SAP und Sicherheit – zwei getrennte Welten?
Nur eine integrierte Cyber-Defense-Strategie, die die gesamte IT berücksichtigt, kann potenzielle Schwachstellen beseitigen und vor Bedrohungen zuverlässig schützen.
Die generell steigende Gefahr für die IT-Sicherheit hat dazu geführt, dass viele Unternehmen Sicherheitsprojekte initiieren, die SAP-Welt aber ausklammern. Das ist heute nicht mehr akzeptabel, zumal SAP-Daten in der Regel unternehmenskritisch sind.
Doch was ist der Grund für die unzureichende Berücksichtigung des Themas SAP-Sicherheit? Dafür gibt es mehrere Ursachen. So steht das Thema SAP-Security oftmals nicht auf der IT-Agenda des CISO, da es als zu komplex und sehr speziell eingestuft wird.
Das zeigen Erfahrungswerte von NTT Com Security aus zahlreichen Kundenprojekten in den Bereichen Informationssicherheit und Risikomanagement. Zudem sind SAP-Abteilungen in der Regel eigenständige Einheiten, die ihre Unabhängigkeit bewahren wollen und sich teilweise gegen eine Einflussnahme der restlichen IT verschließen.
Hinzu kommt, dass es in den SAP-IT-Abteilungen oft an dem erforderlichen Security-Know-how in der Breite fehlt. SAP hat in der jüngsten Vergangenheit etliche Sicherheitsprodukte auf den Markt gebracht, im Präventivbereich etwa SAP Single Sign-On für den sicheren Zugriff auf SAP und Nicht-SAP-Systeme oder SAP Identity Management für eine effiziente Benutzerverwaltung, SAP Access Control für eine regel- und gesetzeskonforme Berechtigungsvergabe oder den Code Vulnerability Analyzer für eine automatische und manuelle Quellcode-Prüfung.
Zur Echtzeitidentifikation von Angriffen und Betrugsversuchen hat SAP die Lösungen SAP Enterprise Threat Detection und SAP Fraud Management entwickelt. Allein die Verfügbarkeit dieser Tools heißt aber nicht, dass sie flächendeckend genutzt werden:
SAP Enterprise Threat Detection etwa, das für die sicherheitsrelevante Auswertung und Analyse von Sicherheitsevents über die SAP-Systemlandschaft sorgt und auch für die Anbindung an traditionelle SIEM-Systeme konzipiert wurde, ist bisher noch nicht bei vielen Unternehmen im Einsatz.
Doch selbst wenn auf Unternehmensseite vereinzelt SAP-Sicherheitstools genutzt werden, ein Problem bleibt dennoch bestehen: Nur eine vollständig integrierte Sicherheitslösung bietet zuverlässigen Schutz, mit einem Patchwork von Lösungen und Insellösungen bleiben die Systeme angreifbar.
Doch ineffiziente Sicherheitssilos finden sich nach wie vor in vielen Unternehmen. Das hat auch eine aktuelle Studie von Dell ergeben, an der sich 175 deutsche Firmen beteiligten. Ein zentrales Ergebnis war hier, dass die IT-Sicherheit oft applikationsgebunden organisiert ist und in die Verantwortung unterschiedlicher Unternehmensabteilungen fällt.
So verfügen auch nur 23 Prozent der befragten Unternehmen überhaupt über eine zentrale IT-Sicherheitsabteilung, die auch die verteilte Applikations- und damit SAP-Landschaft inkludiert.
Getrennte Welten und Sicherheitslücken
Dass oft zwei Welten dominieren, zeigt sich schon bei einem einfachen Thema wie der Benutzerverwaltung. Hier ist immer noch Status quo in vielen Unternehmen, dass die SAP-Umgebung von der restlichen IT getrennt ist und Berechtigungskonzepte nicht unternehmensweit umgesetzt werden.
In fast allen Unternehmen ist heute der Verzeichnisdienst Microsoft Active Directory (AD) ein zentrales Element der gesamten Infrastruktur. Das AD übernimmt dabei vielfältige Aufgaben, die über die reine Verwaltung von Benutzerkonten weit hinausreichen und zum Beispiel auch die Authentifizierung und Autorisierung von nicht Windows-basierten Systemen wie Linux-Servern oder von Applikationen umfassen. Doch ein Bereich bleibt überraschenderweise oft ausgeklammert: die SAP-Infrastruktur.
Integration ist aber nur die eine Seite der Medaille, ebenso wichtig ist die Beseitigung vorhandener Sicherheitslücken – und die sind in der SAP-Welt häufig anzutreffen. So fehlen beispielsweise die Aktivierung der Verschlüsselung oder die Trennung der administrativen Berechtigungen.
Oft besteht auch keine Segmentierung von Frontend und Backend und eine Patch-Management-Strategie ist nicht vorhanden. Ein zentrales Problem ist zudem, dass gerade im SAP-Umfeld Zugriffsberechtigungskonzepte und Change-Management-Verfahren häufig nur anwenderbezogen umgesetzt werden – und nicht aus Security-Sicht.
Die Herausforderungen liegen also auf der Hand, und auch SAP selbst greift das Thema Security im Rahmen mehrerer Initiativen zunehmend auf. Der Security-Experte NTT Com Security investiert gemeinsam mit SAP in die Zusammenarbeit, um Kunden ganzheitliche Lösungskonzepte anbieten zu können.
Während SAP in der SAP-IT zu Hause ist, verfügt NTT Com Security sowohl über SAP-Know-how als auch über den Zugang zur übergreifenden IT-Abteilung, die die unternehmensweite IT-Security verantwortet. NTT Com Security kann somit quasi eine „Vermittlerrolle“ bei Fragen der Sicherheit unternehmenskritischer Daten einnehmen.
Zuverlässig kann die Cyber-Bedrohung für SAP-Anwendungen nur durch ihre Einbindung in die Gesamtsicherheitsstrategie eines Unternehmens gebannt werden. Das heißt, es ist von elementarer Bedeutung, dass auch die SAP-Welt im Rahmen von Sicherheitsprojekten und bei der Implementierung einer ganzheitlichen Cyber-Defense-Strategie Berücksichtigung findet.
Bei der Umsetzung einer solchen Strategie sollte eine sequenzielle Vorgehensweise gewählt werden. Ausgangspunkt ist die Analyse und Risikoprofilerstellung der IT-Landschaft einschließlich der SAP-Umgebung, die Tool-Einführung steht erst am Ende der Prozesskette.
Bei der Risikobewertung (Risk Insight) geht es um die Klassifizierung aller schützenswerten Prozesse und Daten – natürlich auch innerhalb der SAP-Welt. Hierauf müssen dann alle weiteren Maßnahmen im Rahmen einer durchgängigen Cyber-Defense-Strategie aufbauen. Kernelemente sind hierbei die vier zentralen Eckpfeiler Prävention, Erkennung, Abwehr und Reaktion.
Im Bereich Prävention geht es zum einen um das Infrastruktur- und Netzwerk-Management auf Unternehmensseite, mit klassischen Sicherungsmaßnahmen wie einem Perimeter-Schutz mit E-Mail-Gateways inklusive Spam- und Malware-Filter, Next-Generation-Firewalls, VPN-Systemen oder dynamischen Sandboxing-Lösungen.
Zum anderen müssen hier aber auch die unternehmenskritischen (SAP-)Business-Applikationen und Daten selbst verstärkt ins Blickfeld rücken und entsprechend gesichert werden.
Nächster Schritt ist die Erkennung, das heißt eine umfassende Sicherheitsanalyse mit der Auswertung von Echtzeitdaten und einem proaktiven Monitoring. Eine effiziente Überwachung erstreckt sich dabei nicht nur auf Systemlogs und -warnungen, sondern beinhaltet zum Beispiel auch Verhaltensanalysen der IT-Umgebung eines Unternehmens, mit denen ungewöhnliche Prozesse aufgedeckt werden können.
Unverzichtbarer Bestandteil einer umfassenden Sicherheitslösung ist die Möglichkeit, Bedrohungen früh zu erkennen, das heißt die Nutzung von Früherkennungssystemen. Es liegt auf der Hand, dass ein Unternehmen einen umfassenden Schutz vor Cyber-Angriffen kaum völlig autark realisieren kann, da zum einen die Bedrohungslage zu heterogen und vor allem auch zu dynamisch und zum anderen der Kostenaufwand zu hoch ist.
An diesem Punkt kommen SOC (Security Operations Center) von Managed-Security-Services-(MSS-)Anbietern als proaktive Abwehrzentren für Unternehmen ins Spiel.
Nicht zuletzt sollte ein Unternehmen auch auf den Ernstfall, einen sogenannten Incident, vorbereitet sein, denn eine 100-prozentige Absicherung dürfte eine Utopie bleiben. Das heißt, es muss ein Incident-Response-Verfahren etabliert sein, das im Gefahrenfall abgerufen werden kann und mit dem ein ungewollter Datenabfluss unterbunden wird.
Eines sollte klar sein: Hacker unterscheiden nicht zwischen SAP-Anwendungen und der allgemeinen IT. Wichtig bei der Umsetzung einer Cyber-Defense-Strategie ist somit der ganzheitliche Ansatz, der die Überwachung und Absicherung der SAP-Infrastruktur als wichtigen Erfolgsfaktor integriert. Nur mit einem solch umfassenden Konzept kann ein SAP-Anwender heute eine maximale IT- und Informationssicherheit realisieren.