Information und Bildungsarbeit von und für die SAP-Community

Cyberkriminalität: IT2media schützt eigene Systeme mit SAP-Partner SecurityBridge

Was ein typischer Mittelständler der wachsenden SAP-Cyberkriminalität entgegensetzt: Monitoring mit dem SolMan und Betreuung der SAP-Landschaft rund um die Uhr.
E3-Magazin
18. September 2024
avatar

Eine große, bunt gemischte SAP-Landschaft mit ECC, S/4, BW, HR und Gateways, genutzt von der eigenen Muttergesellschaft (Sellwerk-Gruppe), diversen Telefonbuchverlagen und Medienhäusern in ganz Deutschland, klingt schwierig zu administrieren, ist es auch und wurde dennoch jahrelang nur von einer einzigen Person erledigt: Björn Hatzelmann, Teamleiter SAP-Basis-Core der IT2media, eines mittelständischen IT-SAP-Systemhauses mit Hauptsitz in Nürnberg.

TakeASP betreut SAP-Anwender in allen Fragen rund um SAP-Basis und SAP-Security und ist auch Partner der Security­Bridge für Implementierung und Betrieb der Securitylösung im mittelständischen Bereich. Björn Hatzelmanns Problem teilen viele mittelständische Firmen, die SAP einsetzen oder SAP-Systeme für andere Unternehmen bereitstellen, wie eben ein Systemhaus. Die Arbeitsbelastung steigt und steigt, Fachkräfte sind schwer zu bekommen. Zwar läuft die Verwaltung der Systeme, aber bei Sicherheitsfragen verließ sich IT2media bislang allein auf die SAP-Bordmittel. Der monatliche SAP-Patch-Day war ein Pflichttermin, alle neuen Security-Notes wurden regelmäßig heruntergeladen. „Bei einer sehr großen Landschaft ist es so aber gar nicht mehr möglich, dies alles für alle Systeme durchgehend zu garantieren“, erzählt der Administrator Hatzelmann.

SAP-Komponenten im Web

Tatsache ist, dass die Bedrohungslage für SAP-Anwender größer geworden ist. Auf die ERP-Landschaft der IT2media selbst gab es zwar noch keinen Angriff, aber einige SAP-Komponenten stehen im Internet, das ESS etwa lässt sich von außen auf­rufen. Hier ist zwar eine 2-Faktor-Authentifizierung im Einsatz, aber es gibt, ist Björn Hatzelmann überzeugt, keine Software, die sich nicht umgehen lässt. Auch das S/4-Hana-System ist über einen Cloud-­Konnektor mit der Außenwelt verbunden.

Um den wachsenden Bedrohungen nicht mehr ausgesetzt zu sein, wollte sich das Unternehmen proaktiv schützen. Take­ASP empfahl deshalb, Sicherheitsthemen künftig in die Hände der SecurityBridge-Plattform zu legen. Auf dem DSAG-Kongress 2023 sah sich Björn Hatzelmann das Produkt erstmals an und war sofort Feuer und Flamme: „Die funktionale Breite ist erstaunlich, das GUI extrem ansprechend, man findet sich sofort zurecht.“ Im November desselben Jahres wurde ein Prototyp aufgesetzt, der kurz darauf in den Erwerb der Software mündete.

Bedrohung auf Modulebene

Der Prototyp half dem SAP-Dienstleister dabei, seinen Kunden klarzumachen, warum man die einzelnen Module benötigt. Beim Thema Sicherheitsmaßnahmen kommt nämlich zuerst immer die Bemerkung: Brauchen wir das wirklich? Was kostet das? Die meisten sehen angesichts der wachsenden Bedrohungslage aber schnell ein, dass es besser ist, lieber jetzt einen Euro zu viel auszugeben und ihn nicht zu benötigen, als im Nachhinein für die immensen Schäden eines Angriffs aufkommen zu müssen.

Eine SAP-Sicherheitsplattform ist für jeden Mittelständler eine große Anschaffung. Da ist es hilfreich, wenn man, wie bei SecurityBridge, Stück für Stück mit einzelnen Modulen starten kann. IT2media begann mit Patch Management und dem Security Compliance Monitor: zum einen für das SAP-Gateway ins Internet, um sicherzustellen, dass immer die neuesten Hinweise beachtet werden, zum anderen für das ECC-System – ein ablaufendes Produkt, das in den vergangenen Jahren durch Tausende Z-Entwicklungen modifiziert wurde. Björn Hatzelmann: „Hier eine Code-Vulnerability-Analyse durchzuführen hätte wenig Sinn, kein Mensch würde alles bis 2027 ausbessern können.“

Praktikabler schien deshalb eine Grundhärtung durch das Patch Management, ohne den vollen Rundumschlag. Diesen vollzieht IT2media dafür mit der kompletten SecurityBridge-Suite für sein neues S/4-System. Dieses wird bereits von einem ersten großen Kunden aus der Verlagsbranche genutzt, weitere Unternehmen (und später auch die Muttergesellschaft), die bislang noch auf dem ECC-System arbeiten, werden Stück für Stück über eigene Mandanten nach S/4 Hana transferiert. Hier soll dann von Beginn an kontrolliert werden, was im System programmiert wird. Mit dem Interface Traffic Monitor von SecurityBridge werden die RFC-Verbindungen engmaschig überwacht, wird kontrolliert, welche User unter Umständen zu viele Berechtigungen haben.

Mit dem Patch Management müssen nun nicht mehr alle Informationen kleinteilig aus SAP-Hilfeseiten zusammengesucht werden. Sondern der Administrator bekommt die Patch-Hinweise in einer Kachel präsentiert. Er sieht sofort, wo akuter Handlungsbedarf besteht und was getan werden muss. Eine unglaubliche Zeitersparnis, wie Björn Hatzelmann zu berichten weiß. TakeASP unterstützt ihn beim Betrieb der SecurityBridge-Plattform, zum Beispiel beim Einrichten des Identity Protection Self Service oder beim Know-how-Aufbau über Untermenüpunkte und Einstellungsmöglichkeiten der Lösung unterhalb der Kacheloberfläche.

securitybridge.com

Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.