Zum Inhalt wechseln

"Natürlich passiert es, dass ich mein Smartphone zu Hause herumliegen lasse und mein Kind spielt damit, wenn ich vorher den Bildschirmschoner kurz durch mein Passwort entsperrt habe."

DP-Autor Joachim Jakobs spricht mit Gordon Mühl, Chief Technical Officer (CTO) für Security, bei dem Walldorfer Software-Unternehmen SAP über die Risiken von System-Generalschlüsseln, Zero-Days, IT-Grundschutz und sicherheitsrelevanten Patches.

Hintergrund-Interview zum Artikel: "IT-Sicherheit - Keine ferne Zukunft: Cyberwaffen im Einsatz", DEUTSCHE POLIZEI, März 2015



Joachim Jakobs: Verschiedene Quellen behaupten, dass Cyber­Kriminelle mit allerlei Tricks 'SAP_ALL' Rechte erlangen könnten. Ich nenne das einen „Generalschlüssel“. Ist die Vorstellung eines „Generalschlüssels“ zu SAP realistisch?
Gordon Mühl: Die Sicherheitsvorkehrungen, die wir in unseren Systemen eingebaut haben, schließen aus, dass Sie damit alles lahmlegen könnten. Sie können natürlich mit genügend Aufwand immer etwas probieren – aber wenn Sie sich überlegen, was für ein Aufwand das wäre, einen Generalschlüssel zu erzeugen für ein System dieser Komplexität und dieser Größenordnung – da suchen Sie sich lieber ein anderes Hobby.

Also mir wurde gesagt, dass ich mit einem Zero­Day nicht nur an das SAP System, sondern auch an die Datenbank und sogar das Betriebssystem kommen kann?!
Einen Zero­Day hat es bei SAP bislang noch nicht gegeben! Ein Zero­Day ist – so die Definition – eine bislang nicht geschlossene und öffentlich bekannte Sicherheitslücke, vor der sich der Nutzer nicht schützen kann; unsere Partner melden uns diese Lücken in verantwortungsbewusster Weise, und wir schließen die Lücke dann. Erst danach werden sie in der Öffentlichkeit diskutiert.

Wenn einer Ihrer Partner ein solches Loch findet, kann das doch auch jeder Kriminelle?
Wir wissen nicht, ob es das jemals gegeben hat. Bisher ist uns davon jedenfalls nichts bekannt.

Wie groß wäre denn das Risiko für ein Unternehmen, wenn wir mal hypothetisch unterstellen, dass es einen solchen Generalschlüssel gäbe?
Da es keinen solchen Schlüssel gibt, brauchen wir das nicht zu unterstellen. Aber: Sie hatten eben die Datenbank und das Betriebssystem erwähnt. Man kann natürlich über eine Lücke in der Datenbank sowie dem Betriebssystem in ein SAP­System eindringen. Also insofern ist es natürlich wichtig, auch das Betriebssystem und die Datenbank mit Patches zu versorgen. Auf der Ebene könnte ich mir viel leichter einen Generalschlüssel vorstellen.

Also SAP ist nicht nur auf die Sicherheit des eigenen, sondern auch auf die der korrespondierenden Systeme angewiesen?
Ja natürlich. Auch die Datenbank und das Betriebssystem müssen sicher betrieben werden.
Wir können gerne die Schutzmechanismen durchgehen, die wir in dem Umfeld entwickelt haben, um das zu verhindern. Eine Zeitlang wurde Microsoft sehr häufig angegriffen …

… Ja immer noch!
Ja immer noch, aber immer weniger erfolgreich. Das liegt natürlich daran, dass Windows ein sehr homogenes und sehr gleichartiges Systeme ist. Und nachdem Windows zwar immer noch angreifbar war, aber es immer aufwendiger wurde, haben die Leute Adobe ins Visier genommen. Eine Zeitlang wurden gern Adobe­ Produkte angegriffen. Wie ist es nun bei SAP? Man kann es gut oder schlecht finden – aber von SAP finden Sie kaum zwei gleiche implementierte Systeme. Weil die Kunden diese Systeme für an ihre Bedürfnisse anpassen und demnach bestimmte Funktionen benutzen und andere Funktionen eben nicht. Da ist schon die Grundlage eines jeden Systems völlig anders. Jetzt gibt es natürlich auch bei SAP viele Standardfunktionen – sonst verdienten wir kaum Geld, wenn wir alles individuell programmierten. Aber da, wo es sie den Standard gibt, haben wir ihn nicht nur verschlüsselt, sondern wir überwachen das System auch – beziehungsweise geben dem Kunden Möglichkeiten an die Hand, das selbst zu tun.

Was wir seit letztem Jahr neu anbieten, ist 'Enterprise Threat Detection'. Das ist ein Produkt, das nicht nur SAP, sondern alle Systeme – egal welcher Art – überwacht. Und das mit der Performance von HANA (einer neuen In­Memory­Datenbank­Plattform von SAP zur Verwaltung riesiger Datenmengen, Anm. d. Autors).
Damit hat der Kunde viel mehr als mit bisherigen SIEM­Systemen die Möglichkeit, alle Daten zu korrelieren. Ein Beispiel: Wenn Sie sich in Deutschland am SAP­System anmelden, nachdem Sie ins Firmen­ Gebäude gegangen sind, sich aber gleichzeitig auch in China einloggen, dann liegt es nahe, dass etwas nicht stimmt. Früher konnten wir das nur im Nachhinein feststellen, jetzt können wir das in Echtzeit machen. Wir können jetzt Milliarden von Logs auf der Netzwerkebene, auf der Betriebssystemebene, auf der Datenbank­ Ebene, auf der Ebene der SAP­Systeme und auch auf der Ebene von Umgebungssystemen – etwa von einem Gebäudezugangssystem – in Echtzeit analysieren und dann eventuell feststellen: „Da stimmt etwas nicht.“ Das ist das Neueste, was wir anbieten und was in dieser Form auch noch nicht am Markt zu finden ist.

Welche Bedeutung hat denn die Sicherheit SAP­intern? Ich vermute, Sie besteht gemäß der Sicherheits­ und Notfallgesetze entsprechend IT­Grundschutz des BSI oder ISO 27000?
Hier bei müssen wir unterscheiden: Für unsere Gebäudesicherheit und den Brandschutz haben wir Notfallkonzepte, redundante Rechenzentren und eine redundante Stromversorgung. In der Softwareentwicklung gibt es bei der SAP eine Besonderheit gegenüber vielen anderen Firmen: Ich habe hier eine Zentralabteilung, die den Entwicklungsbereichen vorgibt, was sie zu tun haben. Bei SAP speziell kommt eine unabhängige Validierung hinzu: In der Regel müssen Entwickler termingerecht liefern. Diese Situation bringt einen Entwickler in die Bredouille: „Implemetiere ich noch das Security­Feature oder bin ich fertig?“ Diesen Konflikt haben Sie immer dann, wenn Sie das nicht klar organisatorisch trennen. Und bei uns haben wir das so gelöst, dass die 'Validierung' – eine Abteilung bei mir – erst nochmal über die fertige Software 'drüber schaut. Diese Abteilung hat das Ziel zu evaluieren, ob da noch etwas an Sicherheitslücken enthalten ist. Das ist ihr einziges Ziel. Dieses Team interessiert nicht, ob das Softwarepaket rechtzeitig geliefert wird oder nicht. Es bewertet einzig die Tatsache, ob es sicher ist.
Dadurch haben Sie diesen Zielkonflikt nicht mehr im Management. Und der Entwickler achtet von Beginn seiner Arbeit an auf den Sicherheitsaspekt und nicht erst am Ende. Denn sonst kommt er nie und nimmer durch die Validierung. Dazu haben wir diese Abteilung in mehreren Ländern, die dann entscheidet, ob das, was auf den Marktplatz (Eine Internetseite, von der SAP­Software bezogen werden kann, Anm. d. Autors) zum Download kommt oder eben auf DVD gebrannt wird, letztlich auch sicher ist.

Unternehmensinterne PEN­Tester (Penetrationstester sind Menschen, die im Auftrag des Unternehmen versuchen, in die IT­Systeme der Firma einzudringen, Anm. d. Autors)?
Ja, auch – aber nicht nur.

Wenn ich Sie recht verstehe, ist SAP nicht vom BSI bzw. nach den ISO­Normen zertifiziert?
Die SAP-Software ist nach verschieden Standards zertifziert, wie zum Beispiel ISO27001, Common Criteria (ISO 15408), ISAE 3402 and SSAE 16. Software, die kritische Daten wie Kreditkartennummer verarbeitet, ist auch nach den dafür geltenden Standards zertifiziert (PCI DSS). Dazu gehört zum Beispiel, dass sie die Kreditkartennummer nicht nur verschlüsseln, sondern das sie diese Kreditkartennummer nicht alle mit demselben Schlüssel verschlüsseln und die verschiedenen Schlüssel auch regelmäßig durch neue austauschen.

Wie gehen Sie extern mit dem Thema Sicherheit um? Sie haben Kunden, Partner und die Politik. Wie sprechen Sie die auf allen Ebenen und in ihrer jeweiligen rollenspezifischen Verantwortung an?
Wir haben sehr viele Informationen auf den jeweiligen Partner­Websites verfügbar. Die Patches gibt es für Kunden sowie Partner. Wer kein Kunde oder Partner ist, braucht auch keine Patches. Dann haben wir bei den Nutzerkonferenzen und den Anwendergruppenvertretungen – DSAG (Deutsche SAP Anwendergruppe, Anm. d. Autors) und ASUG (Americas’ SAP Users’ Group, Anm. d.
Autors) – Arbeitsgruppen zum Thema Sicherheit: Wie kann man patchen? Was kann man da machen?

Bei unseren großen Kunden haben wir dann auch nochmal extra Vertretungsgremien, die uns dann auch nochmal sagen, was sie in der Zukunft im Bereich Sicherheit für wichtig erachten, woran SAP arbeiten sollte – so eine strategische Ausrichtung. Außerdem unterhalten wir enge Kontakte zum BSI, mit denen wir Erfahrungen austauschen, über Technologie reden und gemeinsam Projekte durchführen. Und wir reden natürlich auch mit der Politik – und erklären dabei, welche Wirkung Gesetze auf die Wirtschaft haben können.

Apropos Gesetze: Was halten Sie denn davon, dass der Innenminister einen Nachschlüssel zu allen kryptographisch verschlüsselten Daten haben will?
Das ist ein politisches Problem.

Sie müssen aber am Ende doch damit umgehen?!
Entweder der Gesetzgeber bestimmt das und – ich hoffe, dass das nicht passiert; dann müssen wir uns daran halten. Sofern es aber keine Gesetze dazu gibt, besteht auch kein Grund, so etwas zu implementieren.

Reden Sie denn mit der Politik über so was? Fragen die Sie? Oder stellen die gleich auf Durchzug?
Unsere Expertise wird besonders beim Thema Datenschutz geschätzt. Die Ende­zu­Ende­Verschlüsselung war bisher kein Thema.

Haben Sie denn ein Marketingkonzept, um Ihr Wissen an die Frau und den Mann zu bringen?
Wir arbeiten sehr eng mit Safecode zusammen. Das ist eine Organisation, die sich mit den Best Practices der sicheren Softwareentwicklung beschäftigt. Da sind wir Gründungsmitglied und bringen unsere Expertise ein, veröffentlichen unsere Erfahrungen und Schulungsunterlagen, damit das allen zur Verfügung steht, die auch sichere Software entwickeln wollen. Microsoft und alle anderen großen Softwareunternehmen sind auch in dieser Vereinigung vertreten.

Führen Sie denn auch eine Erfolgskontrolle durch, ob das Marketing das bewirkt, was es bewirken soll?
Wir wollen sicher wissen, ob SAP als sicheres Softwareunternehmen wahrgenommen wird. Wir laden aber nicht alle Welt ein, unsere Produkte auszuprobieren und auf Sicherheit zu prüfen. Das macht keinen Sinn.

Damit tun Sie etwas auf der Ebene der Entwicklung – darüber hinaus gibt es aber auch noch Entscheider, die die Entwicklung in Auftrag geben und Admins, die das Ergebnis der Entwicklung implementieren und schließlich noch die Nutzer.
Unsere Kunden sind Unternehmen. Unser Marketing, unsere Ausbildung und unsere Aktionen richten sich auf Unternehmen und deren Mitarbeiter. Wir prüfen dabei, ob unsere Kunden ihre Systeme patchen, wie sie das tun, welche Probleme sie dabei haben und wie wir den Prozess permanent verbessern können.

Einige Beobachter scheinen der Ansicht zu sein, dass die Admins mit der Vielzahl der Flicken überfordert sind, die sie den lieben langen Tag einbauen sollen. Halten Sie diese Kritik für berechtigt?
Das möchte ich gar nicht beurteilen. Nur so viel: IT­ Systeme werden regelmäßig mit Patches versorgt. SAP liefert genauso wie andere Software­Hersteller, beispielsweise Microsoft, an jedem 2. Dienstag im Monat die sicherheitsrelevanten Patches an die Kunden aus. Diese Regelmäßigkeit erlaubt es den Kunden, das Patchen in den Geschäftsablauf zu integrieren.

Wie viele SAP­Nutzer beziehungsweise Anwender gibt es denn in Deutschland oder auch weltweit?
Weltweit greifen etwa 70 Millionen Nutzer auf die SAP Cloud zu – allerdings mit ganz unterschiedlichen Rechten. Einige dürfen eben „nur“ einen Urlaubsantrag abschicken und ihre Gehaltsabrechnung einsehen.

Nehmen wir mal an, Sie hätten mit Ihren geschilderten Maßnahmen die Entwicklung und die Implementierung/Administration der SAP Systeme gesichert – wie aber sieht es mit den beiden 'Enden' der Prozesskette ­ den Entscheidern und den genannten 70 Millionen Nutzern aus? Können die einen Einfluss auf die Sicherheit haben und was können oder müssen Sie tun, um die Auswirkung negativer Einflüsse zu begrenzen?
Also wenn Sie Ihre Lohnabrechnung über SAP beziehen oder Ihren Urlaub über SAP einreichen, gibt es wenig, was Sie über die normalen Nutzerkenntnisse hinaus benötigen. Sie müssen sich Ihr Passwort merken können oder Ihr Unternehmen hat ein Single­Sign­On für Sie eingerichtet – genauso wie Ihre IT­Abteilung dafür sorgt, dass Ihr Virenscanner aktualisiert wird. Generell gilt aber: Sie können natürlich Einfluss auf die Sicherheit nehmen, zum Beispiel, dass jedes Quartal der Nutzer ein neues Passwort für seinen Systemzugang vergeben muss.

Auf ein SAP­System lässt sich auch per Telefon zugreifen. Kann ich das SAP System auch per Telefon mit Schadsoftware infizieren?
Unternehmen, die erlauben, dass ihre Mitarbeiter per Smartphone auf das SAP­System zugreifen, können dieses Smartphone schützen. Dazu bieten wir übrigens auch Management­Software, für mobile Geräte an, SAP Afaria, um auch mitgebrachte Telefone sicher zu machen. Natürlich passiert es, dass ich mein Smartphone zu Hause herumliegen lasse und mein Kind spielt damit, wenn ich vorher den Bildschirmschoner kurz durch mein Passwort entsperrt habe. In dem Augenblick kann mein Kind dann das Gleiche machen wie ich auch – etwa Urlaubsanträge genehmigen. Aber das ist natürlich genauso, als wenn ich im Home­Office meinen PC nicht abgesichert habe.
Ob man nun das SAP­System über das Smartphone hacken kann, hängt wesentlich davon ab, welche Funktionen das Unternehmen denn mobil überhaupt zulässt. Entweder Sie haben Vertrauen zu Ihren Mitarbeitern oder Sie schränken eben die Funktionalität ein. Viele SAP­Kunden begrenzen die mobilen Möglichkeiten ihrer Mitarbeiter. Besonders wertvolle Daten darf man nur aufrufen, wenn man in der Firma am Bildschirm sitzt und nicht am Flughafen, wo die halbe Konkurrenz zuschaut.

Das heißt, Sie kontrollieren wo der Kunde sich befindet und gewähren dann kontextsensitiv Zugriff oder auch nicht?
Wir machen das nicht! Der Kunde muss sich überlegen, welche Anwendungen und damit auch, welche Daten er auf dem Handy zulässt. Eine kontextsensitive Zugriffsberechtigung haben wir deshalb nicht implementiert, weil die Angabe, wo sich das Handy aktuell befindet, sehr leicht zu fälschen ist. Sollte die Information über den Aufenthalt eines Handys irgendwann tatsächlich verlässlich sein, könnten wir das für unsere Kunden einbauen – wir würden das nicht überwachen. Unabhängig davon muss der Kunde mit seinem Mitarbeiter klären, ob er ihn überwachen darf oder nicht. Damit haben wir aber nichts zu tun.

Ich habe gelesen, Sie arbeiten seit 2011 mit Palantir (1) zusammen – sind Sie zufrieden mit denen?
Bitte haben Sie Verständnis dafür, dass wir uns über Geschäftsbeziehungen nicht äußern.

Microsoft muss nach einem Beschluss eines US­amerikanischen Bezirksgerichts Daten herausgeben, die in Irland gespeichert sind. Mir wurde gesagt, das könnte jedes Unternehmen treffen, das physikalische Verbindungen in die USA unterhält. Glauben Sie, dass Ihnen Ähnliches passieren könnte?
Das ist reine Spekulation. Auch hier bitte ich um Verständnis, dass wir uns hierzu ebenfalls nicht äußern.

Im Zuge des NSA­Skandals wurde eine ganze Litanei von Unternehmen genannt, die freiwillig oder gezwungener Maßen mit den US­Behörden kooperieren. Von der CIA ist bekannt, dass sie „Alles“ sammeln und für „immer“ behalten. In den 'SAP National Security Services' (SAP NS2) haben Sie zwei frühere CIA-Agenten sitzen; unter den US­Behörden haben Sie zahlreiche Kunden. Mir ist nicht bewusst, dass SAP als Datenlieferant genannt worden wäre oder dass die Dienste sich dort bedient hätten – liegt das nun daran, dass es keine diesbezüglichen Vorgänge gibt – oder sind die nur noch nicht bekannt?
Auch dazu werden wir keine Informationen verbreiten. Was die NS2 selbst angeht: sie ist eine Tochterfirma der SAP USA und ist aufgesetzt worden, damit Software im öffentlichen Bereich verkauft werden kann.

Soweit mir bekannt, dürften Sie ja auch gar nicht drüber reden …
Das würden wir auch nicht tun. Da verhält es sich, wie bei anderen Kunden auch. Da ist es mir auch nicht erlaubt, über Kundenprojekte zu sprechen.

Werden Sie denn von Ihren Kunden auf das Thema angesprochen?
Also ich persönlich wurde nicht angesprochen.

Vermutlich wollen Sie meine nächste Frage auch nicht beantworten wollen – Sie wollen 'vorausschauend' Straftaten in Bayern erkennen …
… Ich will das nicht – die Bayerische Polizei möchte das! (Schmunzelt).

Okay – Sie wollen die Bayerische Polizei darin unterstützen. Nun ist es angeblich allein schon schwierig, einem Computer beizubringen, was denn ein Stuhl ist. – Das heißt, bei den vorausschauenden Analysen haben wir einerseits die Schwierigkeit, ob denn die Daten valide sind und zweitens, ob die Algorithmen leisten, was sie leisten sollen. Und zum Dritten soll das alles manipulationssicher sein. Wie gehen Sie damit um?
Details dieses Projekts sind mir erstens nicht bekannt, zweitens sprechen Sie Probleme an, die es irgendwo in der Informatik gibt ohne Bezug zu diesem konkreten Szenario. Zurück zu dem, was mit Hilfe von Software heutzutage möglich ist: Sie können Fakten erkennen, wenn Sie sich im Ausland befinden, sich aber gleichzeitig im Heimatstandort Ihres Unternehmens ins System einloggen. Das ist relativ einfach. Das ist das, was beispielsweise möglich ist. Alles andere ist Spekulation!

Der Stuhl war ein triviales Beispiel – ums ein wenig konkreter an der Strafverfolgung festzumachen: Das Projekt „indect“ will „abnormes“ Verhalten automatisiert erkennen. Nur: Was ist „abnorm“ – wer definiert denn die „Norm“? Wie will ich einem Computer beibringen, was abnorm ist, wenn ich nicht einmal definieren kann, was ein Stuhl ist?
Mir scheint, wir schweben hier im hypothetischen Raum. Wie bereits erwähnt, werden wir uns zu diesem Projekt nicht weiter äußern.

Herr Mühl, recht herzlichen Dank für dieses interessante Gespräch!



Fußnote:
(1) Das US-Wirtschaftsmagazin Forbes bezeichnet Palantir als eine vom US-Geheimdienst „CIA finanzierte Data- Mining-Dampfwalze“