Soccer team in a huddle

SAP Enterprise Threat Detection: Angriffen in Echtzeit auf der Spur

7. November 2016 von Markus Schumacher 6

Betrugs- und Sicherheitsvorfälle in der SAP-Umgebung können gravierende Schäden anrichten. Die Echtzeitlösung SAP Enterprise Threat Detection (ETD) schafft Abhilfe. Sie bietet Anwendern die Möglichkeit, Attacken schnell zu erkennen und frühzeitig zu verhindern.

SIEM-Systeme greifen zu kurz

Für die IT-Angriffserkennung setzen die meisten Unternehmen so genannte SIEM-Produkte (Security Information and Event Management) ein. SIEM-Systeme sammeln die Log-Daten aus verschiedenen Quellen, wie Netzwerken, Servern und Datenbanken, und bringen sie mit vordefinierten Regelwerken in Beziehung. Werden dabei Angriffsmuster identifiziert, wird ein Alarm ausgelöst, der Maßnahmen zur Abwehr der Attacke in Gang setzt.

Für die SAP-Sicherheit greifen die typischen SIEM-Überwachungssysteme allerdings zu kurz, da sie die speziellen SAP-Protokolle und -Auswertungsmöglichkeiten nicht „verstehen“ und damit keine möglichen Angriffsmuster ausmachen können. Anwender, die ihre SAP-Systeme dennoch vor betrügerischen Insidern, Wirtschaftsspionen und externen Hackern schützen wollen, sind daher gezwungen, ihre SIEM-Systeme „aufzurüsten“. Dazu müssen sie die Funktionen und Logik, die für die Auswertung und Korrelation der SAP-Logdateien benötigt werden, in Eigenarbeit programmieren und pflegen. Dies erfordert einigen Zeit- und Kostenaufwand sowie eigenes SAP-Know-how.

SAP ETD schließt Sicherheitslücke

Mit SAP Enterprise Threat Detection (ETD) kann dieser Aufwand vermieden und die Lücke in der Überwachung kritischer SAP-Infrastrukturen geschlossen werden. ETD ist eine neue Echtzeitlösung von SAP, die alle SAP-Protokolle und -Logdateien „von Haus aus“ versteht und die vorhandenen SIEM-Systeme sinnvoll ergänzt. Im Prinzip funktioniert ETD genauso wie SIEM, indem es die Lösung ermöglicht, alle SAP-Logdateien zu übertragen und zeitnah zu analysieren. Kommt es zu einem Angriff auf SAP-Systeme und -Anwendungen, erkennt ETD dessen Spuren und löst einen Alarm aus, der wiederum zu vordefinierten Folgeaktivitäten führt. Ähnlich wie die SIEM-Lösungen erlaubt auch ETD forensische Analysen. Dabei werden historische Daten mit bekannten Angriffsmustern verglichen, um möglichen Attacken rückwirkend auf die Spur zu kommen.

Doch können mit ETD nicht nur technische, sondern auch semantische, applikationsspezifische Analysen der SAP-Protokolle durchgeführt werden. Damit lässt sich in Echtzeit erkennen, wenn in einem SAP-System etwa unerlaubte Buchungen vorgenommen oder E-Mails mit Anhängen und Makros eingeschleust werden, um Massenangriffe auf die Datenbank im Backend zu starten. Da die ETD-Lösung auf der In-Memory-Plattform SAP HANA läuft, ist eine zeitnahe Verarbeitung großer Datenmengen möglich. Darüber hinaus kann im Rahmen von Business Impact-Analysen nachvollzogen werden, welche Auswirkungen Angriffe auf die SAP-Landschaft hatten.

Vorteil standardisierter Funktionen

Gegenüber der „Aufrüstung“ vorhandener SIEM-Systeme durch Eigenentwicklungen bietet ETD den Anwendern den Vorteil standardisierter Funktionen. ETD stellt eine technisch ausgereifte Lösung dar, die von SAP mit jedem Service Package weiterentwickelt und um aktuelle Regeln für die Erkennung neuer Angriffsmuster ergänzt wird. Darüber hinaus ist zu erwarten, dass die neue Sicherheitslösung an den künftigen SAP-Technologieerweiterungen partizipiert. Denn ETD integriert sich nahtlos in die neue SAP-Produktstrategie, die mit SAP S/4HANA eine auf der In-Memory-Plattform basierende ERP-Suite zur Verfügung stellt.

Da SAP die Möglichkeit vorsieht, die Alarmierung aus ETD in ein bestehendes SIEM-System zu integrieren, wird sich vermutlich eine Koexistenz von traditionellen SIEM-Systemen und ETD bei den SAP-Kunden etablieren. Jedem Anwenderunternehmen sei allerdings empfohlen, sich zu sputen und die neue SAP-Sicherheitslösung möglichst schnell zu installieren. Denn die SAP-Systeme geraten immer stärker in den Fokus von Angreifern, wie die täglichen Meldungen zeigen.

Weitere Informationen:

Wie SAP Enterprise Threat Detection funktioniert

SAP stellt neuen Chief Security Officer vor.

Tags: , ,

Leave a Reply