Information und Bildungsarbeit von und für die SAP-Community
IT-Security Kolumne, Mag 22-09

Warum Security-Experten keine SAP-Experten sind

SAP gehört für viele Unternehmen zur unverzichtbaren IT-Grundausstattung, weil es für einen reibungslosen Geschäftsablauf und eine störungsfreie Produktion zwingend notwendig ist. Doch warum schützen Firmen ihre SAP-Systeme nicht richtig?
Andreas Nolte, Arvato Systems GmbH
12. Oktober 2022
Inhalt:
it security Header
avatar

Da sich die Antworten auf diese Frage oft gleichen, gibt es scheinbar grundsätzliche Fehlannahmen bezüglich SAP-Sicherheit. Beim Thema Security landet man schnell beim Menschen. Schließlich sind es Hacker, die Cyberattacken fahren. Und darin liegt der Knackpunkt. Nur ausgewiesene Security-Experten haben eine Chance, professionellen Hackern die Stirn zu bieten. Während Cyberkriminelle hoch spezialisiert sind, müssen Fachleute in Unternehmen alle Techniken beherrschen und ausgeprägte analytische Fähigkeiten haben. Das kann man selbst vom erfahrensten SAP-Professional nicht erwarten. Zu komplex und zu dynamisch ist die Cybercrime-Branche, als dass er sich mal schnell einarbeiten könnte. Daher ist es zwingend notwendig, SAP mit Security-Spezialisten zusammenzubringen und einen vollständigen Überblick über die Bedrohungslage zu erhalten. Denn Angreifer interessieren sich nicht für interne Organisationssilos.

SAP in der Cloud

SAP-Systeme in die Cloud zu migrieren ist eine zukunftsträchtige Aufgabe. Die Cloud-Adaption ist ein hochkomplexes Vorhaben, das einem steten Wandel unterliegt. Darum müssen die Mitarbeitenden hoch qualifiziert sein. Doch manche Firmen sind davon überzeugt, ihr IT-Personal könne die Bestands-IT managen und sei zugleich Experte für Cloud-Security. Praktisch ist es aber so, dass unternehmenseigenen Security-Experten häufig das erforderliche SAP-Know-how fehlt – ebenso, wie SAP-Fachleute oftmals nur über rudimentäre Security-Kenntnisse verfügen. Also bilden diese Unternehmen ihre IT-Fachkräfte nicht adäquat weiter.

Doch fehlendes Fachwissen in Bezug auf die Absicherung einer cloudbasierten SAP-Landschaft erzeugt gefährliche Schwachstellen. So müssen Hacker nicht einmal die Mühe auf sich nehmen, sich – gut getarnt in einem trojanischen Pferd –Zugriff auf Daten und Systeme zu verschaffen. Sie laufen mit offenem Visier über die heruntergelassene Zugbrücke durch das sperrangelweit geöffnete Tor und nisten sich in der Burg ein. Bis das auffällt, dauert es durchschnittlich rund 100 Tage. Drei Monate, in denen Cyberkriminelle großen Schaden anrichten können. Nicht immer sind es aufmerk-samkeitsstarke Ransomware- oder DDoS-Attacken. Mancher Hacker geht sehr subtil vor, etwa indem er vermeintlich unbedeutende Informationen abgreift. Daher müssen Unternehmen Security bei der Cloud–Transformation stets mitdenken.

Erneut stellt sich die Frage: Warum tun Firmen das nicht? Es scheint, als würde kein zielführender Dialog zwischen IT und Management stattfinden. Manchmal hat die Geschäftsführung keine greifbare Vorstellung davon, wie wichtig SAP-Sicherheit für einen reibungslosen Geschäftsbetrieb ist. Und Security-Experten gelingt es zuweilen nicht, die Vorteile adäquater Schutzmaßnahmen und ihre positiven Auswirkungen auf das operative Tagesgeschäft zu vermitteln. Für einen echten Dialog sind Unternehmen gut beraten, die Technologie zunächst außen vorzulassen. Es geht darum, den Möglichkeiten der Cloud und der Komplexität von SAP-Security bewusst zu begegnen: Um die SAP-Infrastruktur gegen Hackerangriffe abzusichern, braucht es zwingend ein Verständnis davon, dass SAP-Sicherheit ein Geschäftsprozess wie jeder andere ist. Ein Prozess, der sorgfältig zu modellieren, mit Metriken zu steuern, mit Tools zu überwachen und kontinuierlich zu optimieren ist.

Um den Blick auf SAP-Security zu verändern, müssen Unternehmen mit gängigen Vorurteilen aufräumen. Denn das grundlegende Missverständnis ist die Fehlannahme, Security sei ein IT-Thema. Doch Cloud- und SAP-Sicherheit sind vielmehr in der Unternehmensstrategie nachhaltig zu verankern und erst im zweiten Schritt praktisch umzusetzen. Das ist eine Herausforderung, die weit über die IT-Abteilung hinausgeht. Sie betrifft viele Fachbereiche. Für eine wirkungsvolle SAP-Security müssen alle, wirklich alle an einem Strang ziehen.

https://e3mag.com/partners/arvato-systems-gmbh/

avatar
Andreas Nolte, Arvato Systems GmbH

Andreas Nolte ist Head of Cyber Security bei Arvato Systems GmbH


Alle Artikel des Autors

Schreibe einen Kommentar

Fivetran und Vanson Bourne: Studie zur KI-Einsetzung

KI-Enabler und Automatisierer

Items entscheidet sich für Natuvion

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren. Alle Informationen zum Event finden Sie hier:

SAP Competence Center Summit 2024

Veranstaltungsort

Eventraum, FourSide Hotel Salzburg,
Am Messezentrum 2,
A-5020 Salzburg

Veranstaltungsdatum

5. und 6. Juni 2024

Reguläres Ticket:

€ 590 exkl. USt.

Veranstaltungsort

Eventraum, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Veranstaltungsdatum

28. und 29. Februar 2024

Tickets

Regular Ticket
EUR 590 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2024, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.