Sicherheitsprioritäten setzen

Business-Kriterien zur SAP-Risikobewertung

| Autor / Redakteur: Juan Perez-Etchegoyen* / Stephan Augsten

Eine effektive SAP-Sicherheitspolitik muss jedes Risiko mit den betriebswirtschaftlichen Folgen erläutern.
Eine effektive SAP-Sicherheitspolitik muss jedes Risiko mit den betriebswirtschaftlichen Folgen erläutern. (Bild: Onapsis)

Die Bewertung von Risiken nach betriebswirtschaftlichen Kriterien stellt bei SAP-Implementierungen eine zentrale Aufgabe dar. Grundvoraussetzung für deren Erfüllung ist das Assessment von Sicherheitslücken sowie das Erkennen und die Abwehr von Gefahren.

Möglichkeiten für Fehlkonfigurationen gibt es viele. Die komplette Analyse einer gesamten SAP-Plattform über alle Systeme, also auch über Qualitätssicherungs- und Entwicklungssysteme hinweg, liefert nicht selten einen großen Katalog an Fehlkonfigurationen auf dem Transaktionslayer – der einem Betriebssystem ähnlichen Basis von SAP-Systemen, auf der Administratoren Zugriffsrechte und Datenverkehr steuern.

Die Menge an Schwachstellen ist angesichts von rund 1.500 Konfigurationsparametern pro Instanz, von denen etwa 15 Prozent sicherheitsrelevant sind, nicht verwunderlich. Jede Sicherheitslücke generiert aber unterschiedlich hohe betriebswirtschaftliche Risiken.

Risiken inventarisieren

Penetrationstests unserer Experten finden zum Beispiel in Produktionsunternehmen im Schnitt rund 480 verschiedene Lücken: Die Tests decken mehrere unsichere Konfigurationen auf, über die Angreifer die vollständige Kontrolle über einen SAP-Anwendungsserver im Fernzugriff erlangen könnten. Im Ernstfall lassen sich Dokumentationen von Herstellungsprozessen und Unterlagen zum Produktdesign stehlen oder Produktionsabläufe stoppen.

Ein nicht minder dramatisches Bild liefert die Pharmaindustrie: Analysen finden hier im Schnitt 130 Sicherheitslücken, darunter mehrere kritische Risiken, die dem Angreifer die komplette Kontrolle über einen SAP-Anwendungsserver im Fernzugriff ermöglichen. Im Ernstfall können Rezepturen für Arzneien eingesehen und kopiert werden.

Auch der Schutz von Informationen spielt eine bedeutende betriebswirtschaftliche Rolle, die mit den Anforderungen an den Datenschutz noch weiter steigen wird. Zur Insolvenz führten etwa die Angriffe auf USIS: USIS war einer der größten kommerziellen Anbieter von Hintergrundrecherchen für die US-Bundesregierung mit dem Ministerium für Heimatschutz (Department of Homeland Security, DHS) und dem Büro für Personalmanagement (Office of Personnel Management, OPM) als wichtigsten Auftraggebern.

Mutmaßlich chinesische Angreifer hatten sich Zugang zu geheimen, auf unsicher konfigurierten SAP-Systemen gespeicherten Informationen verschafft. Sechs Monate lang blieben die Aktivitäten unentdeckt. Öffentlichen Berichten zufolge wurden Datensätze von mindestens 27.000 Mitarbeitern des DHS und von verdeckten Ermittlern kompromittiert: darunter deren Namen und Adressen, Sozialversicherungsnummern, Ausbildungs- und Führungszeugnisse, Geburts- und Familiendaten sowie Informationen über Verwandte und Freunde.

Prioritäten setzen

Die SAP-Sicherheitspolitik in Unternehmen leidet oft unter einer fehlenden Entscheidungsgrundlage, die Fülle von ermittelten Risiken richtig zu gewichten. Das alleine oft schon deshalb, weil ein Assessment aller Sicherheitslücken nicht gegeben ist. Erfolgt es aber doch, ergeben sich dann oft Folgeprobleme.

Kein Unternehmen kommt angesichts des enormen Ressourcen-Mangels in der SAP-Sicherheit daran vorbei, bei der Organisation der Schutzmaßnahmen Prioritäten zu setzen. Und dafür braucht es Kriterien. Das entscheidende Kriterium ist dabei ein betriebswirtschaftliches: Welche Bedrohung beeinträchtigt am meisten und wie die Geschäftsprozesse eines Unternehmens?

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44025960 / SAP-Sicherheit)