SAP-Sicherheit

5 Tipps für effektive SAP-Sicherheit

| Redakteur: Peter Schmitz

Die Sicherheitsexperten von Onapsis sehen bei der SAP-Sicherheit großen Nachholbedarf für Unternehmen, denn SAP-Fachabteilungen, IT-Sicherheits-Teams, CISOs und CDOs stimmen sich oft nicht miteinander ab.
Die Sicherheitsexperten von Onapsis sehen bei der SAP-Sicherheit großen Nachholbedarf für Unternehmen, denn SAP-Fachabteilungen, IT-Sicherheits-Teams, CISOs und CDOs stimmen sich oft nicht miteinander ab. (Bild: Archiv)

Global-2000-Unternehmen stehen unter Druck: Ihre geschäftskritischen SAP-Implementierungen rücken zunehmend in den Fokus externer und interner Angreifer. Unternehmen stehen daher vor der Aufgabe, zum einen Technologien zur Sicherung von SAP-Systemen einzusetzen, zum anderen aber auch diese Werkzeuge in eine allgemeine Strategie zur Informationssicherheit einzubeziehen.

Eine Schlüsselkomponente für eine wirksame SAP-Sicherheitsstrategie ist nach Meinung der SAP-Sicherheitsexperten von Onapsis der Einsatz kontextsensitiver Lösungen zur präventiven Kontrolle und Überwachung von Schwachstellen sowie zum Erkennen und sofortigen Reagieren auf ungewöhnliche Ereignisse und Zugriffe.

Solche Lösungen ermöglichen auch den Aufbau eines über Zuständigkeits- und Abteilungsgrenzen hinweg agierenden SAP-Sicherheits-Prozesses, welcher in die allgemeine IT-Sicherheitspolitik eingebunden ist. Mit den folgenden fünf Schritten können Unternehmen eine schlagkräftige Strategie für ihre SAP-Sicherheit etablieren:

Tipp 1: SAP-Umgebung und -Topologie aufschlüsseln

Sicherheit beginnt mit der Analyse des gesamten Aufbaus der SAP-Infrastruktur. Das verschafft einen Überblick über die Art und Anzahl der einzelnen SAP-Systeme - auch der Systeme für Entwicklung und Qualitätsmanagement. Eine Topologie der SAP-Infrastruktur und aller Instanzen verbessert das Verständnis, welche Geschäftsprozesse ein System unterstützt und welche Informationen jedes einzelne System speichert und verarbeitet. Risiken lassen sich erst dann abschätzen, wenn man die im eigenen Unternehmen eingesetzten SAP-Systeme und ihre Interaktion vollständig kennt. Nur eine automatisierte Lösung zur Erfassung einer solchen Topologie bietet hinreichend schnelle Ergebnisse.

Tipp 2: Potenziellen Risiken erkennen und bewerten

Der nächste Schritt ist die Bewertung von Schwachstellen und Risiken, die aus Fehlkonfigurationen in der Infrastruktur resultieren. Dazu benötigen die Verantwortlichen Informationen, welche Auswirkungen eine Fehlkonfiguration im unter anderem für die Datenübertragung und für die Vergabe von Zugriffsrechten zuständigen Transaktionslayers auf unternehmenskritische Geschäftsprozesse und Informationen haben kann. Die Bewertung der Risiken erfolgt dabei abhängig von den Anforderungen einer Branche oder einer individuellen Sicherheitspolitik. Im nächsten Schritt lassen sich die notwendigen Abwehrmaßnahmen priorisieren.

Tipp 3: Beteiligte identifizieren

Für eine SAP-Infrastruktur sind meist mehrere Akteure zuständig. CIO und CFO fällen in der Regel Grundsatzentscheidungen über das Management der SAP-Infrastruktur inklusive IT-Sicherheitsinitiativen. Das Verwalten und Absichern der SAP-Umgebung übernehmen die IT- und SAP-Basis-Teams. Die Abteilung für Informationssicherheit ist hingegen selten involviert. Damit ein effizienter Sicherheitsprozess in Gang gesetzt werden kann, ist es aber wichtig, alle Beteiligten zu identifizieren, zu informieren und die jeweiligen Verantwortlichkeiten für die SAP-Sicherheit zu definieren.

Tipp 4: Übergreifenden Aktionsplan definieren

Ein gemeinsamer, auf diesen Vorarbeiten basierender Aktionsplan nutzt das vorhandene IT-Sicherheits-Framework und integriert die SAP-Sicherheit in bestehende Sicherheitsinitiativen. Dafür bietet sich ein flexibler Ansatz an, der präventive, aufdeckende und reaktive Maßnahmen vereint. Der Plan basiert dabei auf den Top 20 CIS Critical Security Controls von sans.org. Darüber hinaus sollten Unternehmen Dienste implementieren, die stets über aktuelle allgemeine als auch SAP-spezifische IT-Sicherheitsrisiken informieren. Ein wichtiger Bestandteil des Aktionsplans ist die Aktualisierung von SAP-Systemen durch die Patches des Herstellers. Das Korrelieren von Schwachstellen mit den eigenen Sicherheitsanforderungen hilft, die gefährlichsten Risiken für das eigene Geschäft zu erkennen und geeignete IT-Sicherheitsmaßnahmen zu initiieren.

Tipp 5: Fortschritt messen und kommunizieren

CISOs definieren im nächsten Schritt die gemeinsame Ziele der unternehmenseigenen SAP-Sicherheitspolitik und messen sowie kommunizieren die Fortschritte auf dem Weg dorthin. Aussagekräftige Berichte unterstützen die Teammitglieder dabei. Moderne Technologien können etwa Delta-Berichte jederzeit bereitstellen, welche die Veränderungen der Sicherheitskonfiguration dokumentieren.

Durch das Umsetzen dieser Schritte implementieren Unternehmen eine effiziente SAP-Sicherheit, um sich der sich verschärfenden Bedrohungssituation vorausschauend zu stellen. Aktuell sehen die Sicherheitsexperten von Onapsis allerdings einen großen Nachholbedarf bei Unternehmen, der schon bei der strittigen oder nicht vorhandenen Zuteilung der Verantwortlichkeiten anfängt: „SAP-Fachabteilungen, Informationssicherheitsteams sowie CISOs und CDOs gehen oft nicht miteinander abgestimmt vor. Fachabteilungen konzentrieren sich mehr auf die Produktivität der SAP-Systeme“, sagt Mariano Nunez, CEO und Mitbegründer von Onapsis.

„Der C-Level sieht bisweilen nicht, dass SAP-Sicherheit ein Bestandteil der übergreifenden IT-Sicherheitsstrategie sein muss. IT-Security-Administratoren fehlt oft der Überblick über die Geschäftsanwendungen und den Datenaustausch. Eine unklare Verteilung von Zuständigkeiten und geringer Informationsaustausch sind oft die Ursache für Mängel in der SAP-Sicherheit. Konsequente SAP-Sicherheitspolitik beginnt daher erst einmal mit der Schaffung einer Diskussionsgrundlage durch kontinuierliches Assessment und Bewertung von Risiken für alle Beteiligten. Doch diese Ergebnisse müssen auch in die allgemeine IT-Sicherheitspolitik eingebunden werden.“

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44092628 / SAP-Sicherheit)