Information et éducation par et pour la communauté SAP

Sicherheitspolitik und effektive Lösungen

SAP-Implementierungen rücken zunehmend in den Fokus externer und interner Angreifer. Geeignete Softwarelösungen und umfassende Sicherheitsstrategien setzen SAP-Sicherheit effektiv um.
Mariano Nunez, Onapsis
1er juillet 2016
[shutterstock.com:96088493, Dave Clark Digital Photo]
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Die Verbreitung der Invoke-Serv­let-Schwachstelle bei nicht aktualisierten oder fehlkonfigurierten SAP-NetWeaver-Implementierungen zeigt aktuell die Defizite in der Sicherheit von SAP-Implementierungen.

Obwohl bereits vor sechs Jahren ein Patch von SAP bereitgestellt wurde, gibt es noch im Frühjahr 2016 bei 36 Unternehmen in den USA, Großbritannien, Deutschland, China, Indien, Japan und Südkorea Indizien für einen Exploit der Sicherheitslücke.

13 der betroffenen Unternehmen generieren mehr als 13 Milliarden Dollar Umsatz im Jahr. Die Schwachstelle kann die vollständige unautorisierte Steuerung betroffener SAP-Systeme ermöglichen.

Da es am Willen für bessere SAP-Sicherheit kaum mangeln dürfte, mangelt es offenbar an Ressourcen. Abhilfe tut not: Eine Schlüsselkomponente sind kontextsensitive Lösungen zur Inventarisierung und Überwachung von Schwachstellen sowie zum Erkennen und sofortigen Reagieren auf ungewöhnliche Ereignisse und Zugriffe.

Sie ermöglichen und verlangen einen umfassenden Sicherheitsprozess, um solche Pannen zu vermeiden.

Ein Fünf-Punkte-Plan hilft, den SAP-Sicherheitsprozess unternehmensweit aufzusetzen und umzusetzen:

  1. SAP-Topologie aufschlüsseln: Die Analyse der SAP-Infrastruktur verschafft einen Überblick über alle SAP-Systeme – auch der Systeme für Entwicklung und Qualitätsmanagement.Eine automatisierte und kontinuierliche Topologisierung zeigt, welche Geschäftsprozesse ein System unterstützt und welche Informationen jedes System speichert und verarbeitet. Auswirkungen von Schwachstellen lassen sich erst dadurch abschätzen.
  2. Risiken erkennen und bewerten: Der nächste Schritt ist die Inventarisierung und Bewertung von Risiken, die aus Fehlkonfigurationen in der Implementierung resultieren. Die Bewertung erfolgt von den Branchenanforderungen oder der Sicherheitspolitik in Unternehmen. Im nächsten Schritt lassen sich die Abwehrmaßnahmen priorisieren.
  3. Stakeholder an einen Tisch: Für eine SAP-Infrastruktur sind meist mehrere Akteure zuständig. Der Dialog gestaltet sich aber schwierig. SAP-Fachabteilungen, Informationssicherheitsteams sowie CISOs und CDOs stimmen sich oft nicht ab. Fachabteilungen konzentrieren sich auf die Produktivität der SAP-Systeme.Der C-Level sieht vielleicht nicht, dass SAP-Sicherheit ein Bestandteil der übergreifenden IT-Sicherheitsstrategie sein muss. IT-Security-Administratoren fehlt oft der Überblick über die SAP-Anwendungen und deren Datenaustauch. Geringer Informationsaustausch und eine unklare Verteilung von Zuständigkeiten sind die Ursache für Mängel in der SAP-Sicherheit.Die Inventarisierung und Bewertung der Risiken und Schwachstellen schafft die Diskussionsgrundlage, mit der alle Beteiligten die Probleme erkennen und Verantwortlichkeiten nun klar und fair verteilt werden können.
  4. Aktionsplan definieren: Ein gemeinsamer Aktionsplan integriert SAP-Sicherheit in bestehende Sicherheitsinitiativen und nutzt auch das vorhandene IT-Sicherheits-Framework. Dafür bietet sich ein flexibler Ansatz an, der Maßnahmen zur Vorbeugung, Erkennung und Abwehr von Bedrohungen vereint. Gute Kriterien für einen solchen Sicherheitsplan bieten etwa die CIS-(Critical Security Controls)-Kriterien von sans.org. Ergänzend sollten Unternehmen Dienste implementieren, die stets über aktuelle, sowohl allgemeine als auch SAP-spezifische IT-Sicherheitsrisiken informieren. Ein wichtiger Bestandteil des Aktionsplans ist die Aktualisierung von SAP-Systemen durch die Patches des Herstellers.
  5. Fortschritt messen: Der CISO definiert die gemeinsamen Ziele der unternehmenseigenen SAP-Sicherheitspolitik und misst die Fortschritte dank kontinuierlichen Assessments der Sicherheitslage. Moderne Technologien stellen Delta-Berichte zur Verfügung, welche die Veränderungen der Sicherheitskonfiguration dokumentieren.

SAP-Sicherheit wird machbar, sobald technische Lösungen die Umsetzung einer Sicherheitsstrategie ermöglichen, die im nächsten Schritt Teil der allgemeinen IT-Sicherheit eines Unternehmens wird.

Aktuell gibt es einen großen Nachholbedarf bei Unternehmen, der schon bei der strittigen oder nicht vorhandenen Zuteilung der Verantwortlichkeiten anfängt: SAP-Fachabteilungen, Informationssicherheitsteams sowie CISOs und CDOs gehen oft nicht miteinander abgestimmt vor.

Fachabteilungen konzentrieren sich mehr auf die Produktivität der SAP-Systeme. Der C-Level sieht bisweilen nicht, dass SAP-Sicherheit ein Bestandteil der übergreifenden IT-Sicherheitsstrategie sein muss.

IT-Security-Administratoren fehlt oft der Überblick über die Geschäftsanwendungen und den Datenaustauch. Eine unklare Verteilung von Zuständigkeiten und geringer Informationsaustausch sind oft die Ursache für Mängel in der SAP-Sicherheit.

Konsequente SAP-Sicherheitspolitik beginnt daher erst einmal mit der Schaffung einer Diskussionsgrundlage durch kontinuierliches Assessment und Bewertung von Risiken für alle Beteiligten. Doch diese Ergebnisse müssen auch in die allgemeine IT-Sicherheitspolitik eingebunden werden.

avatar
Mariano Nunez, Onapsis

Mariano Nunez ist CEO bei Onapsis.


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.