SAP-Security: Bestmöglich auf Nummer sicher gehen

Cyber Security ist eine Frage der Abwägung. Absolute Sicherheit gibt es nicht – egal, wie viel Budget Unternehmen investieren.

Timo Schlüter, Arvato Systems

28. April 2022

Inhalt:

In einer digitalen Business-Welt kann es nur darum gehen, die relevantesten Prozesse und Systeme bestmöglich gegen Cyber-Attacken zu schützen, um das eigene Geschäft sicher betreiben zu können. Wenn sich Unternehmen damit auseinandersetzen, landen sie schnell bei ihren SAP-Systemen. Sie sind besonders schützenswert, weil sie zumeist den IT-seitigen Kern der Produktion bilden. Daher ist es sinnvoll, in Sachen Cyber-Sicherheit beim ERP-System anzusetzen.

Doch schnell stoßen Firmen an die erste Hürde: Welche Komponenten, Daten oder Prozesse im SAP-Ökosystem bilden einen geeigneten Ausgangspunkt? Der Hintergrund dieser Frage ist heikel. Viele Unternehmen wissen nämlich nicht, welche Prozesse es gibt und wie sie softwareseitig abgebildet sind. Eine derartige Schatten-IT wird insbesondere hinsichtlich Cyber Security schnell zu einem großen Problem. Darum sind Firmen gefordert, ihre eigene SAP-Systemlandschaft zunächst detailliert kennenzulernen, bevor sie Security-Ziele definieren und geeignete Software-Lösungen anschaffen.

SAP-Sicherheit umfasst drei Szenarien

Dabei ist es ratsam, sich drei Szenarien zu widmen: Intranet-Security, Internet-Security und API-Security. Im ersten Fall stehen die eigenen SAP-Anwender im Fokus. Firmen sollten in Erfahrung bringen, welche Mitarbeiter überhaupt mit dem ERP-System arbeiten und ob beziehungsweise welche nutzerspezifischen Privilegien sie haben, wie es etwa bei Administratoren und Finance-Experten der Fall ist. Nur so können sie deren Rechte definieren und ihre Devices gezielt schützen. Deutlich geringer gestalten sich die Kontrollmöglichkeiten bei der Internet-Security. Hier sind Internet-Zugriffe auf Applikations-Ebene abzusichern – ganz gleich, ob eigene Mitarbeiter oder externe User wie Kunden und Partner eine webbasierte Anwendung nutzen und wie gewissenhaft Firmen die Möglichkeiten eines starken Passworts oder der Multi-Faktor-Authentifizierung gebrauchen. Der dritte Bereich umfasst die Sicherheit von Schnittstellen, über die Daten bereitstehen, etwa für Partner.

Integration von SAP und Detection-Lösung

Erst nachdem Firmen diese Vorarbeit geleistet haben, ist es ratsam, sich mit Tools auseinanderzusetzen. Idealerweise wählen Unternehmen eine modulare Lösung. Bewährt hat sich zum Beispiel eine kombinierte Security-Plattform auf Basis der Azure Cloud und Azure Sentinel. Dabei verbindet der SAP Connector for Microsoft Sentinel das ERP-System mit der Detection-Lösung – unabhängig davon, ob Unternehmen ihre SAP-Systeme im Rechenzentrum oder in der Cloud betreiben. Der Connector lässt sich mit 16 Log-Quellen verknüpfen und konsolidiert Daten aus komplexen SAP-Landschaften so, dass sie für eine zielführende Verarbeitung und aussagekräftige Analyse im SIEM-System (Security Information & Event Management) Sentinel bereitstehen. Hierfür haben SAP und Microsoft rund 100 Anwendungsfälle vordefiniert, die Firmen bedarfsgerecht anpassen oder um eigene Security-Szenarien erweitern können. Das ermöglicht ihnen, das SIEM-Tool individuell zu skalieren und die Reaktionen auf Alerts teilweise zu automatisieren (Security Orchestration Automated Response, SOAR): Sentinel wertet die erhaltenen Daten aus und generiert im Falle von Anomalien entsprechende Alarme.

Fachliche Qualifikation ist entscheidend

Um Bedrohungen abzuwehren, braucht es neben der Technologie auch qualifizierte Fachleute. Developer führen die technischen Komponenten zusammen, entwickeln sie weiter und bereiten so Detection wie auch Response optimal vor – mit dem Ziel, unerlaubte Zugriffe über diverse Endpoints, aus dem Internet oder über das Netzwerk zu erkennen und Alarme automatisiert auszulösen. Zudem sollten Unternehmen professionelle Managed Detection and Response Services (MDR) beziehen. Dabei überwachen und bewerten erfahrene Security-Experten und fachlich versierte Datenanalysten in einem Security Operations Center (SOC) die eingehenden Alarme. Je nach Bedrohungslage setzen sich vorab definierte Maßnahmen automatisch in Gang: Nutzerkonto sperren, System vom Netzwerk trennen, Buchung stoppen oder ähnliches. Bei kritischen Cyber-Attacken leitet das SOC eine individuelle Incident Response ein. So haben Firmen ihr Mögliches getan, um ihre SAP-Systeme gegen Hacker-Angriffe zu schützen und ihr Business ohne Einschränkung zu betreiben.

Sie möchten mehr über den SAP Connector for Microsoft Sentinel sowie den weltweit ersten und einzigen MDR-Service speziell für SAP erfahren? Dann melden Sie sich unter arva.to/sapdigital22 für Timo Schlüters Vortrag über SAP-Security an.