Information und Bildungsarbeit von und für die SAP-Community

SAP und Sicherheit – zwei getrennte Welten?

Unternehmen räumen IT-Sicherheit höchste Priorität ein, die SAP-Welt bleibt oft unberücksichtigt. Heutigen Anforderungen wird dieses Vorgehen nicht mehr gerecht.
Kai Grunwitz, NTT Security
Patrick Schraut, NTT Com Secutity
2. Mai 2016
2016
avatar
avatar

Nur eine integrierte Cyber-De­fense-Strategie, die die gesamte IT berücksichtigt, kann potenzielle Schwachstellen beseitigen und vor Bedrohungen zuverlässig schützen.

Die generell steigende Gefahr für die IT-Sicherheit hat dazu geführt, dass viele Unternehmen Sicherheitsprojekte initiieren, die SAP-Welt aber ausklammern. Das ist heute nicht mehr akzeptabel, zumal SAP-Daten in der Regel unternehmenskritisch sind.

Doch was ist der Grund für die unzureichende Berücksichtigung des Themas SAP-Sicherheit? Dafür gibt es mehrere Ursachen. So steht das Thema SAP-Security oftmals nicht auf der IT-Agenda des CISO, da es als zu komplex und sehr speziell eingestuft wird.

Das zeigen Erfahrungswerte von NTT Com Security aus zahlreichen Kundenprojekten in den Bereichen Informationssicherheit und Risikomanagement. Zudem sind SAP-Abteilungen in der Regel eigenständige Einheiten, die ihre Unabhängigkeit bewahren wollen und sich teilweise gegen eine Einflussnahme der restlichen IT verschließen.

Hinzu kommt, dass es in den SAP-IT-Abteilungen oft an dem erforderlichen Security-Know-how in der Breite fehlt. SAP hat in der jüngsten Vergangenheit etliche Sicherheitsprodukte auf den Markt gebracht, im Präventivbereich etwa SAP Single Sign-On für den sicheren Zugriff auf SAP und Nicht-SAP-Systeme oder SAP Identity Management für eine effiziente Benutzerverwaltung, SAP Access Control für eine regel- und gesetzeskonforme Berechtigungsvergabe oder den Code Vulnerability Analyzer für eine automatische und manuelle Quellcode-Prüfung.

Zur Echtzeitidentifikation von Angriffen und Betrugsversuchen hat SAP die Lösungen SAP Enterprise Threat Detection und SAP Fraud Management entwickelt. Allein die Verfügbarkeit dieser Tools heißt aber nicht, dass sie flächendeckend genutzt werden:

SAP Enterprise Threat Detection etwa, das für die sicherheitsrelevante Auswertung und Analyse von Sicherheitsevents über die SAP-Systemlandschaft sorgt und auch für die Anbindung an traditionelle SIEM-Systeme konzipiert wurde, ist bisher noch nicht bei vielen Unternehmen im Einsatz.

Doch selbst wenn auf Unternehmensseite vereinzelt SAP-Sicherheitstools genutzt werden, ein Problem bleibt dennoch bestehen: Nur eine vollständig integrierte Sicherheitslösung bietet zuverlässigen Schutz, mit einem Patchwork von Lösungen und Insellösungen bleiben die Systeme angreifbar.

Doch ineffiziente Sicherheitssilos finden sich nach wie vor in vielen Unternehmen. Das hat auch eine aktuelle Studie von Dell ergeben, an der sich 175 deutsche Firmen beteiligten. Ein zentrales Ergebnis war hier, dass die IT-Sicherheit oft applikationsgebunden organisiert ist und in die Verantwortung unterschiedlicher Unternehmensabteilungen fällt.

So verfügen auch nur 23 Prozent der befragten Unternehmen überhaupt über eine zentrale IT-Sicherheitsabteilung, die auch die verteilte Applikations- und damit SAP-Landschaft inkludiert.

Getrennte Welten und Sicherheitslücken

Dass oft zwei Welten dominieren, zeigt sich schon bei einem einfachen Thema wie der Benutzerverwaltung. Hier ist immer noch Status quo in vielen Unternehmen, dass die SAP-Umgebung von der restlichen IT getrennt ist und Berechtigungskonzepte nicht unternehmensweit umgesetzt werden.

In fast allen Unternehmen ist heute der Verzeichnisdienst Microsoft Active Directory (AD) ein zentrales Element der gesamten Infrastruktur. Das AD übernimmt dabei vielfältige Aufgaben, die über die reine Verwaltung von Benutzerkonten weit hinausreichen und zum Beispiel auch die Authentifizierung und Autorisierung von nicht Windows-basierten Systemen wie Linux-Servern oder von Applikationen umfassen. Doch ein Bereich bleibt überraschenderweise oft ausgeklammert: die SAP-Infrastruktur.

Integration ist aber nur die eine Seite der Medaille, ebenso wichtig ist die Beseitigung vorhandener Sicherheitslücken – und die sind in der SAP-Welt häufig anzutreffen. So fehlen beispielsweise die Aktivierung der Verschlüsselung oder die Trennung der administrativen Berechtigungen.

Oft besteht auch keine Segmentierung von Frontend und Backend und eine Patch-Management-Strategie ist nicht vorhanden. Ein zentrales Problem ist zudem, dass gerade im SAP-Umfeld Zugriffsberechtigungskonzepte und Change-Management-Verfahren häufig nur anwenderbezogen umgesetzt werden – und nicht aus Security-Sicht.

Die Herausforderungen liegen also auf der Hand, und auch SAP selbst greift das Thema Security im Rahmen mehrerer Initiativen zunehmend auf. Der Security-Experte NTT Com Security investiert gemeinsam mit SAP in die Zusammenarbeit, um Kunden ganzheitliche Lösungskonzepte anbieten zu können.

Während SAP in der SAP-IT zu Hause ist, verfügt NTT Com Security sowohl über SAP-Know-how als auch über den Zugang zur übergreifenden IT-Abteilung, die die unternehmensweite IT-Security verantwortet. NTT Com Security kann somit quasi eine „Vermittlerrolle“ bei Fragen der Sicherheit unternehmenskritischer Daten einnehmen.

Zuverlässig kann die Cyber-Bedrohung für SAP-Anwendungen nur durch ihre Einbindung in die Gesamtsicherheitsstrategie eines Unternehmens gebannt werden. Das heißt, es ist von elementarer Bedeutung, dass auch die SAP-Welt im Rahmen von Sicherheitsprojekten und bei der Implementierung einer ganzheitlichen Cyber-Defense-Strategie Berücksichtigung findet.

Bei der Umsetzung einer solchen Strategie sollte eine sequenzielle Vorgehensweise gewählt werden. Ausgangspunkt ist die Analyse und Risikoprofilerstellung der IT-Landschaft einschließlich der SAP-Umgebung, die Tool-Einführung steht erst am Ende der Prozesskette.

Bei der Risikobewertung (Risk Insight) geht es um die Klassifizierung aller schützenswerten Prozesse und Daten – natürlich auch innerhalb der SAP-Welt. Hierauf müssen dann alle weiteren Maßnahmen im Rahmen einer durchgängigen Cyber-Defense-Strategie aufbauen. Kernelemente sind hierbei die vier zentralen Eckpfeiler Prävention, Erkennung, Abwehr und Reaktion.

Im Bereich Prävention geht es zum einen um das Infrastruktur- und Netzwerk-Management auf Unternehmensseite, mit klassischen Sicherungsmaßnahmen wie einem Perimeter-Schutz mit E-Mail-Gateways inklusive Spam- und Malware-Filter, Next-Generation-Firewalls, VPN-Systemen oder dynamischen Sandboxing-Lösungen.

Zum anderen müssen hier aber auch die unternehmenskritischen (SAP-)Business-Applikationen und Daten selbst verstärkt ins Blickfeld rücken und entsprechend gesichert werden.

Nächster Schritt ist die Erkennung, das heißt eine umfassende Sicherheitsanalyse mit der Auswertung von Echtzeitdaten und einem proaktiven Monitoring. Eine effiziente Überwachung erstreckt sich dabei nicht nur auf Systemlogs und -warnungen, sondern beinhaltet zum Beispiel auch Verhaltensanalysen der IT-Umgebung eines Unternehmens, mit denen ungewöhnliche Prozesse aufgedeckt werden können.

Unverzichtbarer Bestandteil einer umfassenden Sicherheitslösung ist die Möglichkeit, Bedrohungen früh zu erkennen, das heißt die Nutzung von Früherkennungssystemen. Es liegt auf der Hand, dass ein Unternehmen einen umfassenden Schutz vor Cyber-Angriffen kaum völlig autark realisieren kann, da zum einen die Bedrohungslage zu heterogen und vor allem auch zu dynamisch und zum anderen der Kostenaufwand zu hoch ist.

An diesem Punkt kommen SOC (Security Operations Center) von Managed-Security-Services-(MSS-)Anbietern als proaktive Abwehrzentren für Unternehmen ins Spiel.

Nicht zuletzt sollte ein Unternehmen auch auf den Ernstfall, einen sogenannten Incident, vorbereitet sein, denn eine 100-prozentige Absicherung dürfte eine Utopie bleiben. Das heißt, es muss ein Incident-Response-Verfahren etabliert sein, das im Gefahrenfall abgerufen werden kann und mit dem ein ungewollter Datenabfluss unterbunden wird.

Eines sollte klar sein: Hacker unterscheiden nicht zwischen SAP-Anwendungen und der allgemeinen IT. Wichtig bei der Umsetzung einer Cyber-Defense-Strategie ist somit der ganzheitliche Ansatz, der die Überwachung und Absicherung der SAP-Infrastruktur als wichtigen Erfolgsfaktor integriert. Nur mit einem solch umfassenden Konzept kann ein SAP-Anwender heute eine maximale IT- und Informationssicherheit realisieren.

avatar
Kai Grunwitz, NTT Security

Kai Grunwitz ist Senior Vice President Central Europe bei NTT Security


avatar
Patrick Schraut, NTT Com Secutity

Patrick Schraut ist Director Consulting & GRC bei NTT Com Security.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.