SAP-Systeme im Fadenkreuz der Hacker

Doch auch schon vor der Web-Strategie hatte SAP vielfältige Sicherheitsmechanismen in seiner Software eingebaut. Neben SNC lässt sich mit SSF eine digitale Signatur in die Anwendung integrieren, um die Anmeldung sicher zu machen. Das Security Audit Log protokolliert sicherheitskritische Events, das Audit Info System analysiert die Sicherheitskonfiguration.

Da man ausschließlich mit Angriffen von Innen rechnen musste, haben SAP und Dritthersteller ihr Augenmerk bisher besonders auf die sichere Anmeldung im System gelegt. Neben dem komplexen Berechtigungskonzept wird auch Single-Sign-On, eine Security-Policy und die Anmeldung mit Tokens, der in Windows integrierten NTLM-Authentifizierung sowie Zertifikaten gemäß X.509 unterstützt. Über die Software von Securintegration kann auch das Einmal-Passwort-System Secur-ID von RSA verwendet werden. „Man hat sich bisher einfach keine Gedanken über ungewünschte Benutzer von Außen gemacht“, erklärt Dominik Witte, Security Consultant für SAP Enterprise-Portal bei Securintegration.

Das ändert sich mit den neuen Möglichkeiten. Der Web Application Server und darauf aufbauend das SAP Enterprise Portal öffnen die Systeme dem Benutzer von Außen. Damit setzen sich über das Internet erreichbare SAP-Systeme einer unüberschaubaren Zahl neugieriger, unerwünschter Besucher aus. Und sie haben dieselben Probleme wie alle Web-Applikationen: Buffer Overflow, Viren, SQL-Injection, Denial-of-Service-Attacken. Plötzlich muss sich der SAP-Anwender nicht mehr nur damit befassen, dass kein Nutzer seine Rechte überschreitet, sondern auch dass die Daten sicher übertragen werden und die Anwendung insgesamt geschützt ist. Das Hauptproblem: HTTP. Die Daten werden plötzlich einem Protokoll zugänglich gemacht, das sich zwar mit SSL verschlüsseln lässt, aber sonst nicht annähernd so leicht zu sichern ist wie eine proprietäre Sprache. Angriffe auf HTTP-Ebene sind bekannt und vielfach ausgearbeitet und ausprobiert. Damit kommt auch die gesamte, ebenfalls bekannte Armada der Sicherheitsmechanismen ins Spiel: HTTP-Proxies könnten die Anwendungen im Internet schützen, IDS-Systeme eventuelle Angriffe aufspüren. Diese sind aber bisher speziell für SAP nicht verfügbar. Die sichere Datenübertragung ist über das IP-Protokoll mit VPN-Lösungen zu verwirklichen. Hier lassen sich laut SAP alle handelsüblichen Produkte einsetzen.