Zahl der Unternehmens- Cyberangriffe steigt dramatisch

Die Situation spitzt sich zu: Die Deutsche Telekom registrierte bei einem Test im April dieses Jahres bis zu 46 Millionen Hackerattacken auf deutsche Unternehmen an nur einem Tag. Im Schnitt waren es rund 30 Millionen Attacken pro Tag – das ist eine dramatische Steigerung im Vergleich zu 2017, als noch ca. vier Millionen Angriffe gezählt wurden. Auch aufgrund der zunehmenden Digitalisierung von Gesellschaft und Unternehmen sind heute die Möglichkeiten für Hacker, Unternehmensdaten abzugreifen und für spätere Erpressungen zu nutzen, so vielfältig wie nie. Und sie sorgen für einen beträchtlichen Schaden: Dutzende Milliarden Euro Verlust entstehen der deutschen Wirtschaft laut dem Branchenverband BITKOM jedes Jahr durch Datendiebstahl, Spionage und Sabotage. 2018 waren demnach 70 Prozent der deutschen Unternehmen nachweislich von Cyberangriffen betroffen. Aufgrund der zunehmenden Geschwindigkeit und Komplexität der digitalen Prozesse in Unternehmen sind die IT-Verantwortlichen gefordert, nicht nur ihre SAP-Infrastrukturen umfassend zu schützen, sondern auch in Echtzeit auf kritische Situationen zu reagieren. Doch auch das ist nicht so einfach, weil die Manager aktuell auf eine weitere Herausforderung treffen: Aufgrund des Fachkräftemangels ist es in Deutschland besonders schwer, die internen Teams optimal zu besetzen. Hinzu kommt, dass die Mitarbeiter durch die zunehmenden Anforderungen im Tagesgeschäft gebunden sind – neben den üblichen Aufgaben sind das verschärfte Überprüfungen durch Aufsichtsbehörden wie das BSI oder neue Gesetze wie die DSGVO, die ebenfalls eine große Rolle spielen. Das führt dazu, dass Unternehmen oft nicht alle erforderlichen Maßnahmen zum Schutz der besonders wichtigen SAP-Systeme umsetzen können.

Schnelle und nachhaltige Lösung durch intelligente Tools und erfahrene Experten

Um sich schnell und vor allem ganzheitlich auf diese vielfältigen Herausforderungen einzustellen, empfiehlt es sich, externe Hilfe heranzuziehen. Der Einsatz intelligenter Tools schafft hier eine schnelle Entlastung der Fachabteilungen: Mit der SAST SUITE beispielsweise sorgen unsere Experten für eine umfassende und vor allem schnelle Absicherung von SAP-Systemen. Über individuelle Lösungsansätze und mit fundiertem SAP-Fachwissen gilt es, Folgendes zu erreichen: „Get clean“ und „Stay ­clean“.

1. Get clean: Schwachstellen erkennen und System härten

Im ersten Schritt erfolgt eine tiefgehende Bestandsaufnahme durch ein Security & Compliance Audit. Unter Einsatz der SAST SUITE – unserer Software für Governance, Risk & Compliance, die alle unternehmensrelevanten Abhängigkeiten berücksichtigt – wissen die Experten in der Regel in ein bis zwei Wochen über alle Sicherheitslücken Bescheid. Das ist nicht überraschend, denn der simulierte Angriff zeigt potenzielle Einfallstore sehr gut auf. Diese Stellen werden dann gehärtet, es erfolgt also eine Behebung der Schwachstellen im IT-System. Ein besonderer Fokus liegt hier auf Datenbanken, Netzwerken und Betriebssystemen, denn Hacker umgehen SAP-Systeme gern.

2. Stay clean: Intelligente Absicherung in Echtzeit – mit Überblick

Sind die Systeme erst einmal sicher, besteht die Herausforderung insbesondere bei großen Unternehmen und Konzernen darin, ihre extrem komplexen Systemwelten schnell in den Griff zu bekommen. Für eine effiziente IT-Sicherheit ist es unverzichtbar, sich in kürzester Zeit einen umfassenden Überblick zu verschaffen – das bietet ein Management Dashboard. Laut DSAG-Arbeitskreis Security & Vulnerability Management ist ein ordentliches Dashboard die zentrale Voraussetzung, um zwingend erforderliche bessere Sicherheitskonzepte entwickeln und umsetzen zu können – es ist aber bei nur 11 Prozent der Unternehmen im Einsatz. Unser Management Dashboard liefert auf Knopfdruck eine transparente Visualisierung aller kritischen Systemaktivitäten inklusive einer Analyse und Darstellung der historischen Entwicklung. Der SAST Security Radar (SSR) ist eine weitere Ergänzung zur Entlastung des IT-Teams und zum ganzheitlichen Schutz der SAP-Systeme: Er führt Schwachstellen-Scans aller Technologie-Ebenen durch und stellt den gesamten Sicherheitsstatus von SAP- mit anderen IT-Systemen in Echtzeit dar.

Unterstützung an Bord holen: Mit Managed GRC Services

Danach heißt es, weiter den steigenden Ansprüchen der IT-Sicherheit gewachsen zu bleiben: Wie die IDG-Studie „Managed Security 2018“ zeigt, ist hier die Managed-Services-Lösung eine bewährte Maßnahme. Bereits jetzt arbeiten mehr als die Hälfte (58 Prozent) der in der Studie befragten Unternehmen mit einem IT-Security-Dienstleister zusammen. Anders als beim Outsourcing behält das Unternehmen bei Managed GRC Services die Hoheit und Steuerung der Aufgabe bei sich. Wir als Dienstleister nehmen in diesem Fall die Rolle des Beraters ein und zeigen Handlungsoptionen auf. Je nach Auftrag unterstützt unser Team die internen Kollegen dauerhaft bei der Härtung der IT-Infrastruktur, der Behebung von Schwachstellen oder hilft dabei, eine eigene Sicherheits-Abteilung neu aufzubauen. Letzteres setzten wir erfolgreich bei der Linde AG um, dem DAX-notierten und weltweit agierenden Technologiekonzern mit 58.000 Mitarbeitern. Das Linde-Team ließ sich ein Dreivierteljahr von uns ausbilden und konnte ein umfassendes Knowhow im Spezialbereich SAP Security & Compliance aufbauen. Auf dieser Basis ist es nun in der Lage, sofort zu reagieren, wenn ein kritischer Event auftritt. Klaus Brenk, Head of Monitoring, QA & Governance der Linde AG, zeigt sich nach Projektende zufrieden: „Die Erfahrung der AKQUINET Security-Experten war für uns eine unschätzbare Unterstützung beim Redesign unseres Risikomanagements. Insbesondere bei der Analyse und Bewertung unserer Security Events profitiert unser Team langfristig von der Zusammenarbeit.“

Achtung: Bei S/4HANA-Migration die SAP-Sicherheit direkt mitdenken!

Laut dem IT-Onlinemagazin machen sich mehr als ein Viertel (27 Prozent) der SAP-Kunden bei der S/4HANA-Migration keine Gedanken zu Sicherheitsaspekten. Das ist aus unserer Sicht mehr als fahrlässig, denn diese Umstellung sollte zwingend dafür genutzt werden, die Sicherheit der SAP-Systeme von Anfang an mit einzuplanen. Eine spätere Absicherung der Systeme führt nur zu höheren Kosten und größeren internen Aufwänden. Aber auch hier steckt der Teufel im Detail: S/4HANA-Systeme stellen eine technologisch neue Plattform dar, daher spielen weitere Aspekte eine Rolle, um die neuen S/4HANA-Systeme gut abzusichern.

Alles in allem besitzen SAP-Systeme einen zu hohen Stellenwert, um sich nur auf einen Standard-Schutz zu verlassen. Mit Managed Services können die IT-Entscheider im Unternehmen ihre SAP-Sicherheit effektiv und in kurzer Zeit auf ein passendes Level heben und so den steigenden Herausforderungen im IT-Umfeld, dem Fachkräftemangel und zunehmenden Sicherheitsrisiken begegnen.