Information und Bildungsarbeit von und für die SAP-Community

Effektive Sicherheit beginnt beim Design der Infrastruktur

Cyberspionage ist die Plage der digitalen Wirtschaft – und wird meistens zu spät bemerkt. Um die Kronjuwelen in ihren SAP-Systemen effektiv zu schützen, müssen Bestandskunden schon beim Design der Infrastruktur ansetzen.
Peter Goldbrunner, Nutanix
7. November 2019
It-Security
avatar

SAP-Bestandskunden müssen bis 2025 auf die neuen Softwaregenerationen aus Walldorf umsteigen. Sie nutzen die Gelegenheit zur digitalen Transformation ihrer Prozesse und Geschäftsmodelle.

Sie müssen sich dabei aber auch der damit verbundenen Sicherheitsrisiken bewusst sein. Denn mehr Digitalisierung bedeutet mehr Angriffsmöglichkeiten für Cyberspione und -saboteure, insbesondere über Sicherheitslücken.

Die Migration auf S/4 Hana geht mit der Modernisierung der IT-Landschaften einher, Virtualisierung ist dabei das Mittel der Wahl. Eine Chance, die SAP-Bestandskunden nicht nur in betriebswirtschaftlicher Hinsicht, sondern auch für eine effektivere Sicherheit nutzen sollten.

Denn in virtualisierten Umgebungen sind zusätzlich zu den Sicherheitslücken in den Gastbetriebssystemen der virtuellen Maschinen potenzielle Lecks im Hypervisor und den darunter liegenden Schichten – inklusive Storage und Networking – zu bedenken. Da in solchen Infrastrukturen weitaus mehr logische Systeme und Applikationen laufen, gewinnt das Problem zusätzlich an Schärfe.

Ein sicheres Design von Infrastrukturen hilft, die Zahl der Sicherheitslücken zu senken. Ein schnelleres Einspielen von Sicherheitsaktualisierungen verringert die Angreifbarkeit.

Doch auch dann verbleibt ein Restrisiko, das mithilfe von spezialisierten Lösungen abgedeckt werden muss. Dies gelingt am einfachsten dann, wenn virtualisierte, softwaregesteuerte Infrastrukturen IT-Sicherheitsanbietern vordefinierte Integrationsmöglichkeiten bereitstellen.

Softwaregesteuerte Infrastrukturen haben den Vorteil, dass in ihnen Security als eine gleichberechtigte Funktionalität neben allen anderen implementiert werden kann.

Diese bildet alle Schritte einer auf Sicherheit ausgelegten Entwicklung ab: vom Entwurf und Einsatz der Software bis hin zum Test und dem zusätzlichen „Härten“ der Lösung.

Der Gesamtprozess wird im Fachjargon „Security Development Lifecycle“ (SecDL) genannt. Darin wird der Programmcode systematisch nach Sicherheitslücken untersucht.

Werden welche gefunden, nehmen die Entwickler sofort deren Beseitigung in Angriff. Dieses Vorgehen wiederholt sich ständig und zieht sich durch den kompletten Lebenszyklus in der Softwareentwicklung.

SecDL bietet darüber hinaus aber die Möglichkeit, im Prozess Sicherheitsregularien zu berücksichtigen. Dazu zählen insbesondere Common Criteria Certified nach EAL-2, FIPS 140-2, NIST-SP800-131A, NSA Suite B Support, Section 508 VPAT und TAA Compliant.

Ein weiterer Vorteil einer rein softwaregesteuerten Infrastruktur besteht darin, Sicherheitslücken weitgehend automatisiert zu ermitteln und zu schließen.

Dazu dienen insbesondere Sicherheits-Checklisten in der maschinenlesbaren Beschreibungssprache XCCDF (Extensible Configuration Checklist Description Format). Das erlaubt die einfache Implementierung von Sicherheitsleitfäden, sogenannten Security Technical Implementation Guides (STIGs).

Automatisierte Assessment-Tools können die STIGs zum Identifizieren von Sicherheitslücken nutzen. In der Praxis reduziert sich der dafür notwendige Zeitaufwand von neun bis zwölf Monaten je nach Fall bis auf wenige Minuten.

Enthält die Infrastruktursoftware zusätzlich Funktionen zur Autoreparatur, kann sie selbstständig den ordnungsgemäßen Zustand von Produktivsystemen wiederherstellen.

Selbstverschlüsselnde Laufwerke ermöglichen zudem eine Verschlüsselung für Daten im Ruhezustand („Data at Rest Encryption“), die also nicht aktuell für die Verarbeitung von Diensten und Applikationen gebraucht werden.

Seien wir ehrlich: Auch die beste Infrastruktursoftware kann keinen 100-prozentigen Schutz vor Angriffen garantieren. Sie muss daher Bestandskunden auf einfache Art und Weise ermöglichen, vom Know-how der etablierten IT-Sicherheitsanbieter zu profitieren, und Anbindungsmöglichkeiten mittels offener Programmierschnittstellen (APIs) bereitstellen.

Ob groß oder klein – Bestandskunden, die an der Zukunft ihrer SAP-Landschaft arbeiten, haben die einmalige Chance, Sicherheitsrisiken nicht wie bisher erst im Nachhinein, sondern von Beginn an zu minimieren.

avatar
Peter Goldbrunner, Nutanix

Peter Goldbrunner, Country Manager and Regional Sales Director Central Europe bei Nutanix.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.