Information und Bildungsarbeit von und für die SAP-Community

Open Source im Enterprise – trotz Log4J

SAP und die gesamte SAP-Community nutzen seit vielen Jahren erfolgreich immer mehr Open Source. Der Einsatz Hunderter oder Tausender unterschiedlicher Komponenten bei SAP-Kunden ist im Jahr 2022 die Regel, nicht die Ausnahme.
Ralf Meyer, Synomic
5. April 2022
Open-Source
avatar

Ohne die stark wachsende Anzahl von Open-Source-Software funktionieren heute schlichtweg weder SAP-Systeme noch die meisten modernen Unternehmen. Aktuell warnen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Fachpresse – wie unser E-3 Magazin – mit „Warnstufe Rot“ vor einer schwerwiegenden Sicherheitslücke in der weitverbreiteten Log4J-Software. Diese Lücke ist auch deshalb so kritisch, weil sie Hackern nicht nur ein unbemerktes Eindringen in Firmennetze erlaubt, sondern die Installation von nur schwer (wenn überhaupt) auffindbaren Hintertüren und die Installation von umfangreichem Schadcode in Firmensystemen ermöglicht. Dieser kann dann selbst nach erfolgreichem Update von Log4J erst viel später und hiervon unabhängig für kriminelle Angriffe genutzt werden.

Auch wenn dies für viele nach einem theoretischen Risiko klingt, wurden leider schon viele Systeme angegriffen, erfolgreich kompromittiert und ein großer Schaden angerichtet. Im Gegensatz zur SAP-Software gibt es für Open-Source-Software in der Regel keine automatischen Updates und keine Hinweise wie SAP-Notes (für Log4J hat SAP eine spezielle SAP-Note erstellt). Erschwerend hinzu kommt, dass Log4J – wie viel Open-Source-Software – integraler und versteckter Bestandteil von vielen weiteren Komponenten und Lösungen ist, was die Suche erschwert und aufwändig macht.

Wichtig ist, dass der Einsatz von Open-Source-Komponenten im Unternehmen durch einen professionellen Prozess geregelt und überwacht wird. Hierfür stehen spezielle Lösungen, wie die des Mannheimer Start-ups VersionEye oder Snyk aus Israel zur Verfügung. Beide Lösungen kennen nicht nur die aktuelle Version von einzelnen Komponenten, sondern können auch ineinander verschachtelte Stücklisten von Open-Source-Komponenten überwachen; wissen also, wo Komponenten auch noch verbaut wurden. Darüber hinaus liefern diese Lösungen weitere wichtige Informationen, wie zur Qualität (zum Beispiel Updatefrequenz oder Verbreitung), bekannte Sicherheitslücken und zugrunde liegende Lizenz-typen. Sie können Entwickler automatisch warnen, wenn Risiken erkannt oder gegen Firmenstandards verstoßen wird, wie das beispielsweise bei einem Einsatz nicht genehmigter Open-Source-Komponenten der Fall ist.

Da durch die immer wichtigeren, komplexeren und ständigen Änderungen ausgesetzten IT- und SAP-Welten Cyberangriffe auf Unternehmen und deren Wertschöpfungsketten zunehmen, wird neben der Open-Source-Überwachung auch die der zugrunde liegenden Infrastruktur wie Server und Netzwerke immer wichtiger. Obwohl dies noch komplexer als die Open-Source-Überwachung ist, sollte man dennoch unverzüglich beginnen und sich ein Bild der aktuellen Risikolage im eigenen Unternehmen verschaffen. Neben detaillierten Informationen zur Sicherheitslage liefern moderne Lösungen, wie beispielsweise LocateRisk aus Darmstadt oder die deutlich ältere Security-Scorecard aus New York, auch einen Vergleich mit ähnlichen Firmen (Peer-Group), damit man messen kann, wo man aktuell bei der eigenen Cyber-Sicherheit steht.

Darüber hinaus werden meist noch Empfehlungen für die Behebung erkannter Probleme und zur Verbesserung der eigenen Sicherheitslage gegeben. So bietet beispielsweise LocateRisk einen speziellen Service, um die aktuelle Log4J-Bedrohung schneller zu erkennen und zu beheben. Wichtig ist, dass die Open-Source- und die Infrastruktur-Überwachung möglichst konfigurationsfrei und hochautomatisiert erfolgen und sie sich – bei Bedarf – in bereits vorhandene Systeme und Dashboards integrieren lassen.

Auch wenn die aktuellen weltweiten Lieferketten-Störungen (zumeist) nicht durch Cyber-Security-Angriffe, sondern unter anderem durch die Covid-19-Pandemie ausgelöst wurden, könnte sich das ändern. Einige Konzerne lassen daher bereits heute ihre wichtigen Lieferanten durch Cyber-Security-Monitoring-Lösungen überwachen oder verlangen Open-Source-Audits, so wie beispielsweise SAP bei Partnern mit Lösungen auf der SAP-Preisliste.

avatar
Ralf Meyer, Synomic

Ralf Meyer ist Geschäftsführer von Synomic und Mitgründer der IA4SP.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.