Samstag, Juli 20, 2024

SAP in Cyber-Defense-Strategie

Eine ganzheitliche Cyber-Defense-Strategie muss auch die SAP-Welt integrieren, meinen Kai Grunwitz, Senior Vice President DACH, und Patrick Schraut, Director Consulting & GRC bei NTT Com Security.

SAP und IT-Sicherheit sind in der Regel zwei getrennte Welten. Unternehmen räumen zwar dem Thema IT-Sicherheit höchste Priorität ein, die SAP-Welt lassen sie dabei aber überraschenderweise oft unberücksichtigt. Heutigen Anforderungen wird dieses Vorgehen nicht mehr gerecht: Nur eine integrierte Cyber-Defense-Strategie, die die gesamte IT berücksichtigt, kann potenzielle Schwachstellen beseitigen und vor Bedrohungen zuverlässig schützen.

Die generell steigende Gefahr für die IT-Sicherheit hat dazu geführt, dass viele Unternehmen Sicherheitsprojekte initiieren, die SAP-Welt aber ausklammern. Das ist heute nicht mehr akzeptabel, zumal SAP-Daten in der Regel unternehmenskritisch sind. Doch was ist der Grund für die unzureichende Berücksichtigung des Themas SAP-Sicherheit? Dafür gibt es mehrere Ursachen. So steht das Thema SAP-Security oftmals nicht auf der IT-Agenda des CISO, da es als zu komplex und sehr speziell eingestuft wird. Das zeigen Erfahrungswerte von NTT Com Security aus zahlreichen Kundenprojekten in den Bereichen Informationssicherheit und Risikomanagement. Zudem sind SAP-Abteilungen in der Regel eigenständige Einheiten, die ihre Unabhängigkeit bewahren wollen und sich teilweise gegen eine Einflussnahme der restlichen IT verschließen. Hinzu kommt, dass es in den SAP-IT-Abteilungen oft an dem erforderlichen Security-Know-how in der Breite fehlt.

SAP hat in der jüngsten Vergangenheit etliche Sicherheitsprodukte auf den Markt gebracht, im Präventivbereich etwa SAP Single Sign-On für den sicheren Zugriff auf SAP und nicht-SAP Systeme oder SAP Identity Management für eine effiziente Benutzerverwaltung, SAP Access Control für eine regel- und gesetzeskonforme Berechtigungsvergabe oder den Code Vulnerability Analyzer für eine automatische und manuelle Quellcode-Prüfung. Zur Echtzeitidentifikation von Angriffen und Betrugsversuchen hat SAP die Lösungen SAP Enterprise Threat Detection und SAP Fraud Management entwickelt. Allein die Verfügbarkeit dieser Tools heißt aber nicht, dass sie flächendeckend genutzt werden: SAP Enterprise Threat Detection etwa, das für die sicherheitsrelevante Auswertung und Analyse von Sicherheitsevents über die SAP-Systemlandschaft sorgt und auch für die Anbindung an traditionelle SIEM-Systeme konzipiert wurde, ist bisher noch nicht bei vielen Unternehmen im Einsatz.

Doch selbst wenn auf Unternehmensseite vereinzelt SAP-Sicherheitstools genutzt werden, ein Problem bleibt dennoch bestehen: Nur eine vollständig integrierte Sicherheitslösung bietet zuverlässigen Schutz, mit einem Patchwork von Lösungen und Insellösungen bleiben die Systeme angreifbar. Doch ineffiziente Sicherheitssilos finden sich nach wie vor in vielen Unternehmen. Das hat auch eine aktuelle Studie von Dell ergeben, an der sich 175 deutsche Firmen beteiligten. Ein zentrales Ergebnis war hier, dass die IT-Sicherheit oft applikationsgebunden organisiert ist und in die Verantwortung unterschiedlicher Unternehmensabteilungen fällt. So verfügen auch nur 23 Prozent der befragten Unternehmen überhaupt über eine zentrale IT-Sicherheitsabteilung, die auch die verteilte Applikations- und damit SAP-Landschaft inkludiert.

Getrennte Welten und Sicherheitslücken dominieren
Dass oft zwei Welten dominieren, zeigt sich schon bei einem einfachen Thema wie der Benutzerverwaltung. Hier ist immer noch Status Quo in vielen Unternehmen, dass die SAP-Umgebung von der restlichen IT getrennt ist und Berechtigungskonzepte nicht unternehmensweit umgesetzt werden. In fast allen Unternehmen ist heute der Verzeichnisdienst Microsoft Active Directory (AD) ein zentrales Element der gesamten Infrastruktur. Das AD übernimmt dabei vielfältige Aufgaben, die über die reine Verwaltung von Benutzerkonten weit hinausreichen und zum Beispiel auch die Authentifizierung und Autorisierung von nicht Windows-basierten Systemen wie Linux-Servern oder von Applikationen umfassen. Doch ein Bereich bleibt überraschenderweise oft ausgeklammert: die SAP-Infrastruktur.

Integration ist aber nur die eine Seite der Medaille, ebenso wichtig ist die Beseitigung vorhandener Sicherheitslücken – und die sind in der SAP-Welt häufig anzutreffen. Sie betreffen etwa das Fehlen einer

  • Aktivierung der Verschlüsselung
  • Trennung der administrativen Berechtigungen
  • Segmentierung von Frontend und Backend
  • Patch-Management-Strategie.

Ein zentrales Problem ist zudem, dass gerade im SAP-Umfeld Zugriffsberechtigungskonzepte und Change-Management-Verfahren häufig nur anwenderbezogen umgesetzt werden – und nicht aus Security-Sicht.

Die Herausforderungen liegen also auf der Hand, und auch SAP selbst greift das Thema Security im Rahmen mehrerer Initiativen zunehmend auf. Der Security-Experte NTT Com Security investiert gemeinsam mit SAP in die Zusammenarbeit, um Kunden ganzheitliche Lösungskonzepte anbieten zu können. Während SAP in der SAP-IT zuhause ist, verfügt NTT Com Security sowohl über SAP-Know-how als auch über den Zugang zur übergreifenden IT-Abteilung, die die unternehmensweite IT-Security verantwortet. NTT Com Security kann somit quasi eine „Vermittlerrolle“ bei Fragen der Sicherheit unternehmenskritischer Daten einnehmen.

Cyber-Defense-Strategien müssen SAP-Welt integrieren
Zuverlässig kann die Cyber-Bedrohung für SAP-Anwendungen nur durch ihre Einbindung in die Gesamtsicherheitsstrategie eines Unternehmens gebannt werden. Das heißt, es ist von elementarer Bedeutung, dass auch die SAP-Welt im Rahmen von Sicherheitsprojekten und bei der Implementierung einer ganzheitlichen Cyber-Defense-Strategie Berücksichtigung findet.

Bei der Umsetzung einer solchen Strategie sollte eine sequenzielle Vorgehensweise gewählt werden. Ausgangspunkt ist die Analyse und Risikoprofilerstellung der IT-Landschaft einschließlich der SAP-Umgebung, die Tool-Einführung steht erst am Ende der Prozesskette. Bei der Risikobewertung (Risk Insight) geht es um die Klassifizierung aller schützenswerten Prozesse und Daten – natürlich auch innerhalb der SAP-Welt. Hierauf müssen dann alle weiteren Maßnahmen im Rahmen einer durchgängigen Cyber-Defense-Strategie aufbauen. Kernelemente sind hierbei die vier zentralen Eckpfeiler Prävention, Erkennung, Abwehr und Reaktion.

Im Bereich Prävention geht es zum einen um das Infrastruktur- und Netzwerk-Management auf Unternehmensseite, mit klassischen Sicherungsmaßnahmen wie einem Perimeter-Schutz mit E-Mail-Gateways inklusive Spam- und Malware-Filter, Next-Generation-Firewalls, VPN-Systemen oder dynamischen Sandboxing-Lösungen. Zum anderen müssen hier aber auch die unternehmenskritischen (SAP-) Business-Applikationen und Daten selbst verstärkt ins Blickfeld rücken und entsprechend gesichert werden.

Nächster Schritt ist die Erkennung, das heißt eine umfassende Sicherheitsanalyse mit der Auswertung von Echtzeitdaten und einem proaktiven Monitoring. Eine effiziente Überwachung erstreckt sich dabei nicht nur auf Systemlogs und -warnungen, sondern beinhaltet zum Beispiel auch Verhaltensanalysen der IT-Umgebung eines Unternehmens, mit der ungewöhnliche Prozesse aufgedeckt werden können.

Unverzichtbarer Bestandteil einer umfassenden Sicherheitslösung ist die Möglichkeit, Bedrohungen früh zu erkennen, das heißt die Nutzung von Früherkennungssystemen. Es liegt auf der Hand, dass ein Unternehmen einen umfassenden Schutz vor Cyber-Angriffen kaum völlig autark realisieren kann, da zum einen die Bedrohungslage zu heterogen und vor allem auch zu dynamisch und zum anderen der Kostenaufwand zu hoch ist. An diesem Punkt kommen SOC (Security Operations Center) von Managed-Security-Services-(MSS)-Anbietern als proaktive Abwehrzentren für Unternehmen ins Spiel.

Nicht zuletzt sollte ein Unternehmen auch auf den Ernstfall, einen so genannten Incident, vorbereitet sein, denn eine 100-prozentige Absicherung dürfte eine Utopie bleiben. Das heißt, es muss ein Incident-Response-Verfahren etabliert sein, das im Gefahrenfall abgerufen werden kann und mit dem ein ungewollter Datenabfluss unterbunden wird.

Eines sollte klar sein: Hacker unterscheiden nicht zwischen SAP-Anwendungen und der allgemeinen IT. Wichtig bei der Umsetzung einer Cyber-Defense-Strategie ist somit der ganzheitliche Ansatz, der die Überwachung und Absicherung der SAP-Infrastruktur als wichtigen Erfolgsfaktor integriert. Nur mit einem solch umfassenden Konzept kann ein SAP-Anwender heute eine maximale IT- und Informationssicherheit realisieren.

Details

Meistgelesene BLOGS

Firmen | News
25. März 2024
Copilot für Microsoft 365: Die Zukunft der Arbeit durch nahtlose KI-Integration
Die Arbeitswelt befindet sich im Wandel und Künstliche Intelligenz (KI) spielt dabei eine entscheidende Rolle. Unternehmen weltweit erkennen zunehmend die Bedeutung von KI für ihre Produktivität und W...
Read More
Andreas Pfeiler
27. März 2024
Die Wohnbaukrise hat den Stammtisch erreicht!
Die Bundesregierung hat ein lang überfälliges Wohnbauprogramm gestartet. Ausschlaggebend dafür war ein Vorschlag der Sozialpartner, der medial aber zu Unrecht auf einen Punkt reduziert und ebenso inte...
Read More
Redaktion
09. April 2024
Nachhaltigkeit ist (auch) Sache der Bauweise
Die Baubranche befindet sich gerade in einem riesigen Transformationsprozess. Dabei gilt es nicht nur, das Bauen CO2-ärmer und insgesamt nachhaltiger zu gestalten, sondern auch Wege zu finden, wie man...
Read More
Firmen | News
27. Mai 2024
Wie Online-Vergleichsportale den Bankensektor in Österreich verändern
Die Zeiten, in denen man eine Bankfiliale besuchen musste, um sich über finanzielle Produkte zu informieren, sind längst vorbei. Heute, in einer Ära, in der praktisch jede Information nur einen Klick ...
Read More
Fujitsu
05. April 2024
Wo sind unsere Daten zuhause? Die dezentrale Zukunft der IT-Infrastruktur
Die IT-Landschaft hat sich in den letzten Jahren stark verändert. Früher dominierten zentralisierte Rechenzentren, ein neuer Trend favorisiert nun aber eine verteilte IT-Infrastruktur. Diese erstreckt...
Read More
Bernd Affenzeller
02. Juni 2024
Weils wichtig ist...
Am 9. Juni findet in Österreich die Wahl zum Europäischen Parlament statt. Überschattet wird der Wahlkampf derzeit von Vorwürfen gegen die grüne Kandidatin Lena Schilling. Trotz der heftigen Turbulenz...
Read More
Marlene Buchinger
21. April 2024
Lean Goes Green: KVP trifft ESG
Derzeit gibt es Unmengen an Schulungsangeboten und ESG-Tools schießen wie Pilze aus dem Boden. Anstelle das Rad neu zu erfinden, lohnt es sich bestehende Strukturen zu neu zu denken. Herzlich Willkomm...
Read More
Alfons A. Flatscher
02. Juni 2024
Präsident KI
Elon Musk, Tesla-Gründer und Twitter-Eigner, ist immer gut für Sager. Jetzt wurde er gefragt, wer denn im November die Präsidentenwahlen gewinnen werde: Biden oder Trump? Er habe keine Ahnung, antwort...
Read More

MEDIADATEN

REPORT (+) 2024 
Bau & Immobilien REPORT 2024 
 REPORT Online
  Datenschutzerklärung   Allgemeine Geschäftsbedingungen

Log in or Sign up

Social Icon Social Icon Social Icon Social Icon Social Icon
Suche

Selected Filters

Open Filters
Geek ElasticSearch powered by JoomlaGeek.com