SAP SIEM und IT Sicherheitsgesetz 2.0

Das neue IT-Sicherheitsgesetz 2.0 des BSI erfordert für alle KRITIS-relevanten Systeme ein Monitoring-System, auch SIEM (Security Information Event Management) genannt. Dies muss auch für SAP-Systeme existieren bzw. müssen SAP-Systeme dort angeschlossen sein.

Es sollte aber nicht Ziel einer SAP Sicherheits-Implementierung sein, auf den juristischen Auftrag zu warten. Jedes Unternehmen muss sich heute proaktiv selbst schützen und kann die eigene IT Sicherheit nicht an einen Gesetzgeber delegieren.

In einer SAP-Landschaft ist der Eckstein einer jeden SAP Security der Security Audit Log (SAL). Es sollte das Kernstück dieser Strategie sein.

Dieser Log ist von SAP so implementiert worden, dass er alle sicherheitsrelevanten Protokoll-Einträge, von falscher Passwort-Eingabe über externen RFC-Aufrufe bis hin zu Manipulationen an Transaktionen via Debugger, in eine Datei auf dem SAP-Server mitprotokolliert. Dieser Audit-Log sollte immer angeschaltet sein, denn er ist die Grundlage, um aus diesen Einträgen sicherheitskritische Situationen (SIEM – Security Incident Events) zu extrahieren.

Event basiertes Security-Logging

Es gibt mehrere Dutzend Events, die so aufgezeichnet werden. Eine komplette Liste der Events sowie eine detaillierte technische Beschreibung gibt es auf dem sehr guten Blog von Frank Buchholz bei der SAP (Link im Nachgang zu diesem Artikel)

Das Fortschreiben dieser sicherheitsrelevanten Einträge und deren Analyse steht auch immer wieder auf der Forderungsliste von SAP-Auditoren und Revisoren und auch im Nachgang als Ergebnis aus SAP Penetration Tests. Denn viele dieser Angriffsvektoren sind eindeutig im SAL zu identifizieren. Deshalb kommt diesem auch eine Schlüsselrolle bei SAP-Abwehrstrategien zu.

Bei einer SIEM-Lösung (Security Information and Event Management) handelt es sich um eine Software, mit der diese sicherheitsrelevante Daten –  nicht nur aus SAP, sondern aus verschiedenen Quellen –  in Echtzeit gesammelt, analysiert und korreliert werden können.

Notwendigkeit außerhalb juristischer Anforderungen

Neben den juristischen Anforderungen gibt es mehrere wichtige Beweggründe, warum ein Unternehmen eine SIEM-Lösung installieren sollte:

  • Einhaltung von Vorschriften: In vielen Branchen gibt es spezifische Vorschriften und Compliance-Standards, die von Unternehmen verlangen, dass sie die Sicherheit ihrer Systeme regelmäßig bewerten und überwachen. SIEM-Lösungen können Unternehmen dabei helfen, die Einhaltung dieser Vorschriften nachzuweisen, indem sie einen zentralen Überblick über sicherheitsrelevante Daten und Warnungen bieten.
  • Erkennung von und Reaktion auf Bedrohungen: SIEM-Lösungen können Unternehmen dabei helfen, Sicherheitsbedrohungen in Echtzeit zu erkennen und darauf zu reagieren, indem sie einen zentralen Überblick über sicherheitsrelevante Daten und Warnmeldungen bieten. Auf diese Weise können Unternehmen Sicherheitsvorfälle, wie z. B. Datenschutzverletzungen oder Malware-Infektionen, schnell erkennen und darauf reagieren.
  • Sicherheitsanalytik: SIEM-Lösungen können Unternehmen mit fortschrittlichen Sicherheitsanalysefunktionen ausstatten, mit denen sich Muster und Anomalien in sicherheitsrelevanten Daten erkennen lassen. Dies kann Unternehmen dabei helfen, aufkommende Bedrohungen zu erkennen und darauf zu reagieren sowie ihre allgemeine Sicherheitslage zu verbessern.
  • Untersuchung von Vorfällen: SIEM-Lösungen können Unternehmen die Tools und Daten zur Verfügung stellen, die sie zur Untersuchung von Sicherheitsvorfällen benötigen. Dies kann Unternehmen dabei helfen, den Umfang und die Auswirkungen von Sicherheitsvorfällen zu verstehen und die Ursache und die verantwortlichen Parteien zu identifizieren.

Wir haben, um möglichst produkt-agnostisch zu sein, eine Beispiel-Implementierung für solch ein SAP SIEM System auf Basis des ELK-Stacks als Showcase realisiert. Dieser besteht aus verschiedenen, in der Open-Source-Bewegung verankerten Produkten: Elastic Search als die universelle Suchmaschine, die auch in kommerziellen Produkten wie splunk zum Einsatz kommt. Dann Logstash als Teilsystem, das die Log-Verarbeitung übernimmt. Ebenso wird Kibana zur Viisualisierung der Daten in Dashbooards benutzt.

Dies ist nur ein Beispiel vieler möglicher Implementierungen, die zur schnellen Realisierung von SAP SIEM Log Systemen verwendet werden kann.