Das ERP im Fadenkreuz: SAP-Systeme mit SIEM und SAP Enterprise Threat Detection absichern

Professionelle Cyberkriminelle nehmen inzwischen gezielt SAP-Anwendungen ins Visier. Klassische Sicherheitslösungen (SIEM) konnten diese Angriffe bislang nicht ausreichend erkennen und bekämpfen. Jetzt haben SAP und IBM eine Integration geschaffen, dank der SAP-Anwender das Sicherheitslevel ihrer IT erhöhen können. Sie verbindet IBM QRadar und SAP Enterprise Threat Detection nahtlos.

Cyberkriminalität ist zu einem hochgradig lukrativen und professionalisierten Geschäft geworden. Wer im digitalen Zeitalter ein Unternehmen angreift, setzt dafür längst nicht mehr auf simple Brute-Force-Attacken, sondern spioniert individuelle Schwachstellen aus – ein Angriffsplan nach Maß. Am Ende steht ein penibel geplanter Zugriff auf die IT, der sich kaum als solcher erkennen lässt.

Anbieter spezialisierter Sicherheitssoftware wissen das natürlich. Lösungen für Security Information and Event Management (SIEM) überwachen daher in Echtzeit den gesamten Datenverkehr im Unternehmensnetzwerk und schlagen im Verdachtsfall Alarm. Doch dabei gibt es zwei Probleme.

IT-Sicherheit: Hürden bei False Positives und Transaktions-Monitoring

Das eine ist die Treffsicherheit. „Wir wissen von Unternehmen, die viel Geld in ein umfangreiches SIEM-System investiert haben, es aber praktisch nicht verwenden“, sagt Dieter Riexinger, Senior IT Security Architect bei IBM. „Sie vertrauen dem System einfach nicht, weil es erheblich mehr Fehlalarme produziert als Treffer.“ Eigentlich müsste ein Security-Spezialist jeden dieser Alarme prüfen, aber das ist schon allein aus Ressourcengründen gar nicht möglich.

Problem Nummer zwei: Eine SIEM-Lösung überwacht in der Regel nur einen Teil der IT-Landschaft – nämlich den Datenverkehr im Netzwerk, Log-Dateien, Firewalls. Ein Monitoring der Auffälligkeiten im SAP-Umfeld fehlt. Ein Angreifer, der die Firewall überwunden hat, könnte sich so unbemerkt im System bewegen. Das ist vor allem deshalb bedenklich, weil viele unberechtigte Zugriffe auf die Unternehmens-IT gar nicht von außen kommen – sondern von innen. Beispielsweise von den Workstations der eigenen Mitarbeiter.

Native Integration von SAP Enterprise Threat Detection

Mit dem Zusammenspiel der IBM-SIEM-Lösung QRadar und SAP Enterprise Threat Detection werden Kunden beide Probleme lösen. „Die Software überwacht sämtliche sicherheitsrelevanten Ereignisse in der IT-Landschaft und liefert so eine Komplettübersicht über die aktuelle Sicherheitslage“, erklärt Riexinger. Möglich macht das nun die nahtlose Integration von SAP Enterprise Threat Detection. Diese Anwendung erkennt und analysiert Security-Events innerhalb der SAP-Landschaft, indem sie Log-Dateien überwacht und verdächtige Muster identifiziert – beispielsweise vermehrt fehlgeschlagene Login-Versuche.

Firewall-Regeln, HR-Daten, Datenbank-Downloads oder Zugriffe auf Transaktionen: All diese Informationen werden zusammengeführt. Dabei geht QRadar kontextbezogen vor. Die Software protokolliert zunächst sämtliche für sich genommen harmlosen Vorgänge – beispielsweise die Suche nach offenen Ports oder Zugriffe auf ein SAP-System außerhalb der Arbeitszeit vom selben Userkonto – und erkennt mittels Machine Learning, wie hoch das Risiko einer bevorstehenden Attacke ist. SAP Enterprise Threat Detection ergänzt das SIEM-System im SAP-Umfeld. Permanent erweiterte Muster helfen beim Erkennen von Auffälligkeiten in den unterschiedlichen SAP-Security-Bereichen wie SAP Security Notes, Konfigurationen und generellen Auffälligkeiten (Berechtigungen, Sondernutzer, Debugging).

Kontextbezogene Analyse entlastet Security-Experten

Statt sofort einen Alarm auszugeben, sammeln die Systeme alle Informationshäppchen bis ein Gesamtbild sichtbar wird – ein Muster eines möglichen Angriffs. Gab es von einer User-ID beispielsweise Zugriffe aus verschiedenen Ländern? Oder Zugriffsversuche auf sonst eher selten verwendete Datenbanken? Deutet die Reihenfolge solcher Ereignisse auf ein bekanntes Angriffsmuster hin? Anhand dieses Wissens lassen sich Attacken nicht nur im Nachhinein auswerten, sondern gezielt bekämpfen.

Das Ergebnis: Security-Analysten werden nicht mehr mit Fehlalarmen überflutet, sondern erhalten nur noch relevante Meldungen – sowie ein präzises Bild von der tatsächlichen Bedrohungslage. Zudem erfahren sie, welche anderen Anwendungen ebenfalls anfällig sind, Opfer der aktuellen Attacke zu werden.

Security-Konzept muss ganzheitlich gedacht werden

„Für ein intelligentes Unternehmen ist Security ein integraler Bestandteil der IT-Strategie“, ergänzt Martin Müller, Solution Senior Expert Security bei SAP. „Mit Firewalls ist es längst nicht mehr getan. Angriffe finden zunehmend auf Anwendungsebene statt.“ Kein Wunder, zielen doch Wirtschaftsspionage oder Sabotage auf den eigentlichen Schatz der Unternehmen ab: den Daten in den SAP-Systemen. „Die Integration von SAP Enterprise Threat Detection und IBM QRadar ist daher für Anwender zwar technisch nur eine kleine Umstellung – für ihr Sicherheitsniveau aber ein gewaltiger Fortschritt.“

Weitere Informationen:

Erfahren Sie mehr zur Integration von SAP Enterprise Threat Detection in IBM QRadar – im Community-Blog.