel für die verwendeten Daten ins Selektionsbild eingibt), denn schließlich sind die Anwender alle Kollegen, denen man bösartige Systemmanipulationen nicht unterstellen will. In solchen Programmen kann man sehr viel herumspielen, indem man sich (um beim Beispiel zu bleiben) durch große Teile des Dateisystems durchhangeln kann. Auf solcherlei Sicherheitslücken angesprochen, bekommt man dann oft zu hören, dass man ja nicht alles prüfen könne und dass ein solches Verhalten ja gar keinen Sinn mache; wobei die erste Aussage falsch und die zweite sehr gutmütig ist. Ganz besonders kritisch wird es, wenn Benutzereingaben in dynamischen WHERE-Bedingungen verwendet werden, ohne sie auf Plausibilität zu prüfen: Da wird ein komplettes (an sich umfassendes und korrektes) Berechtigungskonzept schnell ad absurdum geführt, weil man auf diese Weise Datenbankabfragen fast beliebig manipulieren kann.

Bewegt man sich nicht mehr in der SAPGUI, sondern im Browser, wird das Problem noch viel dramatischer, weil man zum Beispiel über die Adresszeile im Browser noch ganz andere Möglichkeiten hat, Anwendereingaben zu machen — insbesondere berücksichtigen viele Entwickler gar nicht erst, dass es sich hierbei um ein dem Anwender frei zugängliches Eingabefeld handelt. Zudem ist der Anwender kein Kollege mehr, sondern möglicherweise irgendein anonymer Anwender aus dem Internet. Ein gewiefter Angreifer ist absolut in der Lage, die Inhalte dieser Adresszeile derart zu manipulieren, dass er Daten zu sehen bekommt, die man ihm nie zeigen wollte (für Insider: Der Trick mit der Angabe eines falschen Mandanten funktioniert immer noch!) — hier ist der Entwickler in der Verantwortung, entsprechend vorzudenken und vorzusorgen.

Fazit

Das SAP-System ist das Nervenzentrum eines Unternehmens und repräsentiert reale Werte in ungeheurem, schwer zu bezifferndem Ausmaß. Dementsprechend muss der Sicherheit eben dieses Nervenzentrums angemessen viel Beachtung geschenkt werden — und gerade im Detail liegt es hier im Argen. Hierbei ist es irrelevant, ob dies aus Unkenntnis oder Ignoranz der Beteiligten / Verantwortlichen geschieht, die Folgen unterscheiden sich hierbei nicht.

Die Sicherheitsprobleme im Umfeld von SAP-Systemen werden nicht weniger, sondern nehmen in Zahl und Folgenschwere deutlich zu. Hauptgrund ist hierbei nicht zuletzt die vom SAP-Kunden gewollte und erwünschte Öffnung in Richtung Intranet und Internet, aber auch der sorglose Umgang mit dem Unternehmenskapital „Daten“ an sich. Einzelhändlern wird in Bezug auf Ladendiebstahl gelegentlich der Vorwurf gemacht, dass sie eine Mitschuld tragen, weil die Waren frei zugänglich im Laden stehen, statt dass man sie über die Theke verkauft. Als Unternehmen, das seine Daten derart ungeschützt internen und externen Mitarbeitern und sogar Internet-Nutzern vor die Nase hält, sollte sich daher nicht wundern, wenn eine dieser Personen „zugreift“, abgesehen davon, dass es nicht nur Fehlverhalten, sondern auch Fehler bei der Arbeit geben kann, vor denen diverse, in dieser Artikelserie beschriebene Sicherheitsmaßnahmen schützen.

Die Beratungspraxis aller einschlägigen Berater zeigt, dass betrieblicher Datenschutz in vielen Unternehmen ohnehin ein ungeliebtes Kind ist, was man oft am fehlenden oder Feigenblatt-Datenschutzbeauftragten erkennen kann. Oft ist der Name des Datenschutzbeauftragten den Mitarbeitern gar nicht bekannt, was verwunderlich ist, sollte er sie doch regelmäßig entsprechend unterweisen. Wenn das aber auch dazu führt, dass sensible Daten, deren Vertraulichkeit von erheblicher Bedeutung ist (Preise, Rabatte, Konditionen, Kundendaten, Ausschreibungen und Angebote und vieles mehr), nicht oder unzureichend vor unauthorisiertem Zugriff geschützt werden, bewegen wir uns weg vom nicht erfolgten Schutz des Betroffenen (nach Bundesdatenschutzgesetz) hin zum nicht erfolgten Schutz des Unternehmens selbst.

Ralf Wenzel ist Gründer und Inhaber der Heuristika Unternehmensberatung in Hamburg und seit über 15 Jahren erfolgreich als SAP-Berater tätig. Darüberhinaus ist er seit zehn Jahren als Datenschutzberater am Markt vertreten.

Hier finden Sie die weiteren Teile des Artikels:

SAP – Sicherheit als Problem (1)

SAP – Sicherheit als Problem (2)

SAP – Sicherheit als Problem (3)

  • Zentrale Ahrensburg

    T: 04102 / 51 600
    F: 04102 / 516019
    info@kanzlei-winterstein.de

    • Kanzlei Ahrensburg

      Rathausplatz 25
      22926 Ahrensburg

    • Kanzlei Bargteheide

      Rathausstraße 14
      22941 Bargteheide