Information und Bildungsarbeit von und für die SAP-Community

Interface Management: Das offene Scheunentor in SAP

Ein offenes Geheimnis, dem viele Managements bislang kaum Aufmerksamkeit widmeten: die mangelnde Kontrolle der Schnittstellen in IT-Systemlandschaften. Dass das Interface Management vernachlässigt wurde, war auch wenig verwunderlich, als SAP-Landschaften noch in sich geschlossene IT-Systeme waren. Diese Situation hat sich jedoch grundlegend geändert.
Ralf Kempf, Pathlock
26. August 2024
avatar

Das bislang vernachlässigte Thema Interface Management ist zur Chefsache ge­worden: Die heutigen Systemlandschaften von Unternehmen werden immer heterogener und komplexer, neben mehreren SAP-­Produktiv- und -Entwicklungssystemen auch durch den Einsatz verschiedener ERPs und nicht zuletzt die Integration neuer Cloud-Strukturen. Daraus resultiert eine rasant wachsende Zahl von Schnittstellen zwischen allen Systemen und folglich eine ausufernde Schwachstelle und erhebliche Bedrohung für die Sicherheit und Compliance des gesamten Unternehmens. Übliche Strategien zur Absicherung setzen häufig nicht bei den Systemen selbst, sondern überwiegend bei den Berechtigungen der User an. In puncto Schnittstellen lässt sich jedoch festhalten: Es ist wichtig, Berechtigungen kontinuierlich kritisch zu überprüfen, aber wenn die IT-Systeme selbst via Schnittstellen offen sind wie Scheunentore, nutzt dies allein letztlich wenig.


Schon aus Sicherheitsaspekten ist es daher eminent wichtig, genau zu wissen, welche Systeme in Verbindung stehen, wer eigentlich mit wem spricht, und auch, welche Entwicklungssysteme oder noch aktiven Altsysteme mitgedacht werden müssen. Beides wird jedoch bis dato kaum ermittelt und ein undokumentierter wie unkontrollierter Datenaustausch führt in der Folge fast zwangsläufig zu Sicherheitsrisiken und Compliance-Verstößen. Um dem künftig effektiv zu begegnen, ist ein umfassendes Interface Management unerlässlich. Dieser neuen Tragweite werden nun Lösungen gerecht, denen es gelingt, die Problematik auch für das C-Level aufzubereiten.

Neue Brisanz für die Management-Ebene

Warum Entscheider sich nun damit beschäftigen sollten? Ganz einfach: Weil es im Fall einer Cy­ber­attacke auf die Reaktionszeit ankommt, die über die Tragweite der möglichen Schäden entscheidet. Wenn aber niemand weiß, welche Systeme miteinander verbunden sind, lassen sich auch keine adäquaten Gegenmaßnahmen einleiten. Es gibt hier also einen eklatanten, anwachsenden Informationsmangel, der sich bei unterschiedlichen ERP-Systemen und über On-premises hinaus abermals potenziert und erhebliche Risiken birgt.

Hinzu kommt: Werden über diese Schnittstellen Daten undokumentiert abgeführt, resultiert daraus neben dem Verlust auch gleich eine Compliance-relevante und meldepflichtige Datenschutzverletzung. Compliance-Verletzungen dieser Art können etwa nach SOX-Richtlinien für an der US-Börse gehandelte Unternehmen existenzbedrohende Strafen in Milliardenhöhe nach sich ziehen. Und die verpflichtende Umsetzung der neuen NIS-2-Directive ab Oktober wird auch für Europa die Dringlichkeit eines Schnittstellenmanagements, insbesondere für die Compliance-Konformität, weiter forcieren und Unterlassungen empfindlich bestrafen.

Die Get-Clean-Phase

Unternehmen stehen daher vor der Aufgabe, die hohe Anzahl an Systemschnittstellen dokumentierbar und damit kontrollierbar zu machen. Der SAP-Standard bietet hier keine umfassende und zentrale Auswertung, ist kaum hilfreich oder wiegt gar in trügerischer Sicherheit. Insbesondere werden Vertrauensbeziehungen zwischen Systemen (SSO und Trusted RFC) selten dokumentiert und Remote-Datenbankver­bindungen führen zu weiteren ­unkontrollierten Sicherheits­lücken. Und auch hier kommen als Dimension on top wieder die Cloud-Schnittstellen zum ­Tragen.

Um eine bestmögliche Absicherung zu erreichen, ist es ratsam, ein zweistufiges Vorgehen umzusetzen. In der Get-Clean-­Phase gilt es zunächst, Transparenz zu schaffen durch die Analyse sämtlicher RFC-Verbindungen von Einzelsystemen, Systemgruppen und -landschaften. So kann das Pathlock Interface Management ohne manuellen Aufwand feststellen, welche Systeme miteinander kommunizieren und aus welchem Datenkontingent dabei beispielsweise Business-Partner-Daten transportiert werden. Damit ist eine verwertbare Warnung für die IT möglich, um entsprechend reagieren zu können.

Um Schnittstellen später sauber zu verwalten, ist in der Phase des Get-Clean entscheidend, alle Systemschnittstellen zu inventarisieren und zu analysieren, welche Daten und Funktionsbausteine von welchen Endpunkten angefragt werden. Dann folgt schließlich die Beseitigung von Sicherheitsrisiken durch eine fachgerecht optimierte Konfiguration.

Die Stay-Clean-Phase

In dieser Phase geht es um die Erhaltung des nun sauberen Betriebs­zustandes. Dies geschieht idealerweise in Echtzeit durch die Einbindung eines Threat-Detection-Tools. Ziel ist die systemübergreifende zentrale Kontrolle über alle Schnittstellen inklusive der differenzierten Übersicht über aktive und nicht aktive Schnittstellen. Ein besonderes Augenmerk gilt dabei der Prüfung auf die hochkritische Compliance-­Konformität.
Das Interface Management

Mangelte es also bislang an einer transparenten Übersicht sämtlicher ein- und ausgehender Systemschnittstellen, gelingt es mit der Pathlock Suite, eine gut aufbereitete, vollständige Darstellung in gra­fischer oder tabellarischer Form abzubilden und sie mithilfe von Threat Detection um einen Real Time Scope zu erweitern. Zudem ist das Pathlock Interface Management je nach Bedarf erweiterbar, etwa mit der neuen Pathlock-Entwicklung Threat Intelligence.

Mit dieser Kombination etablierter Lösungen wie Threat Detection – ergänzt um automatisierte Prozesse mit individuellen, auf die jeweilige Risikosituation abgestimmten Reaktionen – werden bei Bedarf Zugriffe auf kritische Applikationen eingeschränkt oder vollständig blockiert, Datenfelder passgenau maskiert, Downloads verhindert oder User mit kritischem Verhalten vom System ausgesperrt. Und das vollautomatisch und in Echtzeit, rund um die Uhr.

Last, but not least liegt eine weitere Stärke des Pathlock Interface Management in der bislang unerreichten Nutzerfreundlichkeit und Visualisierung auch für das C-Level. Die intuitive Usability ermöglicht ohne tieferes Fachwissen quasi out of the box ein ebenso einfaches wie sicheres und Compliance-konformes Management aller Schnittstellen.


Zum Partnereintrag:

avatar
Ralf Kempf, Pathlock

Ralf Kempf ist CEO von Pathlock Deutschland.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.