{"id":60926,"date":"2016-05-02T14:38:51","date_gmt":"2016-05-02T12:38:51","guid":{"rendered":"http:\/\/e3mag.com\/?p=60926"},"modified":"2019-07-11T14:49:35","modified_gmt":"2019-07-11T12:49:35","slug":"sap-und-sicherheit-zwei-getrennte-welten","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/sap-und-sicherheit-zwei-getrennte-welten\/","title":{"rendered":"SAP und Sicherheit \u2013 zwei getrennte Welten?"},"content":{"rendered":"

Nur eine integrierte Cyber-De\u00adfense-Strategie, die die gesamte IT ber\u00fccksichtigt, kann potenzielle Schwachstellen beseitigen und vor Bedrohungen zuverl\u00e4ssig sch\u00fctzen.<\/p>\n

Die generell steigende Gefahr f\u00fcr die IT-Sicherheit hat dazu gef\u00fchrt, dass viele Unternehmen Sicherheitsprojekte initiieren, die SAP-Welt aber ausklammern. Das ist heute nicht mehr akzeptabel, zumal SAP-Daten in der Regel unternehmenskritisch sind.<\/p>

\"\"<\/a><\/div><\/div>\n

Doch was ist der Grund f\u00fcr die unzureichende Ber\u00fccksichtigung des Themas SAP-Sicherheit? Daf\u00fcr gibt es mehrere Ursachen. So steht das Thema SAP-Security oftmals nicht auf der IT-Agenda des CISO, da es als zu komplex und sehr speziell eingestuft wird.<\/p>\n

Das zeigen Erfahrungswerte von NTT Com Security aus zahlreichen Kundenprojekten in den Bereichen Informationssicherheit und Risikomanagement. Zudem sind SAP-Abteilungen in der Regel eigenst\u00e4ndige Einheiten, die ihre Unabh\u00e4ngigkeit bewahren wollen und sich teilweise gegen eine Einflussnahme der restlichen IT verschlie\u00dfen.<\/p>\n

Hinzu kommt, dass es in den SAP-IT-Abteilungen oft an dem erforderlichen Security-Know-how in der Breite fehlt. SAP hat in der j\u00fcngsten Vergangenheit etliche Sicherheitsprodukte auf den Markt gebracht, im Pr\u00e4ventivbereich etwa SAP Single Sign-On f\u00fcr den sicheren Zugriff auf SAP und Nicht-SAP-Systeme oder SAP Identity Management f\u00fcr eine effiziente Benutzerverwaltung, SAP Access Control f\u00fcr eine regel- und gesetzeskonforme Berechtigungsvergabe oder den Code Vulnerability Analyzer f\u00fcr eine automatische und manuelle Quellcode-Pr\u00fcfung.<\/p>\n

Zur Echtzeitidentifikation von Angriffen und Betrugsversuchen hat SAP die L\u00f6sungen SAP Enterprise Threat Detection und SAP Fraud Management entwickelt. Allein die Verf\u00fcgbarkeit dieser Tools hei\u00dft aber nicht, dass sie fl\u00e4chendeckend genutzt werden:<\/p>\n

SAP Enterprise Threat Detection etwa, das f\u00fcr die sicherheitsrelevante Auswertung und Analyse von Sicherheitsevents \u00fcber die SAP-Systemlandschaft sorgt und auch f\u00fcr die Anbindung an traditionelle SIEM-Systeme konzipiert wurde, ist bisher noch nicht bei vielen Unternehmen im Einsatz.<\/p>\n

Doch selbst wenn auf Unternehmensseite vereinzelt SAP-Sicherheitstools genutzt werden, ein Problem bleibt dennoch bestehen: Nur eine vollst\u00e4ndig integrierte Sicherheitsl\u00f6sung bietet zuverl\u00e4ssigen Schutz, mit einem Patchwork von L\u00f6sungen und Insell\u00f6sungen bleiben die Systeme angreifbar.<\/p>\n

Doch ineffiziente Sicherheitssilos finden sich nach wie vor in vielen Unternehmen. Das hat auch eine aktuelle Studie von Dell ergeben, an der sich 175 deutsche Firmen beteiligten. Ein zentrales Ergebnis war hier, dass die IT-Sicherheit oft applikationsgebunden organisiert ist und in die Verantwortung unterschiedlicher Unternehmensabteilungen f\u00e4llt.<\/p>\n

So verf\u00fcgen auch nur 23 Prozent der befragten Unternehmen \u00fcberhaupt \u00fcber eine zentrale IT-Sicherheitsabteilung, die auch die verteilte Applikations- und damit SAP-Landschaft inkludiert.<\/p>\n

Getrennte Welten und Sicherheitsl\u00fccken<\/h3>\n

Dass oft zwei Welten dominieren, zeigt sich schon bei einem einfachen Thema wie der Benutzerverwaltung. Hier ist immer noch Status quo in vielen Unternehmen, dass die SAP-Umgebung von der restlichen IT getrennt ist und Berechtigungskonzepte nicht unternehmensweit umgesetzt werden.<\/p>\n

In fast allen Unternehmen ist heute der Verzeichnisdienst Microsoft Active Directory (AD) ein zentrales Element der gesamten Infrastruktur. Das AD \u00fcbernimmt dabei vielf\u00e4ltige Aufgaben, die \u00fcber die reine Verwaltung von Benutzerkonten weit hinausreichen und zum Beispiel auch die Authentifizierung und Autorisierung von nicht Windows-basierten Systemen wie Linux-Servern oder von Applikationen umfassen. Doch ein Bereich bleibt \u00fcberraschenderweise oft ausgeklammert: die SAP-Infrastruktur.<\/p>\n

Integration ist aber nur die eine Seite der Medaille, ebenso wichtig ist die Beseitigung vorhandener Sicherheitsl\u00fccken \u2013 und die sind in der SAP-Welt h\u00e4ufig anzutreffen. So fehlen beispielsweise die Aktivierung der Verschl\u00fcsselung oder die Trennung der administrativen Berechtigungen.<\/p>\n

Oft besteht auch keine Segmentierung von Frontend und Backend und eine Patch-Management-Strategie ist nicht vorhanden. Ein zentrales Problem ist zudem, dass gerade im SAP-Umfeld Zugriffsberechtigungskonzepte und Change-Management-Verfahren h\u00e4ufig nur anwenderbezogen umgesetzt werden \u2013 und nicht aus Security-Sicht.<\/p>\n

Die Herausforderungen liegen also auf der Hand, und auch SAP selbst greift das Thema Security im Rahmen mehrerer Initiativen zunehmend auf. Der Security-Experte NTT Com Security investiert gemeinsam mit SAP in die Zusammenarbeit, um Kunden ganzheitliche L\u00f6sungskonzepte anbieten zu k\u00f6nnen.<\/p>\n

W\u00e4hrend SAP in der SAP-IT zu Hause ist, verf\u00fcgt NTT Com Security sowohl \u00fcber SAP-Know-how als auch \u00fcber den Zugang zur \u00fcbergreifenden IT-Abteilung, die die unternehmensweite IT-Security verantwortet. NTT Com Security kann somit quasi eine \u201eVermittlerrolle\u201c bei Fragen der Sicherheit unternehmenskritischer Daten einnehmen.<\/p>\n

Zuverl\u00e4ssig kann die Cyber-Bedrohung f\u00fcr SAP-Anwendungen nur durch ihre Einbindung in die Gesamtsicherheitsstrategie eines Unternehmens gebannt werden. Das hei\u00dft, es ist von elementarer Bedeutung, dass auch die SAP-Welt im Rahmen von Sicherheitsprojekten und bei der Implementierung einer ganzheitlichen Cyber-Defense-Strategie Ber\u00fccksichtigung findet.<\/p>\n

Bei der Umsetzung einer solchen Strategie sollte eine sequenzielle Vorgehensweise gew\u00e4hlt werden. Ausgangspunkt ist die Analyse und Risikoprofilerstellung der IT-Landschaft einschlie\u00dflich der SAP-Umgebung, die Tool-Einf\u00fchrung steht erst am Ende der Prozesskette.<\/p>\n

Bei der Risikobewertung (Risk Insight) geht es um die Klassifizierung aller sch\u00fctzenswerten Prozesse und Daten \u2013 nat\u00fcrlich auch innerhalb der SAP-Welt. Hierauf m\u00fcssen dann alle weiteren Ma\u00dfnahmen im Rahmen einer durchg\u00e4ngigen Cyber-Defense-Strategie aufbauen. Kernelemente sind hierbei die vier zentralen Eckpfeiler Pr\u00e4vention, Erkennung, Abwehr und Reaktion.<\/p>\n

Im Bereich Pr\u00e4vention geht es zum einen um das Infrastruktur- und Netzwerk-Management auf Unternehmensseite, mit klassischen Sicherungsma\u00dfnahmen wie einem Perimeter-Schutz mit E-Mail-Gateways inklusive Spam- und Malware-Filter, Next-Generation-Firewalls, VPN-Systemen oder dynamischen Sandboxing-L\u00f6sungen.<\/p>\n

Zum anderen m\u00fcssen hier aber auch die unternehmenskritischen (SAP-)Business-Applikationen und Daten selbst verst\u00e4rkt ins Blickfeld r\u00fccken und entsprechend gesichert werden.<\/p>\n

N\u00e4chster Schritt ist die Erkennung, das hei\u00dft eine umfassende Sicherheitsanalyse mit der Auswertung von Echtzeitdaten und einem proaktiven Monitoring. Eine effiziente \u00dcberwachung erstreckt sich dabei nicht nur auf Systemlogs und -warnungen, sondern beinhaltet zum Beispiel auch Verhaltensanalysen der IT-Umgebung eines Unternehmens, mit denen ungew\u00f6hnliche Prozesse aufgedeckt werden k\u00f6nnen.<\/p>\n

Unverzichtbarer Bestandteil einer umfassenden Sicherheitsl\u00f6sung ist die M\u00f6glichkeit, Bedrohungen fr\u00fch zu erkennen, das hei\u00dft die Nutzung von Fr\u00fcherkennungssystemen. Es liegt auf der Hand, dass ein Unternehmen einen umfassenden Schutz vor Cyber-Angriffen kaum v\u00f6llig autark realisieren kann, da zum einen die Bedrohungslage zu heterogen und vor allem auch zu dynamisch und zum anderen der Kostenaufwand zu hoch ist.<\/p>\n

An diesem Punkt kommen SOC (Security Operations Center) von Managed-Security-Services-(MSS-)Anbietern als proaktive Abwehrzentren f\u00fcr Unternehmen ins Spiel.<\/p>\n

Nicht zuletzt sollte ein Unternehmen auch auf den Ernstfall, einen sogenannten Incident, vorbereitet sein, denn eine 100-prozentige Absicherung d\u00fcrfte eine Utopie bleiben. Das hei\u00dft, es muss ein Incident-Response-Verfahren etabliert sein, das im Gefahrenfall abgerufen werden kann und mit dem ein ungewollter Datenabfluss unterbunden wird.<\/p>\n

Eines sollte klar sein: Hacker unterscheiden nicht zwischen SAP-Anwendungen und der allgemeinen IT. Wichtig bei der Umsetzung einer Cyber-Defense-Strategie ist somit der ganzheitliche Ansatz, der die \u00dcberwachung und Absicherung der SAP-Infrastruktur als wichtigen Erfolgsfaktor integriert. Nur mit einem solch umfassenden Konzept kann ein SAP-Anwender heute eine maximale IT- und Informationssicherheit realisieren.<\/p>\n","protected":false},"excerpt":{"rendered":"

Unternehmen r\u00e4umen IT-Sicherheit h\u00f6chste Priorit\u00e4t ein, die SAP-Welt bleibt oft unber\u00fccksichtigt. Heutigen Anforderungen wird dieses Vorgehen nicht mehr gerecht. <\/p>\n","protected":false},"author":100,"featured_media":60767,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[5,1605],"tags":[5238,369,15155],"coauthors":[26015,32783],"class_list":["post-60926","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-management","category-mag1604","tag-change-management","tag-it","tag-risikomanagement","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",400,155,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-768x297.jpg",768,297,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-100x39.jpg",100,39,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-480x186.jpg",480,186,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-640x248.jpg",640,248,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-720x279.jpg",720,279,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-960x372.jpg",960,372,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",18,7,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",1000,387,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",600,232,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016.jpg",600,232,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2016-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Unternehmen r\u00e4umen IT-Sicherheit h\u00f6chste Priorit\u00e4t ein, die SAP-Welt bleibt oft unber\u00fccksichtigt. Heutigen Anforderungen wird dieses Vorgehen nicht mehr gerecht. <\/p>\n","category_list_v2":"IT-Management<\/a>, MAG 16-04<\/a>","author_info_v2":{"name":"Kai Grunwitz, NTT Security","url":"https:\/\/e3mag.com\/de\/author\/kai-grunwitz\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/60926","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/100"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=60926"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/60926\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/60767"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=60926"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=60926"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=60926"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=60926"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}