Cyber-Attacken: TU Darmstadt setzt auf Virtual Forge
Mit rund 26.000 Studierenden und 4700 Beschäftigten zählt die TU Darmstadt zu den führenden Technischen Universitäten in Deutschland.
Hier wird SAP sowohl in der zentralen Universitätsverwaltung als auch in den Fachbereichen, Instituten und dezentralen Einrichtungen zur Steuerung der zentralen Geschäftsprozesse eingesetzt: von der Budget- und Personalverwaltung über das Bau- und Immobilienmanagement bis hin zu Drittmittelverwaltung und Controlling.
„Fällt ein SAP-System aus, können wesentliche Verwaltungsprozesse zum Erliegen kommen“
berichtet Dorothee Krohberger-Stock, die an der TU Darmstadt das SAP CCoE sowie die IT- und Prozesskoordination leitet.
Um Betriebsstörungen zu verhindern und gegen externe wie interne Cyber-Attacken gewappnet zu sein, planten die SAP-Verantwortlichen, ein wirksames SAP-Sicherheitskonzept zu installieren.
Dazu wurden zunächst drei Bereiche identifiziert: Systemkonfigurationen, systemkritische Berechtigungen und Abap-Eigenentwicklungen. Da manuelle Analysen dieser Prüfbereiche die vorhandenen Ressourcen übersteigen würden, entschied man sich für den Einsatz der SAP-Sicherheitswerkzeuge von Virtual Forge.
Fehlerhafte Konfigurationen aufgespürt
So führte die TU Darmstadt im Jahr 2014 den SystemProfiler zur automatischen Iden- tifizierung und Beseitigung von fehlerhaften oder nicht optimalen Konfigurationen in den SAP-Systemen ein.
Das Tool kombiniert das langjährige Security-Know-how mit aktuellen Sicherheitsrichtlinien und Empfehlungen zum Beispiel von SAP, der Deutschsprachigen SAP-Anwendergruppe (DSAG) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
„Mit dem SystemProfiler können wir sämtliche SAP-Systemeinstellungen auf Knopfdruck analysieren“
bringt Silke Kubelka, die an der TU Darmstadt die SAP-Anwendungen leitet, die Vorteile auf den Punkt.
„Werden Fehler und Schwachstellen entdeckt, lassen sich viele Parameter und Einstellungen schnell und einfach anpassen.“
Ergänzend wird die Lösung zur Prüfung systemkritischer SAP-Berechtigungen verwendet. Automatisch spürt das Werkzeug auf, wenn eine Anwenderin oder ein Anwender aufgrund mehrerer zugewiesenen Rollen über Zugriffsrechte verfügt, die zusammengenommen zu einem SAP-Sicherheitsrisiko führen könnten.
Beim Einspielen von SAP-Updates eingesetzt, hilft der SystemProfiler vorgenommene Wartungsanpassungen oder neue Systeme mit der Best-Practices-Konfiguration anzupassen.
Abap-Modifikationen im Visier
Regelmäßig kommt auch der CodeProfiler zum Einsatz, der Risiken und Optimierungspotenzial im Abap-Kundencode (Z-Namensraum) identifiziert. Die TU Darmstadt setzt ihn ein, um die vorhandenen SAP-Eigenentwicklungen auf Sicherheit, Compliance, Qualität und S/4-Hana-Tauglichkeit zu prüfen.
Gleichzeitig wird das Werkzeug in Zukunft bei der Abnahme neuer Programme und Add-ons genutzt, die intern oder von auch externen Partnern und Dienstleistern entwickelt werden. Treten dabei Schwachstellen im Code zutage, werden Maßnahmen zur Bereinigung eingeleitet.
So lässt sich verhindern, dass schadhafter Code in die bestehenden SAP-Systeme gelangt. Um den Betriebsaufwand möglichst gering zu halten, nutzt die TU Darm- stadt den CodeProfiler „as a Service“.
„Da wir nur in begrenztem Umfang eigenen Abap-Code entwickeln oder entwickeln lassen, kommt das Cloudangebot unserem Wunsch nach bedarfsweisem Einsatz des Werkzeugs entgegen“
erläutert Dorothee Krohberger- Stock.
„Langfristig verfolgen wir das Ziel, dass unsere gesamten SAP-Eigenentwicklungen robust, sicher und wartbar sowie mit den neuen Anforderungen wie Hana kompatibel sind.“
„Durch den kombinierten Einsatz der beiden Analysewerkzeuge konnten wir die Sicherheit und Qualität unserer SAP-Anwendungen steigern“
zieht SAP-Anwendungsleiterin Silke Kubelka Bilanz.
„In allen drei definierten Prüfbereichen kommen diese Tools unseren Sicherheitsanforderungen und Compliance-Vorgaben weitgehend entgegen.“
