Pourquoi les experts en sécurité ne sont pas des experts SAP

Da sich die Antworten auf diese Frage oft gleichen, gibt es scheinbar grundsätzliche Fehlannahmen bezüglich SAP-Sicherheit. Beim Thema Security landet man schnell beim Menschen. Schließlich sind es Hacker, die Cyberattacken fahren. Und darin liegt der Knackpunkt. Nur ausgewiesene Security-Experten haben eine Chance, professionellen Hackern die Stirn zu bieten. Während Cyberkriminelle hoch spezialisiert sind, müssen Fachleute in Unternehmen alle Techniken beherrschen und ausgeprägte analytische Fähigkeiten haben. Das kann man selbst vom erfahrensten SAP-Professional nicht erwarten. Zu komplex und zu dynamisch ist die Cybercrime-Branche, als dass er sich mal schnell einarbeiten könnte. Daher ist es zwingend notwendig, SAP mit Security-Spezialisten zusammenzubringen und einen vollständigen Überblick über die Bedrohungslage zu erhalten. Denn Angreifer interessieren sich nicht für interne Organisationssilos.

SAP dans le cloud

SAP-Systeme in die Cloud zu migrieren ist eine zukunftsträchtige Aufgabe. Die Cloud-Adaption ist ein hochkomplexes Vorhaben, das einem steten Wandel unterliegt. Darum müssen die Mitarbeitenden hoch qualifiziert sein. Doch manche Firmen sind davon überzeugt, ihr IT-Personal könne die Bestands-IT managen und sei zugleich Experte für Cloud-Security. Praktisch ist es aber so, dass unternehmenseigenen Security-Experten häufig das erforderliche SAP-Know-how fehlt – ebenso, wie SAP-Fachleute oftmals nur über rudimentäre Security-Kenntnisse verfügen. Also bilden diese Unternehmen ihre IT-Fachkräfte nicht adäquat weiter.

Doch fehlendes Fachwissen in Bezug auf die Absicherung einer cloudbasierten SAP-Landschaft erzeugt gefährliche Schwachstellen. So müssen Hacker nicht einmal die Mühe auf sich nehmen, sich – gut getarnt in einem trojanischen Pferd –Zugriff auf Daten und Systeme zu verschaffen. Sie laufen mit offenem Visier über die heruntergelassene Zugbrücke durch das sperrangelweit geöffnete Tor und nisten sich in der Burg ein. Bis das auffällt, dauert es durchschnittlich rund 100 Tage. Drei Monate, in denen Cyberkriminelle großen Schaden anrichten können. Nicht immer sind es aufmerk-samkeitsstarke Ransomware- oder DDoS-Attacken. Mancher Hacker geht sehr subtil vor, etwa indem er vermeintlich unbedeutende Informationen abgreift. Daher müssen Unternehmen Security bei der Cloud–Transformation stets mitdenken.

Erneut stellt sich die Frage: Warum tun Firmen das nicht? Es scheint, als würde kein zielführender Dialog zwischen IT und Management stattfinden. Manchmal hat die Geschäftsführung keine greifbare Vorstellung davon, wie wichtig SAP-Sicherheit für einen reibungslosen Geschäftsbetrieb ist. Und Security-Experten gelingt es zuweilen nicht, die Vorteile adäquater Schutzmaßnahmen und ihre positiven Auswirkungen auf das operative Tagesgeschäft zu vermitteln. Für einen echten Dialog sind Unternehmen gut beraten, die Technologie zunächst außen vorzulassen. Es geht darum, den Möglichkeiten der Cloud und der Komplexität von SAP-Security bewusst zu begegnen: Um die SAP-Infrastruktur gegen Hackerangriffe abzusichern, braucht es zwingend ein Verständnis davon, dass SAP-Sicherheit ein Geschäftsprozess wie jeder andere ist. Ein Prozess, der sorgfältig zu modellieren, mit Metriken zu steuern, mit Tools zu überwachen und kontinuierlich zu optimieren ist.

Um den Blick auf SAP-Security zu verändern, müssen Unternehmen mit gängigen Vorurteilen aufräumen. Denn das grundlegende Missverständnis ist die Fehlannahme, Security sei ein IT-Thema. Doch Cloud- und SAP-Sicherheit sind vielmehr in der Unternehmensstrategie nachhaltig zu verankern und erst im zweiten Schritt praktisch umzusetzen. Das ist eine Herausforderung, die weit über die IT-Abteilung hinausgeht. Sie betrifft viele Fachbereiche. Für eine wirkungsvolle SAP-Security müssen alle, wirklich alle an einem Strang ziehen.