The global and independent platform for the SAP community.

Safety begins with the design of the infrastructure

Due to the increasing number of cyberattacks, business-critical applications like SAP need more protection than ever. It doesn't start with the applications, but with the design of the infrastructure.
Bas Raayman, Nutanix
June 10, 2020
Content:
It Security
avatar
This text has been automatically translated from German to English.

Sicherheitslücken sind die Viren von heute. Sie sind sogar noch gefährlicher. Denn sie erlauben Cyberkriminellen, sich geräuschlos in einem Netzwerk und einer IT-Umgebung einzunisten, bis zu den Kronjuwelen vorzudringen und am Ende wertvolles geistiges Eigentum zu stehlen, den Vorstand zu erpressen oder den Geschäftsbetrieb und die Produktion lahmzulegen.

Dass wir von erfolgreichen Angriffen erfahren, ist eher selten. Aus Reputationsgründen halten sich viele Firmen lieber bedeckt und sind bereit, sogar Summen in Millionenhöhe an Cybererpresser zu zahlen.

SAP-Bestandskunden kennen das Risiko, schließlich schlägt in ihren SAP-Systemen das Herz des Unternehmens. Sie investieren deshalb in klassische Sicherheitssoftware, um die Gefahren von Cyberbedrohungen bereits im Vorfeld abzuwehren.

Dieser Schutz ist äußerst sinnvoll und effektiv, reicht jedoch nicht aus. Einerseits lassen sich unbekannte Sicherheitslücken per definitionem nicht abschirmen, andererseits dauert es in großen SAP-Landschaften oftmals Wochen und Monate, bis Sicherheitsupdates eingespielt werden, um die Lücken zu schließen.

Zudem werden die Grenzen zwischen IT-Sicherheit und Rechtssicherheit aufgrund immer mehr und immer anspruchsvolleren Vorschriften und Regularien – EU-DSGVO oder SOX sind in diesem Zusammenhang unbedingt zu nennen – fließend.

So leisten Vorkehrungen, die einer höheren Nachvollziehbarkeit von Änderungen an Systemkonfigurationen dienen und in erster Linie rechtliche Auflagen erfüllen, gleichzeitig einen wertvollen Beitrag zu mehr IT-Sicherheit.

Diesen Herausforderungen lässt sich mit einem Dreiklang aus der richtigen Infrastruktur für SAP-Landschaften, einem hohen Grad an Automatisierung, der schon beim Design und der Programmierung dieser Infrastrukturplattform ansetzt, und einem Sicherheitsökosystem begegnen.

Sicherheitsmechanismen in einer herkömmlichen Dreischichten-Architektur zu aktualisieren dauert wegen der Vielzahl der involvierten Hersteller und der Unterschiedlichkeit ihrer Technologien lange und ist teuer.

Ist eine IT-Infrastruktur hingegen komplett virtualisiert und wird sie ausschließlich von Software gesteuert, lässt sich dieser Aufwand deutlich reduzieren. Sicherheitsupdates werden dadurch selbst in großen und sehr großen SAP-Landschaften innerhalb von Stunden oder wenigen Tagen möglich statt Wochen und Monaten wie bisher.

Softwaregesteuerte Infrastrukturen haben zudem den Vorteil, dass in ihnen Security als eine gleichberechtigte Funktionalität neben allen anderen implementiert werden kann. Sie bilden den gesamten Prozess einer auf Sicherheit ausgelegten Entwicklung ab.

Dieser reicht vom Entwurf und Einsatz der Software bis hin zum Testen und zusätzlichen „Härten“ und wird im Fachjargon „Security Development Lifecycle“ (SecDL) genannt.

Ferner lassen sich in solchen Infrastrukturen Sicherheitslücken weitgehend automatisiert ermitteln und schließen. Dazu dient insbesondere die Implementierung von Sicherheitsleitfäden, sogenannten Security Technical Implementation Guides (STIGs).

Außerdem helfen softwaregesteuerte Infrastrukturen, die Integrität von Datenbankkonfigurationen nachzuvollziehen und zu sichern. Aber seien wir ehrlich: Auch die beste Infrastruktursoftware kann keinen 100-prozentigen Schutz garantieren.

Deshalb sind Anbindungsmöglichkeiten an Drittlösungen mittels offener Programmierschnittstellen (APIs) ein Muss. Dies gilt insbesondere für die Bereiche Management von Verschlüsselungs-Keys, Endpunktsicherheit und Mikrosegmentierung.

Absolute Sicherheit ist zwar unmöglich. Doch mit der richtigen Infrastruktur lässt sich die Angriffsfläche in SAP-Umgebungen deutlich verkleinern und die Zeit vom Bekanntwerden bis zum Schließen einer Sicherheitslücke massiv verkürzen.

avatar
Bas Raayman, Nutanix

Bas Raayman is Sr. Solutions Architect at Nutanix


Write a comment

Work on SAP Basis is crucial for successful S/4 conversion. This gives the so-called Competence Center strategic importance among SAP's existing customers. Regardless of the operating model of an S/4 Hana, topics such as automation, monitoring, security, application lifecycle management, and data management are the basis for the operative S/4 operation. For the second time already, E3 Magazine is hosting a summit in Salzburg for the SAP community to get comprehensive information on all aspects of S/4 Hana groundwork. With an exhibition, expert presentations, and plenty to talk about, we again expect numerous existing customers, partners, and experts in Salzburg. E3 Magazine invites you to Salzburg for learning and exchange of ideas on June 5 and 6, 2024.

Venue

Event Room, FourSide Hotel Salzburg,
At the exhibition center 2,
A-5020 Salzburg

Event date

June 5 and 6, 2024

Tickets

Early Bird Ticket - Available until 29.03.2024
EUR 440 excl. VAT
Regular ticket
EUR 590 excl. VAT

Secure your Early Bird ticket now!

Venue

Event Room, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Event date

28 and 29 February 2024

Tickets

Regular ticket
EUR 590 excl. VAT
The organizer is the E3 magazine of the publishing house B4Bmedia.net AG. The presentations will be accompanied by an exhibition of selected SAP partners. The ticket price includes the attendance of all lectures of the Steampunk and BTP Summit 2024, the visit of the exhibition area, the participation in the evening event as well as the catering during the official program. The lecture program and the list of exhibitors and sponsors (SAP partners) will be published on this website in due time.