Wie lassen sich IT (SAP) -Systeme vor KI-generierten Bedrohungen schützen und wie kann künstliche Intelligenz selbst in diesem Fall unterstützen? Zur Bedeutung der Systemhärtung als Grundvoraussetzung jeder KI-getriebenen SAP-Sicherheitsstrategie.
Lässt sich SAP-Sicherheit durch KI steuern? Auch die SAP-Security-Community sucht nach Antworten auf diese Frage. Als offensichtlicher erster Schritt kann künstliche Intelligenz SIEM und andere Überwachungssysteme unterstützen, indem sie kritische Aktivitätsmuster in der riesigen Menge an Ereignisprotokollen findet, die in den heutigen SAP-Umgebungen jede Minute erstellt werden.
Allerdings ist nicht jede kritische Aktivität bösartig. SAP-Sicherheitsteams müssen deshalb über ein gutes Verständnis des Normalzustands ihrer spezifischen Landschaft, einschließlich der kundenspezifischen Entwicklung, verfügen. Mit einem strengen System für die Nutzung von Superuser-Rechten und privilegiertem Benutzerzugriff in SAP-Anwendungen können sie das „Hintergrundrauschen“ akzeptierter kritischer Ereignisse so weit senken, dass eine realistische Chance besteht, bösartige Aktivitäten zu identifizieren.
Eine KI-gestützte Lösung zur Bedrohungserkennung in SAP kann sehr leistungsfähig sein, insbesondere bei der Erkennung von Cyberangriffen, die mehrere weniger kritische SAP-Schwachstellen miteinander verketten. Da die meisten Patch-Management-Strategien aufgrund von Ressourcenknappheit hohe und sehr hohe (sog. Hot News) Schwachstellen priorisieren, nutzen erfolgreiche Angriffe oft eine Kette von „Resten“ aus. Künstliche Intelligenz kann helfen, diese SAP-Sicherheitsbedrohungen zu erkennen. Sie kann ihre ganze Kraft aber nur innerhalb eines gehärteten SAP-Systems und eines SAP-Betriebs entfalten, der das sog. “least-privilege” Prinzip der minimal nötigen Benutzerberechtigungen verfolgt.
Ausfallsicherheit von SAP-Systemen ist oft gering
Der SAP-Sicherheitsexperte Securitybridge hat bei der Implementierung seiner Plattform jedoch eine andere Situation beobachtet. Da die wichtigsten Plattformmodule (Threat-Detection und Security & Compliance) mit vordefinierten Sicherheits-Baselines und Monitoring-Vorlagen ausgeliefert werden, ist es oft überraschend zu sehen, wie viele kritische Alarme und Erkenntnisse direkt nach der Initialisierung der Ereignisüberwachung, des Schwachstellenscans des SAP-Systems und des benutzerdefinierten Codes auftauchen. Da viele Kunden auch mit monatlichen System-Patches konfrontiert sind, die im Modul Patch-Management rote Alarme auslösen, ist oft eine recht geringe Widerstandsfähigkeit des SAP-Systems gegenüber Cyberangriffen zu diagnostizieren. In solchen Fällen hätten selbst einfache Angriffsszenarien gute Chancen, erfolgreich zu sein, oder schlimmer noch, unentdeckt zu bleiben.
Fazit: Nur Systemhärtung schafft Resilienz
Die Kombination aus niedriger Resilienz und hoher Anzahl kritischer Anwenderaktivitäten während des normalen Betriebs macht es für Security-Operations-Center-Teams nahezu unmöglich, zeitnah auf Cyberangriffe zu reagieren. Selbst bei Verwendung eines KI-basierten Ansatzes wäre die Anzahl der sog. “False Positives” in einer Systemlandschaft mit einer so großen Angriffsfläche wie SAP zu hoch. Das stellt die besten SOC-Teams vor einer großen Herausforderung, die Situation unter Kontrolle zu halten. Aufgrund der Komplexität der zugrunde liegenden Technologien und der Vielzahl von Anpassungen ist es unmöglich, ein SAP-System zu verteidigen, wenn es nicht richtig gehärtet ist. Daher empfiehlt sich dringend eine Systemhärtung als Voraussetzung für jede KI-getriebene SAP-Sicherheitsstrategie.
Von Holger Hügel, Product Management Director bei Securitybridge
