{"id":23780,"date":"2016-07-01T16:11:53","date_gmt":"2016-07-01T14:11:53","guid":{"rendered":"http:\/\/e3mag.com\/?p=23780"},"modified":"2019-04-01T10:11:16","modified_gmt":"2019-04-01T08:11:16","slug":"sicherheitspolitik-und-effektive-loesungen","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/sicherheitspolitik-und-effektive-loesungen\/","title":{"rendered":"Sicherheitspolitik und effektive L\u00f6sungen"},"content":{"rendered":"

Die Verbreitung der Invoke-Serv\u00adlet-Schwachstelle bei nicht aktualisierten oder fehlkonfigurierten SAP-NetWeaver-Implementierungen zeigt aktuell die Defizite in der Sicherheit von SAP-Implementierungen.<\/p>\n

Obwohl bereits vor sechs Jahren ein Patch von SAP bereitgestellt wurde, gibt es noch im Fr\u00fchjahr 2016 bei 36 Unternehmen in den USA, Gro\u00dfbritannien, Deutschland, China, Indien, Japan und S\u00fcdkorea Indizien f\u00fcr einen Exploit der Sicherheitsl\u00fccke.<\/p>

\"Fullsize\"<\/a><\/div><\/div>\n

13 der betroffenen Unternehmen generieren mehr als 13 Milliarden Dollar Umsatz im Jahr. Die Schwachstelle kann die vollst\u00e4ndige unautorisierte Steuerung betroffener SAP-Systeme erm\u00f6glichen.<\/p>\n

Da es am Willen f\u00fcr bessere SAP-Sicherheit kaum mangeln d\u00fcrfte, mangelt es offenbar an Ressourcen. Abhilfe tut not: Eine Schl\u00fcsselkomponente sind kontextsensitive L\u00f6sungen zur Inventarisierung und \u00dcberwachung von Schwachstellen sowie zum Erkennen und sofortigen Reagieren auf ungew\u00f6hnliche Ereignisse und Zugriffe.<\/p>\n

Sie erm\u00f6glichen und verlangen einen umfassenden Sicherheitsprozess, um solche Pannen zu vermeiden.<\/p>\n

Ein F\u00fcnf-Punkte-Plan hilft, den SAP-Sicherheitsprozess unternehmensweit aufzusetzen und umzusetzen:<\/p>\n

    \n
  1. SAP-Topologie aufschl\u00fcsseln: Die Analyse der SAP-Infrastruktur verschafft einen \u00dcberblick \u00fcber alle SAP-Systeme \u2013 auch der Systeme f\u00fcr Entwicklung und Qualit\u00e4tsmanagement.Eine automatisierte und kontinuierliche Topologisierung zeigt, welche Gesch\u00e4ftsprozesse ein System unterst\u00fctzt und welche Informationen jedes System speichert und verarbeitet. Auswirkungen von Schwachstellen lassen sich erst dadurch absch\u00e4tzen.<\/li>\n
  2. Risiken erkennen und bewerten: Der n\u00e4chste Schritt ist die Inventarisierung und Bewertung von Risiken, die aus Fehlkonfigurationen in der Implementierung resultieren. Die Bewertung erfolgt von den Branchenanforderungen oder der Sicherheitspolitik in Unternehmen. Im n\u00e4chsten Schritt lassen sich die Abwehrma\u00dfnahmen priorisieren.<\/li>\n
  3. Stakeholder an einen Tisch: F\u00fcr eine SAP-Infrastruktur sind meist mehrere Akteure zust\u00e4ndig. Der Dialog gestaltet sich aber schwierig. SAP-Fachabteilungen, Informationssicherheitsteams sowie CISOs und CDOs stimmen sich oft nicht ab. Fachabteilungen konzentrieren sich auf die Produktivit\u00e4t der SAP-Systeme.Der C-Level sieht vielleicht nicht, dass SAP-Sicherheit ein Bestandteil der \u00fcbergreifenden IT-Sicherheitsstrategie sein muss. IT-Security-Administratoren fehlt oft der \u00dcberblick \u00fcber die SAP-Anwendungen und deren Datenaustauch. Geringer Informationsaustausch und eine unklare Verteilung von Zust\u00e4ndigkeiten sind die Ursache f\u00fcr M\u00e4ngel in der SAP-Sicherheit.Die Inventarisierung und Bewertung der Risiken und Schwachstellen schafft die Diskussionsgrundlage, mit der alle Beteiligten die Probleme erkennen und Verantwortlichkeiten nun klar und fair verteilt werden k\u00f6nnen.<\/li>\n
  4. Aktionsplan definieren: Ein gemeinsamer Aktionsplan integriert SAP-Sicherheit in bestehende Sicherheitsinitiativen und nutzt auch das vorhandene IT-Sicherheits-Framework. Daf\u00fcr bietet sich ein flexibler Ansatz an, der Ma\u00dfnahmen zur Vorbeugung, Erkennung und Abwehr von Bedrohungen vereint. Gute Kriterien f\u00fcr einen solchen Sicherheitsplan bieten etwa die CIS-(Critical Security Controls)-Kriterien von sans.org. Erg\u00e4nzend sollten Unternehmen Dienste implementieren, die stets \u00fcber aktuelle, sowohl allgemeine als auch SAP-spezifische IT-Sicherheitsrisiken informieren. Ein wichtiger Bestandteil des Aktionsplans ist die Aktualisierung von SAP-Systemen durch die Patches des Herstellers.<\/li>\n
  5. Fortschritt messen: Der CISO definiert die gemeinsamen Ziele der unternehmenseigenen SAP-Sicherheitspolitik und misst die Fortschritte dank kontinuierlichen Assessments der Sicherheitslage. Moderne Technologien stellen Delta-Berichte zur Verf\u00fcgung, welche die Ver\u00e4nderungen der Sicherheitskonfiguration dokumentieren.<\/li>\n<\/ol>\n

    SAP-Sicherheit wird machbar, sobald technische L\u00f6sungen die Umsetzung einer Sicherheitsstrategie erm\u00f6glichen, die im n\u00e4chsten Schritt Teil der allgemeinen IT-Sicherheit eines Unternehmens wird.<\/p>\n

    Aktuell gibt es einen gro\u00dfen Nachholbedarf bei Unternehmen, der schon bei der strittigen oder nicht vorhandenen Zuteilung der Verantwortlichkeiten anf\u00e4ngt: SAP-Fachabteilungen, Informationssicherheitsteams sowie CISOs und CDOs gehen oft nicht miteinander abgestimmt vor.<\/p>\n

    Fachabteilungen konzentrieren sich mehr auf die Produktivit\u00e4t der SAP-Systeme. Der C-Level sieht bisweilen nicht, dass SAP-Sicherheit ein Bestandteil der \u00fcbergreifenden IT-Sicherheitsstrategie sein muss.<\/p>\n

    IT-Security-Administratoren fehlt oft der \u00dcberblick \u00fcber die Gesch\u00e4ftsanwendungen und den Datenaustauch. Eine unklare Verteilung von Zust\u00e4ndigkeiten und geringer Informationsaustausch sind oft die Ursache f\u00fcr M\u00e4ngel in der SAP-Sicherheit.<\/p>\n

    Konsequente SAP-Sicherheitspolitik beginnt daher erst einmal mit der Schaffung einer Diskussionsgrundlage durch kontinuierliches Assessment und Bewertung von Risiken f\u00fcr alle Beteiligten. Doch diese Ergebnisse m\u00fcssen auch in die allgemeine IT-Sicherheitspolitik eingebunden werden.<\/p>\n","protected":false},"excerpt":{"rendered":"

    SAP-Implementierungen r\u00fccken zunehmend in den Fokus externer und interner Angreifer. Geeignete Softwarel\u00f6sungen und umfassende Sicherheitsstrategien setzen SAP-Sicherheit effektiv um. <\/p>\n","protected":false},"author":79,"featured_media":23781,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[4,1609],"tags":[906,5957,117],"coauthors":[22310],"class_list":["post-23780","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-management","category-mag1607","tag-implementierung","tag-sap-netweaver","tag-sicherheit","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",1000,471,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",400,188,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-768x362.jpg",768,362,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",1000,471,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-100x47.jpg",100,47,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-480x226.jpg",480,226,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-640x301.jpg",640,301,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-720x339.jpg",720,339,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-960x452.jpg",960,452,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",1000,471,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",1000,471,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",1000,471,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",1000,471,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",1000,471,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",1000,471,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",1000,471,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",1000,471,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",600,283,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493.jpg",600,283,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/06\/shutterstock_96088493-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

    SAP-Implementierungen r\u00fccken zunehmend in den Fokus externer und interner Angreifer. Geeignete Softwarel\u00f6sungen und umfassende Sicherheitsstrategien setzen SAP-Sicherheit effektiv um. <\/p>\n","category_list_v2":"Business-Management<\/a>, MAG 16-07<\/a>","author_info_v2":{"name":"Mariano Nunez, Onapsis","url":"https:\/\/e3mag.com\/de\/author\/mariano-nunez\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/23780","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/79"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=23780"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/23780\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/23781"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=23780"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=23780"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=23780"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=23780"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}