Information und Bildungsarbeit von und für die SAP-Community

SAP-Sicherheit darf kein Nischendasein fristen

Hacker machen keinen Unterschied zwischen allgemeinen IT-Systemen und SAP-Applikationen. Folglich muss auch hinsichtlich SAP-Software das Thema Sicherheit stärker berücksichtigt werden.
Kai Grunwitz, NTT Security
1. Februar 2017
Das-aktuelle-Stichwort
avatar

Bei den meisten Unternehmen besteht hier erheblicher Nachholbedarf.

KaiGrunwitzZeitgemäß ist die Unterschätzung des Security-Themas nicht mehr. Nur eine vollständig integrierte und umfassende Cyber-Defense-Strategie, die sich über die gesamte IT erstreckt, kann zuverlässig vor heutigen und künftigen Gefahren schützen.

Das heißt, eine Ausklammerung von SAP aus einem ganzheitlichen Security-Konzept im Unternehmen kann nicht zielführend sein.

Auch eine reine Fokussierung der Security auf Infrastruktur-Themen wird der aktuellen Bedrohungslage nicht mehr gerecht.

Ebenso wie bei einem umfassenden Gesundheits-Check-up niemand auf die Idee käme, bei den Untersuchungen das Herz außen vor zu lassen, sollte es auch hinsichtlich SAP-Anwendungen klar sein, dass diese bei der Umsetzung von Security-Strategien nicht ausgeklammert werden dürfen.

Schließlich sind SAP-Anwendungen das „Herzstück“ vieler Unternehmen, über das alle zentralen Geschäftsprozesse gesteuert werden.

Mehr Fokus auf SAP

Immerhin erkennen Unternehmen zunehmend die Sicherheitsproblematik im SAP-Umfeld.

Ein Grund dafür ist, dass gegenwärtig Wirtschaftsprüfer verstärkt auch die SAP-Welt ins Visier nehmen und bei Audits SAP-Anwendungen hinsichtlich Sicherheit untersuchen.

Und Fälle, in denen SAP-Abteilungen hier „Red Flags“ erhalten, sind bei Weitem keine Ausnahme mehr.

Für das Management ergibt sich dadurch die Notwendigkeit, dem Thema Sicherheit ein größeres Gewicht einzuräumen, als dies in der Vergangenheit geschehen ist.
Doch an welchen Punkten muss angesetzt werden? Zunächst sind hier die heutigen Organisationsstrukturen von Unternehmen zu nennen.

Bei SAP kann in der Regel immer noch von einer abgeschotteten Welt gesprochen werden. SAP-Abteilungen sind meistens von den restlichen IT-Teams getrennt und fungieren als unabhängige, eigenständige Einheiten, die dem Thema Sicherheit – wenn überhaupt – nur eine untergeordnete Rolle beimessen.

Das SAP-Thema ist eindeutig Business-getrieben. Bei der Sicherheit muss diese organisatorische Trennung aber aufgehoben werden.

Alte Systeme nicht genug

Herkömmliche Sicherheitskonzepte sind nicht mehr ausreichend. Sie basieren in der Regel ausschließlich auf dem Perimeterschutz und reaktiven Maßnahmen.

Benötigt werden aber End-to-End-Sicherheitslösungen, die auch einen aktiven Schutz umfassen.

Der klassische Netzwerk-Schutzwall wird dabei um proaktive Sicherheitsmechanismen ergänzt, die sich gerade auch auf unternehmenskritische Applikationen wie SAP-Software erstrecken.

Das heißt, dass es bei der IT-Sicherheit heute um wesentlich mehr als das reine Infrastruktur- und Technologie-Management gehen muss. Sie sind lediglich die Basis.

Erster Schritt bei der Umsetzung neuer Sicherheits- und Compliance-Strategien sollte eine Bestandsaufnahme sein, eine klare Analyse und Risikobewertung, die die gesamte IT erfasst.

Erst in den weiteren Schritten kann dann über den Einsatz der richtigen Tools oder Services entschieden werden.

Viele neue Möglichkeiten

Und hier gibt es gerade auch speziell für SAP-Applikationen zahlreiche neue Lösungen, da SAP selbst seit geraumer Zeit das Thema Sicherheit verstärkt aufgreift und Security-Produkte auf den Markt bringt.

Zu nennen sind etwa SAP Single Sign-on für den sicheren Zugriff auf SAP- und Nicht-SAP-Systeme oder SAP Identity Management für eine effiziente Benutzerverwaltung.

Mit dem Einsatz derartiger SAP-Sicherheitstools ist es aber keineswegs getan. Es würde nur dazu führen, dass weitere Insellösungen im Unternehmen vorhanden sind.

Ebenso wichtig ist die durchgängige Verknüpfung der unterschiedlichen Lösungen, beispielsweise im Bereich Benutzerverwaltung.

Es liegt auf der Hand, dass nur eine unternehmensweite Umsetzung von Berechtigungskonzepten sinnvoll ist. Hier eine Parallelwelt von SAP und restlicher IT aufzubauen kann nicht der Weisheit letzter Schluss sein.

Mit anderen Worten:

Nutzung von SAP-Tools ja, aber auch Verknüpfung mit den im Unternehmen ansonsten verwendeten Lösungen, das heißt Umsetzung eines ganzheitlichen Ansatzes mit Abkehr von einem Silodenken mit einem Patchwork von Lösungen.

Und eines darf man bei der ganzen „Sicherheitsdiskussion“ schließlich auch nicht vergessen: In der Vergangenheit war Sicherheit ein reines IT-Thema.

Zusehends zeichnet sich aber ein Paradigmenwechsel ab, der durch zwei Aspekte gekennzeichnet ist: Zum einen ist Sicherheit in steigendem Maße Business-getrieben und zum anderen treibt die Sicherheit auch das Business.

Das heißt, Security wird zunehmend als ein unternehmenskritischer Geschäftsprozess eingestuft und auch als Differenzierungsmerkmal im Wettbewerb genutzt, indem Sicherheit als Teil der Produkt-, Lösungs- oder Servicequalität vermarktet wird.

Security wird somit immer mehr zu einem zentralen Business-Faktor – sowohl als wichtige Komponente der Wertschöpfungskette als auch als komplementärer Business-Treiber.

avatar
Kai Grunwitz, NTT Security

Kai Grunwitz ist Senior Vice President Central Europe bei NTT Security


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.