Startseite
01.2009		  
 

Klarheit und Nachvollziehbarkeit Das Richtige richtig tun – auch in der IT Security

Sicherheit für webbasierte ERP-/CRM-Portale – Neue Möglichkeiten aber auch neue Herausforderungen

Outsourcing – Wer kontrolliert eigentlich die Dienstleister?

Dem Täter auf der Spur – Forensische Analysen

Managed Security Services – Überwachung, Alarmierung und Betriebsunterstützung
informer 01.2009
.pdf-Datei [425 kB]
Events und
Workshops
Ihr Feedback
ist uns wichtig

Integralis.com
Impressum

e-newsletter »informer« abbestellen

Sicherheit für webbasierte ERP-/CRM-Portale – Neue Möglichkeiten aber auch neue Herausforderungen

Norman Wenk, Senior Consultant Business Development Secure Application Delivery
Norman Wenk, Senior Consultant Business Development Secure Application DeliveryWenn die Schnittstellen der verschiedensten Anwendungen im Webformat mit einem Portal als Basis bereitstehen, können wichtige Geschäfts­prozesse besser integriert und transparent abgebildet werden. Aber wie sieht es mit der Sicherheit aus?
Die Verfügbarkeit und Sicherheit von ERP- und CRM-Portalen wie SAP Enterprise Portal oder auch Collaboration-Anwendungen wie Microsoft SharePoint sind jederzeit (24/7) sicherzustellen, um geschäftskritische Ausfälle und nachfolgende Probleme zu ver­hindern. Aus diesem Grund müssen die zentralen Anwendungen in den Bereichen Collaboration, Customer Relationship Management (CRM), Enterprise Resource Planning (ERP) und Supply-Chain permanent steigenden Sicherheits-Anforderungen entsprechen, denn die Er­fahrungen aus klassischen E-Business Plattformen für Webshops zeigen, dass gezielte Angriffsversuche auf Web­an­wen­dungen sehr verbreitet sind und bei nahezu jedem Webserver Spuren davon in den Weblogs zu finden sind. Fast alle Webserver weisen entsprechende Schwachstellen auf und Hacker haben dies längst erkannt. Über 90 % der Angriffe finden laut dem Marktforschungsinstitut Gartner mittler­weile auf Anwendungsebene statt. Klassische Netzwerk-Fire­walls bieten für die Angriffe jedoch nur einen geringen Schutz, da sie den Zugriff von außen auf die internen Webserver grundsätzlich zulassen müssen.
E-Business- oder Portal-Anwendungen sind stark mit den internen Systemen (Daten- und Anwendungsservern, Datenbanken, etc.) verbunden - die angebotenen Daten müssen aktuell sein und damit laufend mit den internen Systemen aktualisiert werden. Gelingt es einem Angreifer, die Web­an­wen­dung zu komprimieren, hat er Zugang zu den inneren, sensitiven Systemen.

Welche Angriffe auf Web-Portale gibt es und wie sehen Sicherheitsrisiken bei webbasierten ERP-/CRM-Portalen aus?
Für Web-Angriffe sind keine Spezialtools erforderlich, ein Browser reicht in allen Fällen aus. Diese Angriffe erfolgen über browserbasierte Benutzeranfragen (Requests) direkt auf die Web­an­wen­dung und deren Daten.
Selbst für die einfachsten Angriffe sind Schwachstellen auf bekannten Webauftritten zu finden: Force-Full-Browsing, Manipulation von Hidden Fields, Backdoors, Cross Site Scripting, Parameter-Tampering, Buffer-Overflow, Cookie-Poisoning, SQL-Injection, um nur einige zu nennen.

Ein webbasiertes ERP-/CRM-Portal ist zudem eine komplexe Web­an­wen­dung mit verschiedenen Schnittstellen und wird oft als Mit­arbei­ter-Portal für interne Anwendungen genutzt. Jedoch werden immer häufiger auch externe Zugriffe auf zentrale Geschäftsprozesse von unsicheren Netzen wie dem Internet aus für Kunden, Geschäfts­partner, Lieferanten und Dienstleister über das Portal realisiert – die Erreichbarkeit muss daher jederzeit und weltweit gewährleistet sein für:
  • Beziehungen zu Kunden und Lieferanten (CRM)
  • Produktmanagement, Geschäftsmöglichkeiten und Dienstleistungen (PLM)
  • geschäftliche Transaktionen, Logistik- und Liefermanagement (SCM – Supply Chain Management)
  • Personalabteilung, Personalplanungsmanagement (HRMS – Human Resource Management Systems)
Wie kann ein webbasiertes ERP-/CRM-Portal geschützt werden?
Zur vorbeugenden Abwehr von Angriffen auf Anwendungsebene kann man sich daher nicht nur ausschließlich auf die Sicherheit des Codes verlassen, sondern muss eine Sicherheitskomponente davor schalten. Es ist daher notwendig, eine Firewall auf Anwendungsebene ein­zu­richten, die den Datenfluss analysiert und filtert. Dabei bildet der Regelsatz als zentrales Schutzelement die für die Anwendung er­for­der­lichen Anfragen ab (White-List-Ansatz). Alles andere wird aus­ge­filtert und löst gegebenenfalls Alarme aus.

Die Ziele eines Unternehmens, das seinen Kunden und Partnern einen Zugang zu webbasierten Portal-Anwendungen bietet, sollten  in der Gewährleistung der Sicherheit, aber auch der Verfügbarkeit und der Performance dieses Portals bestehen. Eine geeignete Umgebung für das SAP-Portal muss aus diesem Grund mindestens die folgenden Funktionen erfüllen:
  • Performance durch Serverentlastung (SSL-Terminierung/Offloading, Caching, TCP-Optimierung, Compression)
  • Verfügbarkeitssicherung durch Load-Balancer und geeignete Serviceüberwachung
  • Reverse Proxies, um die Zugriffe umzuschreiben und die Verbindungen zu terminieren
  • Ein Intrusion-Prevention-System zum Schutz gegen Denial-Of-Service-Angriffe und als Schutz gegen Denial-Of-Service-Angriffe auf Anwendungsebene
  • Eine Web Application Firewall (WAF), um nur die erwünschten Zugriffe durchzulassen
  • User-Authentifizierung gegenüber Local Directories bzw. Mechanismen und Lösungen für starke Authentifizierung und nachgelagertem Single-Sign-On.
Alle diese Komponenten sind in den modernen Systemen zur Portal­security, sogenannten Application Delivery Controllern (ADC) kon­soli­diert. Die genauen Vorteile für Ihr Unternehmen erfahren Sie bei einem Gespräch mit der Integralis.
Durch die Verringerung der notwendigen Server und Devices werden Ihre Betriebskosten maßgeblich reduziert. Eine weitere Reduktion ergibt sich durch hochentwickelte Appliances, die alle notwendigen Funktionen eines ADCs inklusive WAF integrieren. Die Betriebskosten von Appliances und Netzkomponenten können mit etwa 10-15% derer von Serversystemen geschätzt werden. Diese Systeme sind in der Lage, alle Anforderungen eines Unternehmens zu erfüllen und bilden eine optimale Grundlage für den Aufbau einer generischen Plattform für das ERP-/CRM-Portal, mit der die nachhaltige Sicherheit der Anwendungen gewährleistet werden kann.


E-Mail an den Autor     Artikel weiterempfehlen