Suchen

SAP Security Audits auf dem Prüfstand 10 goldene Regeln für mehr IT Sicherheit

| Autor / Redakteur: Sandro Welsch* / Stephan Augsten

SAP-Systeme zählen zu den besonders kritischen IT-Umgebungen. Sie enthalten viele sensible Informationen und bilden ganze Geschäftsprozesse ab. Will man die Sicherheit von SAP auf die Probe stellen, sollte man deshalb einige Dinge beherzigen. Dieser Beitrag nennt zehn wichtige Punkte für entsprechende Auditierungen.

Firma zum Thema

Sensible Systeme sollten kontinuierlichen Security-Audits unterzogen werden.
Sensible Systeme sollten kontinuierlichen Security-Audits unterzogen werden.
(Bild: Archiv)

Der amerikanische Security-Spezialist Bruce Schneier ist der Meinung, dass sich Nutzer von Online-Diensten, Software und Hardware teilweise auf die Technik verlassen müssen. In seinem Blog spricht er von „feudaler Sicherheit“: Die Technologie beherrscht den Nutzer, weil diesem die Mittel fehlen, jene zu beeinflussen.

Gründe dafür sind neben Komplexität und damit einhergehender Intransparenz vor allem Kostendruck, aber auch fehlendes Risikobewusstsein, das sich von schlichter Bequemlichkeit bis hin zur Fahrlässigkeit ausdrückt. Übrig bleibt ein kaum greifbares, in seiner Gänze schwer zu überschauendes Bedrohungsszenario.

Will man die eigene Sicherheit auf den Prüfstand stellen, reicht eine rein technische Analyse nicht aus. Organisatorische Zuordnungen, Betriebsprozesse und handelnde Personen spielen eine ebenso wichtige Rolle; auch die beste Monitoring-Lösung benötigt einen Verantwortlichen. Was häufig nicht bedacht wird: Vielleicht kommt der Angreifer gar nicht von außen, sondern aus den eigenen Reihen? Welche Sicherheitsvorkehrungen ergeben sich wiederum daraus?

Wer das Thema Sicherheit vollumfänglich angehen will, muss also neben der IT-Systemlandschaft auch das Unternehmen an sich unter die Lupe nehmen. Security-Auditierungen sollten entsprechend ausgelegt sein.

SAP Security Audits

Das Angebot an unterschiedlichsten Security Audits am Markt ist groß. Unternehmen sollten im Vorfeld deren Erwartungen an ein Sicherheits-Audit klar definieren. So können die verschiedenen Angebote dahingehend geprüft und das für die Unternehmenssituation passende Audit ausgewählt werden.

Was müssen Unternehmen tun, um ihre IT-Landschaften aus Security-Sicht realistisch einschätzen zu können? Ein umfassendes und somit belastbares Audit sollte die folgenden 10 goldenen Regeln beherzigen:

1. Herstellerunabhängige Testing-Tools einsetzen

Die erste Regel lautet: Niemals die Testwerkzeuge der Hersteller-Software nutzen. Welches Interesse sollte ein Hersteller haben, seine eigenen Schwachstellen aufzudecken?

2. Standards um firmenspezifische Konzepte ergänzen

Vorhandene Standards (z.B. der Prüfleitfaden von DSAG und BSI) sind um kundenindividuelle Prüfungen zu ergänzen. Standards geben immer nur den gemeinsamen Nenner aus den Erfahrungen verschiedener Systemverantwortlicher wieder. Sie sind nie als vollständig zu betrachten. Die Standards können als Checkliste für die Basisuntersuchung genutzt werden.

Ein Beispiel ist die Empfehlung der DSAG, bestimmte Parameter zur Sicherstellung einer Passwortrichtlinie zu setzen. Doch welche Auswirkungen hat diese Richtlinienänderung in der Realität? Erst ein firmenspezifisches Konzept und die entsprechende Umsetzungserfahrung können verhindern, dass nach der Umstellung ein böses Erwachen in Form von Passwortproblemen für alle User erfolgt.

3. „Systemkonsistenz“ wahren

Es müssen Tool-Deployments auf dem Produktivsystem vermieden werden! Das eingesetzte Werkzeug muss von außen prüfen. Jeder Transport in das System von ungeprüfter Stelle ist eine potentielle Gefahr.

(ID:43144670)