Hacking von SAP-Systemen

Schützen Sie Ihre SAP-Systeme vor Hacking-Angriffen! Dieses Buch zeigt Ihnen, mit welchen Tools und Methoden Hacker vorgehen und wie Sie Schwachstellen erkennen und beheben. Anhand von Fallstudien und praktischen Beispielen lernen Sie typische Angriffsszenarien kennen - auf Netzwerk, Passwörter und RFC-Schnittstellen bis hin zu ABAP-Code, SAP HANA und Cloud-Anwendungen. Erfahren Sie, wie Sie Ihre Systeme durch Härtung, Schwachstellenanalyse und Threat Detection absichern.

Aus dem Inhalt:

• Aktuelle Bedrohungen
• SAP-Sicherheitswerkzeuge
• Hacker-Werkzeuge
• Angriffe auf Netzwerke
• Passwort-Hacking
• RFC-Sicherheit
• Schutz von ABAP-Code
• Angriffe auf SAP HANA
• Absicherung der Cloud
• Berechtigungsbasierte Penetrationstests
• Mobile Anwendungen sichern
• Forensik und Reaktion

Einleitung . . . 19

1. Aktuelle Angriffsvektoren und Sicherheitsstrategien für SAP-Landschaften . . . 27
1. 1 . . . Der Aufstieg der Cybersicherheitsindustrie . . . 28
1. 2 . . . Die Konsequenzen für die technische Sicherheit von IT-Systemen . . . 30
1. 3 . . . Resilienz gegen externe und interne Bedrohungen . . . 33
1. 4 . . . Strategie für eine resiliente SAP-Sicherheitsorganisation . . . 36
1. 5 . . . Typische Angriffsvektoren für SAP-Systeme . . . 40

2. SAP-Sicherheit per Default: Standards und aktuelle SAP-Sicherheitswerkzeuge . . . 53
2. 1 . . . Der Blick auf die klassische SAP-Sicherheitsarchitektur . . . 54
2. 2 . . . Security by Default . . . 55
2. 3 . . . Integration von Sicherheitsanforderungen in den Entwicklungsprozess . . . 58
2. 4 . . . SAP BTP: Sicherheit mit neuer Softwaregeneration . . . 60
2. 5 . . . Grundlage: die Arbeit mit dem Security Audit Log . . . 68
2. 6 . . . SAP Enterprise Threat Detection . . . 72
2. 7 . . . SAP Code Vulnerability Analyzer: Schutz des kundeneigenen Codes . . . 74
2. 8 . . . Das neue SAP Security Dashboard . . . 76
2. 9 . . . SAP Cloud ALM für das Security Monitoring . . . 77
2. 10 . . . Die wichtigsten SAP-Sicherheitsrichtlinien . . . 81

3. Wie kommen Hacker an die erforderlichen Informationen? . . . 85
3. 1 . . . Nutzung von Suchmaschinen und Foren . . . 86
3. 2 . . . Nutzung von Künstlicher Intelligenz . . . 92

4. Was brauchen Hacker für On-Premise-Systeme? Ein Werkzeugkasten . . . 99
4. 1 . . . Piraten auf Beutezug: Bug Bounty . . . 100
4. 2 . . . Das Werkzeug Nummer 1: Dokumentation . . . 103
4. 3 . . . Die Kali-Linux-Distribution . . . 104
4. 4 . . . Der neue Klassiker im Arsenal: PowerShell . . . 106
4. 5 . . . Rot gegen Blau: Werkzeuge für Angriff und Verteidigung . . . 107

5. Was brauchen Hacker für die SAP-Cloud? Mehr für den Werkzeugkasten . . . 127
5. 1 . . . Besonderheiten in den Verantwortlichkeiten bei Sicherheitstests und ethischen Hacks in der Cloud . . . 128
5. 2 . . . Reconnaissance . . . 129
5. 3 . . . Die Top 4 der Angriffswerkzeuge für die Cloud . . . 135
5. 4 . . . Angriffe auf die Identitäts- und Zugriffsverwaltung . . . 143
5. 5 . . . Angriffe auf APIs . . . 148
5. 6 . . . Container- und Kubernetes-Sicherheit . . . 151
5. 7 . . . Rechteausweitung und Persistenz-Werkzeuge . . . 154
5. 8 . . . Zugang zu Exploit-Datenbanken und Schwachstellen . . . 156

6. Erstes Ziel: das Netzwerk . . . 161
6. 1 . . . Neue Netzwerkarchitekturen . . . 161
6. 2 . . . Die Grundlagen: Netzwerk, Switches, Router und Firewalls . . . 165
6. 3 . . . SAP-Landschaft analysieren . . . 174
6. 4 . . . Virtuelle Netzwerke und Software-defined Networking . . . 183
6. 5 . . . Angriffe auf das Netzwerk in On-Premise-Landschaften . . . 190
6. 6 . . . Angriff auf das Netzwerk über die Cloud . . . 196
6. 7 . . . Grundlegende Mitigation gegen Netzwerkangriffe . . . 197

7. Einmal im Netzwerk, werden die Passwörter gehackt: Passwortschutz . . . 199
7. 1 . . . Technologie und Logik von Passwortprüfungen . . . 200
7. 2 . . . Technische Implementierung der Passwörter im SAP-System . . . 203
7. 3 . . . Wie kommen Hacker an die Passwort-Hashes? . . . 209
7. 4 . . . Angriff auf die Passwörter bzw. Hashes . . . 213
7. 5 . . . Werkzeuge: John the Ripper, Hashcat und die Cloud . . . 214
7. 6 . . . Verwendung von Wörterbüchern und Regeln beim Angriff . . . 219
7. 7 . . . Gegenmaßnahmen: starke Passwörter, sichere Hashes und Single Sign-on . . . 221

8. Welche SAP-Standardfunktionen können Hacker ausnutzen? . . . 235
8. 1 . . . Verstecken eigenentwickelter ABAP-Programme . . . 235
8. 2 . . . Funktionen ohne Berechtigungsprüfung . . . 242
8. 3 . . . Aufruf von Funktionsbausteinen über das Reporting . . . 244
8. 4 . . . RFC-Verbindungen pflegen ohne SM59-Berechtigung . . . 245
8. 5 . . . Ändern nicht änderbarer Tabellen . . . 249
8. 6 . . . Quelltexte pflegen ohne Versionierung . . . 252
8. 7 . . . Daten in der SAP-HANA-Datenbank mit ABAP manipulieren . . . 255
8. 8 . . . Löschen von Protokollen . . . 258

9. Angriff auf das SAP-System: Schutz von Remote Function Calls . . . 263
9. 1 . . . Grundlagen von Remote Function Call . . . 264
9. 2 . . . Mögliche Angriffe per Remote Function Call . . . 270
9. 3 . . . Blue Team: Schutz der RFC-Verbindungen . . . 277

10. Manipulation des kundeneigenen Codes: ABAP-Angriffe . . . 299
10. 1 . . . Codebeispiele für Angriffe mit ABAP-Code . . . 299
10. 2 . . . ABAP-Trojaner und Ransomware . . . 312
10. 3 . . . Angriffe auf das Transport Management System mit Upload-Viren . . . 315
10. 4 . . . Gegenmaßnahmen gegen ABAP-Angriffe . . . 316

11. Angriffe auf SAP HANA und die In-Memory-Datenbank . . . 329
11. 1 . . . Sicherheitskonzepte für SAP HANA . . . 329
11. 2 . . . Penetrationstests für SAP HANA . . . 332
11. 3 . . . Angriffe auf den Hauptspeicher . . . 333
11. 4 . . . Durchgriffe auf das ABAP-Schema in SAP HANA . . . 335
11. 5 . . . Monitoring und Erkennung von Angriffsmustern mit dem SAP HANA Audit Log . . . 338
11. 6 . . . Härtung von SAP HANA . . . 348

12. Angriffe auf die SAP-Cloud-Infrastruktur . . . 373
12. 1 . . . Die fünf Säulen der SAP BTP . . . 373
12. 2 . . . Identity Hacking in der Cloud . . . 379
12. 3 . . . API Hacking und die SAP Integration Suite . . . 389

13. Angriffe auf SAP-Cloud-Anwendungen . . . 403
13. 1 . . . Ein Cyber-Angriff auf ein fiktives Unternehmen: die Auto&Bahn AG . . . 404
13. 2 . . . SAP-Cloud-Anwendungen . . . 408
13. 3 . . . Die wichtigsten Angriffsvektoren auf Cloud-Anwendungen . . . 409
13. 4 . . . Sicherheitskonzept für SAP-Fiori-Anwendungen in der Cloud . . . 416
13. 5 . . . Hybrider SAP-Hack mit der Burp Suite . . . 422
13. 6 . . . Google Dork für einen API-Angriff . . . 428
13. 7 . . . Die Gefährlichkeit des Protokoll-Schmugglers . . . 429
13. 8 . . . Juristische Rahmenbedingungen von SAP-Systemen und -Anwendungen in einer Hyperscaler-Cloud . . . 432

14. Ransomware: Ablauf eines Angriffs . . . 437
14. 1 . . . Die Dynamik des Erfolgs von Ransomware-Akteuren . . . 438
14. 2 . . . Was kann man aus diesem Ablauf lernen? . . . 448

15. Berechtigungsbasierter Penetrationstest . . . 451
15. 1 . . . Berechtigungsbasierter Penetrationstest vs. klassische Berechtigungsanalyse . . . 452
15. 2 . . . Technische Voraussetzungen und Vorbereitung . . . 457
15. 3 . . . Voranalyse . . . 462
15. 4 . . . Ablauf des berechtigungsbasierten Penetrationstests . . . 480
15. 5 . . . Wo sind die Kronjuwelen? Besonders interessante Angriffsziele . . . 484

16. Angriffe gegen mobile Anwendungen . . . 495
16. 1 . . . Beispielanforderung: eine mobile App zur Krankmeldung . . . 496
16. 2 . . . Netzwerkarchitektur für den mobilen Zugriff auf SAP-Systeme . . . 497
16. 3 . . . Grundlegende Überlegungen zur Sicherheit einer mobilen Anwendung auf der SAP BTP . . . 500
16. 4 . . . Angriffe auf die mobile Landschaft . . . 505

17. Angriffe aus dem Internet der Dinge . . . 513
17. 1 . . . Sicherheit im Internet der Dinge . . . 514
17. 2 . . . Sicherheitsebenen des Internets der Dinge . . . 515
17. 3 . . . Kryptografie . . . 522
17. 4 . . . Anatomie eines Industrieanlagen-Hacks . . . 527
17. 5 . . . Angriffswerkzeuge für Hardware-Hacks . . . 530
17. 6 . . . Anatomie eines Hardware-Hacks . . . 539

18. Härtung der SAP-S/4HANA-Plattform . . . 543
18. 1 . . . Standardsicherheitsmaßnahmen der ABAP-Plattform . . . 544
18. 2 . . . Systemhärtung . . . 546
18. 3 . . . Benutzer und Berechtigungen im Griff . . . 554
18. 4 . . . Angriffsfläche verringern . . . 564
18. 5 . . . Backup und Restore -- nicht nur in der Theorie . . . 567
18. 6 . . . Systemhärtung auf Betriebssystemebene . . . 569
18. 7 . . . Überwachung des Dateisystems: »auditd« und Muster für die Angriffserkennung . . . 572
18. 8 . . . Mitigation bei Angriffen . . . 574

19. Erkennung von Angriffen, Abwehr und Forensik . . . 577
19. 1 . . . Anatomie eines Angriffs: das Framework MITRE ATT&CK im SAP-Kontext . . . 578
19. 2 . . . An der Quelle: die wichtigsten Protokolle zur Erkennung von Angriffen . . . 586
19. 3 . . . Microsoft Sentinel als SIEM für SAP-Systeme . . . 595
19. 4 . . . Auf Angriffe reagieren -- manuell oder automatisch? . . . 617
19. 5 . . . Praxisbeispiele von Angriffen . . . 618
19. 6 . . . Alternative SIEM-Lösungen für SAP-Systeme . . . 621

Das Autorenteam . . . 625

Index . . . 627