SAP Security Audits auf dem Prüfstand

10 goldene Regeln für mehr IT Sicherheit

| Autor / Redakteur: Sandro Welsch* / Stephan Augsten

Sensible Systeme sollten kontinuierlichen Security-Audits unterzogen werden.
Sensible Systeme sollten kontinuierlichen Security-Audits unterzogen werden. (Bild: Archiv)

SAP-Systeme zählen zu den besonders kritischen IT-Umgebungen. Sie enthalten viele sensible Informationen und bilden ganze Geschäftsprozesse ab. Will man die Sicherheit von SAP auf die Probe stellen, sollte man deshalb einige Dinge beherzigen. Dieser Beitrag nennt zehn wichtige Punkte für entsprechende Auditierungen.

Der amerikanische Security-Spezialist Bruce Schneier ist der Meinung, dass sich Nutzer von Online-Diensten, Software und Hardware teilweise auf die Technik verlassen müssen. In seinem Blog spricht er von „feudaler Sicherheit“: Die Technologie beherrscht den Nutzer, weil diesem die Mittel fehlen, jene zu beeinflussen.

Gründe dafür sind neben Komplexität und damit einhergehender Intransparenz vor allem Kostendruck, aber auch fehlendes Risikobewusstsein, das sich von schlichter Bequemlichkeit bis hin zur Fahrlässigkeit ausdrückt. Übrig bleibt ein kaum greifbares, in seiner Gänze schwer zu überschauendes Bedrohungsszenario.

Will man die eigene Sicherheit auf den Prüfstand stellen, reicht eine rein technische Analyse nicht aus. Organisatorische Zuordnungen, Betriebsprozesse und handelnde Personen spielen eine ebenso wichtige Rolle; auch die beste Monitoring-Lösung benötigt einen Verantwortlichen. Was häufig nicht bedacht wird: Vielleicht kommt der Angreifer gar nicht von außen, sondern aus den eigenen Reihen? Welche Sicherheitsvorkehrungen ergeben sich wiederum daraus?

Wer das Thema Sicherheit vollumfänglich angehen will, muss also neben der IT-Systemlandschaft auch das Unternehmen an sich unter die Lupe nehmen. Security-Auditierungen sollten entsprechend ausgelegt sein.

SAP Security Audits

Das Angebot an unterschiedlichsten Security Audits am Markt ist groß. Unternehmen sollten im Vorfeld deren Erwartungen an ein Sicherheits-Audit klar definieren. So können die verschiedenen Angebote dahingehend geprüft und das für die Unternehmenssituation passende Audit ausgewählt werden.

Was müssen Unternehmen tun, um ihre IT-Landschaften aus Security-Sicht realistisch einschätzen zu können? Ein umfassendes und somit belastbares Audit sollte die folgenden 10 goldenen Regeln beherzigen:

1. Herstellerunabhängige Testing-Tools einsetzen

Die erste Regel lautet: Niemals die Testwerkzeuge der Hersteller-Software nutzen. Welches Interesse sollte ein Hersteller haben, seine eigenen Schwachstellen aufzudecken?

2. Standards um firmenspezifische Konzepte ergänzen

Vorhandene Standards (z.B. der Prüfleitfaden von DSAG und BSI) sind um kundenindividuelle Prüfungen zu ergänzen. Standards geben immer nur den gemeinsamen Nenner aus den Erfahrungen verschiedener Systemverantwortlicher wieder. Sie sind nie als vollständig zu betrachten. Die Standards können als Checkliste für die Basisuntersuchung genutzt werden.

Ein Beispiel ist die Empfehlung der DSAG, bestimmte Parameter zur Sicherstellung einer Passwortrichtlinie zu setzen. Doch welche Auswirkungen hat diese Richtlinienänderung in der Realität? Erst ein firmenspezifisches Konzept und die entsprechende Umsetzungserfahrung können verhindern, dass nach der Umstellung ein böses Erwachen in Form von Passwortproblemen für alle User erfolgt.

3. „Systemkonsistenz“ wahren

Es müssen Tool-Deployments auf dem Produktivsystem vermieden werden! Das eingesetzte Werkzeug muss von außen prüfen. Jeder Transport in das System von ungeprüfter Stelle ist eine potentielle Gefahr.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43144670 / Datenbanken)