SAP-Systeme sind beliebte Ziele von Cyberangriffen. Mit meist schwerwiegenden Folgen: von hohen finanziellen Verlusten bis hin zur Sabotage kritischer Geschäftsprozesse. Doch wie können Unternehmen vorbeugen? Welche Rolle insbesondere der Code-Review hat, erklären wir hier.
Freitag, der 28. Juli, 10:30 Uhr: Herr Michelsen, der IT-Verantwortliche aus unserem letzten Artikel, sitzt mit seinem Team und Consultants eines Beratungsunternehmens im Konferenzraum der Firmenzentrale. Hinter den Anwesenden liegt eine anstrengende und nervenaufreibende Zeit: Erst vor kurzem war das Unternehmen von einem folgenreichen Cyberangriff betroffen.
Nachdem die Gefahr eingedämmt wurde und alle Systeme wieder funktionieren, möchte der Mittelständler deren Sicherheit nun von Grund auf prüfen. Dazu hat er ein Beratungshaus hinzugezogen, das ihm nun Folgendes erklärt:
SQL-Injection: Einer der häufigsten Einfallswege
Bei einer SQL-Injection nutzen Hacker*innen Schwachstellen in der Anwendungsschicht, um auf Informationen in einer Datenbank zuzugreifen und diese zu manipulieren. Und das funktioniert so: Die meisten webbasierten Anwendungen (darunter viele SAP-Anwendungen) nutzen die sogenannte Structured Query Language (SQL), um Informationen in Datenbanken zu speichern oder diese abzurufen.
Gelingt es Cyberkriminellen, Malware in bestimmte SQL-Statements zu schleusen, können sie das beabsichtigte Verhalten der Datenbank verändern und auf nicht autorisierte Daten zugreifen, diese ändern oder sogar die gesamte Datenbank kompromittieren.
Welche Anwendungen sind besonders anfällig?
SAP-Anwendungen zeichnen sich unter anderem dadurch aus, dass sie durch Custom Coding exakt an die Bedürfnisse und Prozesse des einzelnen Unternehmens angepasst werden können. Über API-Schnittstellen (im SAP-Umfeld auch ABAP Customer Exits genannt), können Entwickler*innen eigenen Code schreiben, um die SAP-Standardanwendungen passgenau zu modifizieren oder eigene Prozesse aufzusetzen.
Aber genau diese Freiheit birgt große Risiken. Dazu muss man verstehen, unter welchen Bedingungen Custom Coding meist entsteht. Alle Projekte haben ein enges Budget, es muss immer schnell gehen. Im Rahmen der Qualitätssicherung wird meist nur die gewünschte Funktionalität getestet. Themen wie Code-Qualität und Programmsicherheit werden häufig gar nicht beachtet.
Der Hauptgrund: In den meisten Unternehmen gibt es schlicht zu wenig Personal, das sich um die Einhaltung guter Coding-Praktiken kümmern kann. Vor allem, wenn viele Entwickler*innen – sowohl interne als auch externe – in großen Initiativen wie einer S/4HANA-Implementierung (Brownfield, Bluefield oder Greenfield) eine riesige Menge von Code-Conversions abarbeiten. Die Best Practices sind zwar bekannt – häufig existieren sogar Programmier-Richtlinien – nur die Einhaltung wird oft nicht konsequent überwacht.
Wie Code Reviews die Programmsicherheit erhöhen
Hier kommen Code Reviews ins Spiel: Speziell geschulte Berater*innen begleiten den Implementierungsprozess. Sie scannen den Custom Code nach Auffälligkeiten und sind so in der Lage, unsichere Programmierpraktiken, potenzielle Sicherheitslücken und Fehlkonfigurationen aufzudecken, damit z. B. SQL-Injections gar nicht erst wirken können.
Und selbst wenn schlechter Custom Code nicht zu vorsätzlicher Systemmanipulation führt: Der Verlust der Release-Fähigkeit verursacht nicht selten eine Explosion der Projektkosten.
Ein weiterer kritischer Aspekt bei der Sicherheit von SAP-Systemen ist das Berechtigungsmanagement: Unserer Erfahrung nach, gibt es in 20 % des Custom Codes gar keine und in weiteren 50 % falsche oder unzureichende Prüfungen. Wenn dieser dann noch in einer Brownfield-Migration automatisch in das neue S/4HANA System migriert wird, bleiben die Sicherheitslücken häufig jahrelang unerkannt im System. Ein professioneller Code-Review schließt daher auch diesen Check mit ein.
Vorsicht ist besser als Nachsicht
Herr Michelsen hat mithilfe externer Berater*innen die Schwachstellen in den SAP-Anwendungen des Unternehmens identifiziert und behoben. Zukünftig werden er und sein Team besonderes Augenmerk auf die Sicherheit der Systeme legen.
