Penetration Test – der simulierte Angriff auf ein SAP System
Ein sogenannter SAP Penetration Test, besser übersetzt mit „Simulierter Angriff auf ein SAP System“, ist eine kontrollierte Überprüfung des Sicherheits-Zustands Ihres SAP-Systems. Mit den Mitteln und Werkzeugen eines Hackers werden kontrolliert Angriffs-Szenarien gegen ein ausgesuchtes SAP-System gefahren, um die Verletzbarkeit des SAP-Systems festzustellen.
In den letzten Jahren hat sich diese Art der Sicherheitsüberprüfung eines SAP-Systems durchgesetzt, oft als Ergänzung oder Vorbereitung eines SAP Audits, oft aber auch als Forderung der Auditoren selber, um den Sicherheits-Status eines SAP-Systems verbindlich festzustellen.
Der SAP-Bereich ist vielleicht der kritischste Bereich für die IT-Sicherheit. Hier laufen in der Regel alle Unternehmensprozesse bzw. alle kritischen Unternehmensprozesse zusammen. Ohne mehrjährige Kenntnisse und ein profundes Verständnis für SAP-Umgebungen führen Sicherheitsüberprüfungen wie ein Pen Test mit herkömmlichen Mitteln ins Leere. Ein Pen Tester ist kein Held der Internet-Technologien, der alles durchbricht und dann sich feiern lässt. Im Gegenteil, ein Pen Test im SAP-Umfeld erfordert, dass zusammen mit dem Kunden die Sicherheitslücken aufgezeigt und aufgedeckt werden, die unternehmenskritisch sind. Das geht nur gemeinsam als Partner mit dem Kunden bzw. den Netzwerk-Spezialisten des Kunden
Idealerweise ist dem Pen-Test eine Risiko-Betrachtung vorangegangen, die Risiko-Cluster definiert. In der Finanzbranche mit dem Schwerpunkt auf Zahlungen und Zahlungen sind Bedrohungsvektoren komplett anders zu bewerten als in einem von Spionage bedrohten Industriebetrieb mit viel Konstruktionswissen. So kann z.B. eine Lücke in einem bestimmten Risiko Kontext extrem schwer wiegen. wobei sie in einem anderen Kontext keine Rolle spielt.
Varianten des Penetration Test
Es gibt drei Varianten, die man beim Pen Test unterscheidet.
(1) Black Box Test
Der Pen Tester bekommt gar nichts gesagt. Er muss komplett von außen eindringen können ohne jede Hilfe. Er darf aber sehr wohl alle Möglichkeiten ausschöpfen wie Phishing (gefälschte emails) Waterholing (gezieltes Angreifen von Fachgruppen wie SysAdmins in einem Unternehmen) oder solche Dinge wie Einschleusen von USB Sticks etc. Dies muss aber alles juristisch dokumentiert sein, und mit eventuell beteiligten Unternehmensbereichen wie Unternehmenskommunikation (simulierte phishing-email an alle Mitarbeiter) abgesprochen. Solche Black Box Tests sind sehr aufwendig und dauern oft mehrere Monate. Aus diesem Grund werden diese Varianten sehr selten durchgeführt.
(2) Grey Box & White Box Test
Das normale, gemeinsame Verständnis bei der Durchführung eines SAP Penetration Ttest ist ein Grey bzw. White Box Test vor Ort ist: Der Pen-Tester bringt einen Laptop, lässt die MAC Adresse registrieren. Der Laptop hat einen Virenscanner und definierte Hacker-Software und SAP Scanner aufgespielt, die dokumentiert sind und entsprechende Aufzeichnungen vornehmen. Der Angreifer versucht, über die interne Infrastruktur, die zugänglich ist, die SAP-Systeme zu hacken. Dieses Szenario entspricht einem Eindringling, der von Innen kommt (SysAdmin etc) aber keinen Zugang zum SAP System selber hat.
Im weiteren bekommt der Pen Tester Zugang und einen Administrations-Benutzer auf dem System, meistens mittels eines sogenannten SAP-Scanners, der in verschiedenen Ausprägungen am Markt erhältlich ist. Dieser Scanner dient zur qualifizierten Kontrolle und Analyse des Systems. Auch qualifizierte Betrachtungen einzelner Konfigurationen können so erfolgen. Der „White Box Test“ wird üblicherweise als Nachbereitung und Verifizierung nach einem „Black Box“ oder „Grey Box“ Test gemacht. Ein aktueller SAP-Scanner überprüft das System auf ungefähr 1500 bekannte Schwachstellen und liefert ein komplettes, statisches Bild des Sicherheits-Zustandes eines SAP-Systems. Dieser Scan muss begleitet werden von einem aktiven, kundenbezogenen Einzelcheck, da ein standardisierter Scan die kundeneigene Umgebung oft nicht ausreichend berücksichtigt.
(3) Offensiver Pen Test
In dieser Variante werden Varianten, Werkzeuge und Angriffsvektoren aus echten Hacker-Angriffen benutzt. Diese Hacks haben ein Ziel, das Ziel zu erobern und wenden teilweise auch destruktive Techniken an. Diese Variante ist der Härtetest, denn hier wird mit den Waffen des Angreifers simuliert. Dies schließt auch Denial-of-Service Attacken ein, aber auch Angriffe mit Exploits, die ein System oder Server zum Absturz bringen, um diesen Moment zur Übernahme zu nutzen
Infrastruktur
Die Pen Tests für SAP finden normalerweise nur auf der Infrastrukturebene statt. Das heißt, die Netzwerk-Sicht und die Sicht von außen auf Datenbank, Anwendungsserver und Message-Server sowie auf Dienste wie SAP Gateway etc. sind die Angriffsziele. Zum Test der Infrastruktur gehören neben einer manuellen Analyse der kundenspezifischen Einzelheiten des Netzwerkes und der Basis-Server auch der Einsatz standardisierter System-Scanner, analog zum White-Box test der SAP Umgebung.
Werkzeuge
Jeder Beruf hat seinen eigenen Werkzeugkasten. Genauso ist es im Bereich Hacking und Penetrationstests. Der Satz persönlicher Werkzeuge, den ein Sicherheitsexperte verwendet, ist Ausdruck des eigenen Arbeitsstils und der eigenen Erfahrung. Die in diesem Kapitel beschriebenen Werkzeuge haben sich in der Praxis als taugliche Arbeitsmittel bewiesen. Welche davon in Ihren eigenen, persönlichen Arbeitsfundus Eingang finden, ist eine Frage des eigenen Arbeitsflusses und des eigenen Stils. .
Unsere Werkzeuge bieten alles, um einen kompletten Pen-Test in der Regel in wenigen Stunden durchzuführen. Dieses Werkzeug kann auf jedem beliebigen Desktop oder Laptop installiert werden bzw. ist auf den Laptops unserer Berater komplett vorinstalliert.
SAP Anwendung
Herkömmliche Angriffsverfahren, wie sie bei Web-Anwendungen realisiert werden, sind im Bereich SAP komplett sinnlos, da SAP als Laufzeitumgebung niemals in einen ungesicherten Zustand fällt. Deshalb kann ein solches Verfahren auch nicht funktionieren. Dies geht ausschließlich über Source-Analysen. Hierfür stehen in SAP prinzipiell Werkzeuge wie der SAP Code Inspektor zur Verfügung. Dies ist in der Regel nicht Bestandteil eines klassischen Penetration Test.
Dokumentation
Ein seriöser Penetration Tester wird immer alle Schritte dokumentieren und alle Zusatzinformationen wie log-Files etc. zur Verfügung stellen. Die Ergebnisse werden alle dokumentiert und zu jedem Angriffs-Punkt, der gefunden wird, wird auch eine Anleitung zur Behebung gegeben („Mitigation“)
Abschluß-Gespräch
Es finden mehrere Sessions statt. Zum ersten werden die Ergebnisse mit der SAP-Basis-Gruppe des IT-Centers besprochen. Es gilt vor allem, hier gegen eine zu definierende Baseline zu bewerten, die gemeinsam festgelegt werden muss.
Parallel müssen Sicherheitsaspekte des optionalen SAP Code Scan mit der Anwendungsprogrammierung diskutiert werden.
Die Ergebnisse muss der Pen Tester dann in eine allgemeine Bewertung und einen Abschluss –Bericht überführen, die mit allen Beteiligten abgestimmt ist. Wichtig ist hier, dass vor allem kritische Bewertungen mit dem Unternehmen diskutiert werden, ob „kritisch“ auch in dem jeweiligen Sicherheits-Kontext gilt.