Sicherheit beginnt beim Design der Infrastruktur

Sicherheitslücken sind die Viren von heute. Sie sind sogar noch gefährlicher. Denn sie erlauben Cyberkriminellen, sich geräuschlos in einem Netzwerk und einer IT-Umgebung einzunisten, bis zu den Kronjuwelen vorzudringen und am Ende wertvolles geistiges Eigentum zu stehlen, den Vorstand zu erpressen oder den Geschäftsbetrieb und die Produktion lahmzulegen.

Dass wir von erfolgreichen Angriffen erfahren, ist eher selten. Aus Reputationsgründen halten sich viele Firmen lieber bedeckt und sind bereit, sogar Summen in Millionenhöhe an Cybererpresser zu zahlen.

SAP-Bestandskunden kennen das Risiko, schließlich schlägt in ihren SAP-Systemen das Herz des Unternehmens. Sie investieren deshalb in klassische Sicherheitssoftware, um die Gefahren von Cyberbedrohungen bereits im Vorfeld abzuwehren.

Dieser Schutz ist äußerst sinnvoll und effektiv, reicht jedoch nicht aus. Einerseits lassen sich unbekannte Sicherheitslücken per definitionem nicht abschirmen, andererseits dauert es in großen SAP-Landschaften oftmals Wochen und Monate, bis Sicherheitsupdates eingespielt werden, um die Lücken zu schließen.

Zudem werden die Grenzen zwischen IT-Sicherheit und Rechtssicherheit aufgrund immer mehr und immer anspruchsvolleren Vorschriften und Regularien – EU-DSGVO oder SOX sind in diesem Zusammenhang unbedingt zu nennen – fließend.

So leisten Vorkehrungen, die einer höheren Nachvollziehbarkeit von Änderungen an Systemkonfigurationen dienen und in erster Linie rechtliche Auflagen erfüllen, gleichzeitig einen wertvollen Beitrag zu mehr IT-Sicherheit.

Diesen Herausforderungen lässt sich mit einem Dreiklang aus der richtigen Infrastruktur für SAP-Landschaften, einem hohen Grad an Automatisierung, der schon beim Design und der Programmierung dieser Infrastrukturplattform ansetzt, und einem Sicherheitsökosystem begegnen.

Sicherheitsmechanismen in einer herkömmlichen Dreischichten-Architektur zu aktualisieren dauert wegen der Vielzahl der involvierten Hersteller und der Unterschiedlichkeit ihrer Technologien lange und ist teuer.

Ist eine IT-Infrastruktur hingegen komplett virtualisiert und wird sie ausschließlich von Software gesteuert, lässt sich dieser Aufwand deutlich reduzieren. Sicherheitsupdates werden dadurch selbst in großen und sehr großen SAP-Landschaften innerhalb von Stunden oder wenigen Tagen möglich statt Wochen und Monaten wie bisher.

Softwaregesteuerte Infrastrukturen haben zudem den Vorteil, dass in ihnen Security als eine gleichberechtigte Funktionalität neben allen anderen implementiert werden kann. Sie bilden den gesamten Prozess einer auf Sicherheit ausgelegten Entwicklung ab.

Dieser reicht vom Entwurf und Einsatz der Software bis hin zum Testen und zusätzlichen „Härten“ und wird im Fachjargon „Security Development Lifecycle“ (SecDL) genannt.

Ferner lassen sich in solchen Infrastrukturen Sicherheitslücken weitgehend automatisiert ermitteln und schließen. Dazu dient insbesondere die Implementierung von Sicherheitsleitfäden, sogenannten Security Technical Implementation Guides (STIGs).

Außerdem helfen softwaregesteuerte Infrastrukturen, die Integrität von Datenbankkonfigurationen nachzuvollziehen und zu sichern. Aber seien wir ehrlich: Auch die beste Infrastruktursoftware kann keinen 100-prozentigen Schutz garantieren.

Deshalb sind Anbindungsmöglichkeiten an Drittlösungen mittels offener Programmierschnittstellen (APIs) ein Muss. Dies gilt insbesondere für die Bereiche Management von Verschlüsselungs-Keys, Endpunktsicherheit und Mikrosegmentierung.

Absolute Sicherheit ist zwar unmöglich. Doch mit der richtigen Infrastruktur lässt sich die Angriffsfläche in SAP-Umgebungen deutlich verkleinern und die Zeit vom Bekanntwerden bis zum Schließen einer Sicherheitslücke massiv verkürzen.