La sécurité SAP ne doit pas rester une niche

Bei den meisten Unternehmen besteht hier erheblicher Nachholbedarf.

Zeitgemäß ist die Unterschätzung des Security-Themas nicht mehr. Nur eine vollständig integrierte und umfassende Cyber-Defense-Strategie, die sich über die gesamte IT erstreckt, kann zuverlässig vor heutigen und künftigen Gefahren schützen.

Das heißt, eine Ausklammerung von SAP aus einem ganzheitlichen Security-Konzept im Unternehmen kann nicht zielführend sein.

Auch eine reine Fokussierung der Security auf Infrastruktur-Themen wird der aktuellen Bedrohungslage nicht mehr gerecht.

Ebenso wie bei einem umfassenden Gesundheits-Check-up niemand auf die Idee käme, bei den Untersuchungen das Herz außen vor zu lassen, sollte es auch hinsichtlich SAP-Anwendungen klar sein, dass diese bei der Umsetzung von Security-Strategien nicht ausgeklammert werden dürfen.

Schließlich sind SAP-Anwendungen das „Herzstück“ vieler Unternehmen, über das alle zentralen Geschäftsprozesse gesteuert werden.

Mehr Fokus auf SAP

Immerhin erkennen Unternehmen zunehmend die Sicherheitsproblematik im SAP-Umfeld.

Ein Grund dafür ist, dass gegenwärtig Wirtschaftsprüfer verstärkt auch die SAP-Welt ins Visier nehmen und bei Audits SAP-Anwendungen hinsichtlich Sicherheit untersuchen.

Und Fälle, in denen SAP-Abteilungen hier „Red Flags“ erhalten, sind bei Weitem keine Ausnahme mehr.

Für das Management ergibt sich dadurch die Notwendigkeit, dem Thema Sicherheit ein größeres Gewicht einzuräumen, als dies in der Vergangenheit geschehen ist.
Doch an welchen Punkten muss angesetzt werden? Zunächst sind hier die heutigen Organisationsstrukturen von Unternehmen zu nennen.

Bei SAP kann in der Regel immer noch von einer abgeschotteten Welt gesprochen werden. SAP-Abteilungen sind meistens von den restlichen IT-Teams getrennt und fungieren als unabhängige, eigenständige Einheiten, die dem Thema Sicherheit – wenn überhaupt – nur eine untergeordnete Rolle beimessen.

Das SAP-Thema ist eindeutig Business-getrieben. Bei der Sicherheit muss diese organisatorische Trennung aber aufgehoben werden.

Alte Systeme nicht genug

Herkömmliche Sicherheitskonzepte sind nicht mehr ausreichend. Sie basieren in der Regel ausschließlich auf dem Perimeterschutz und reaktiven Maßnahmen.

Benötigt werden aber End-to-End-Sicherheitslösungen, die auch einen aktiven Schutz umfassen.

Der klassische Netzwerk-Schutzwall wird dabei um proaktive Sicherheitsmechanismen ergänzt, die sich gerade auch auf unternehmenskritische Applikationen wie SAP-Software erstrecken.

Das heißt, dass es bei der IT-Sicherheit heute um wesentlich mehr als das reine Infrastruktur- und Technologie-Management gehen muss. Sie sind lediglich die Basis.

Erster Schritt bei der Umsetzung neuer Sicherheits- und Compliance-Strategien sollte eine Bestandsaufnahme sein, eine klare Analyse und Risikobewertung, die die gesamte IT erfasst.

Erst in den weiteren Schritten kann dann über den Einsatz der richtigen Tools oder Services entschieden werden.

Viele neue Möglichkeiten

Und hier gibt es gerade auch speziell für SAP-Applikationen zahlreiche neue Lösungen, da SAP selbst seit geraumer Zeit das Thema Sicherheit verstärkt aufgreift und Security-Produkte auf den Markt bringt.

Zu nennen sind etwa SAP Single Sign-on für den sicheren Zugriff auf SAP- und Nicht-SAP-Systeme oder SAP Identity Management für eine effiziente Benutzerverwaltung.

Mit dem Einsatz derartiger SAP-Sicherheitstools ist es aber keineswegs getan. Es würde nur dazu führen, dass weitere Insellösungen im Unternehmen vorhanden sind.

Ebenso wichtig ist die durchgängige Verknüpfung der unterschiedlichen Lösungen, beispielsweise im Bereich Benutzerverwaltung.

Es liegt auf der Hand, dass nur eine unternehmensweite Umsetzung von Berechtigungskonzepten sinnvoll ist. Hier eine Parallelwelt von SAP und restlicher IT aufzubauen kann nicht der Weisheit letzter Schluss sein.

Mit anderen Worten:

Nutzung von SAP-Tools ja, aber auch Verknüpfung mit den im Unternehmen ansonsten verwendeten Lösungen, das heißt Umsetzung eines ganzheitlichen Ansatzes mit Abkehr von einem Silodenken mit einem Patchwork von Lösungen.

Und eines darf man bei der ganzen „Sicherheitsdiskussion“ schließlich auch nicht vergessen: In der Vergangenheit war Sicherheit ein reines IT-Thema.

Zusehends zeichnet sich aber ein Paradigmenwechsel ab, der durch zwei Aspekte gekennzeichnet ist: Zum einen ist Sicherheit in steigendem Maße Business-getrieben und zum anderen treibt die Sicherheit auch das Business.

Das heißt, Security wird zunehmend als ein unternehmenskritischer Geschäftsprozess eingestuft und auch als Differenzierungsmerkmal im Wettbewerb genutzt, indem Sicherheit als Teil der Produkt-, Lösungs- oder Servicequalität vermarktet wird.

Security wird somit immer mehr zu einem zentralen Business-Faktor – sowohl als wichtige Komponente der Wertschöpfungskette als auch als komplementärer Business-Treiber.