:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ordnung ins Chaos der Berechtigungen und Rollen bringen Die drei Säulen der Sicherheit in SAP
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Benutzer- und Berechtigungsverwaltung sowie die Compliance stellen Unternehmen bei der Nutzung von SAP-Systemen immer wieder vor Herausforderungen. Dazu kommen neue Technologien wie S4/HANA oder die Weboberfläche FIORI, die die Verwaltung von Rollen und Rechten verkomplizieren. Externe Tools bieten hier einen Funktionsumfang, den SAP vermissen lässt, um Sicherheitslücken zu schließen und Compliance herzustellen.
Die Sicherheit von SAP-Anwendungen und -systemen beruht auf den Säulen Authorisierungskonzept (Rollen), Identitäts- und Zugriffsmanagement (Benutzer) sowie IT-Compliance. Vielen Unternehmen ist allerdings der Überblick verloren gegangen. Ihr Berechtigungskonzept ist historisch gewachsen, die Verwaltung und Pflege der Benutzerstammsätze ist aufwändig und Anpassungen oder Aktualisierungen werden nicht mehr vorgenommen. Als Folge gibt es keine oder keine sauber gebauten Geschäftsrollen und einzelne Benutzer haben umfangreiche Zugriffsrechte auf diverse Transaktionen.
"Große Sicherheitsrisiken liegen darin, wenn User über die Zeit immer mehr Rollen und Berechtigungen sammeln und immer mehr im System machen können, ohne, dass diese wieder entzogen werden", sagt Matthieu Kaufmann, Country Manager France & Benelux des Karlsruher SAP-Sicherheitsexperten Sivis. Probleme entstehen ebenfalls, wenn die Zahl der SAP-Anwender oder der SAP-Systeme stark wächst oder jene Person, die für die Rollen zuständig war, aus dem Unternehmen ausscheidet. Auch die Verwaltung der neuen Web-Oberfläche FIORI ist aus Berechtigungssicht komplex und für viele Unternehmen ein technischer Pain Point.
Im Bereich des Identitäts- und Zugriffsmanagements fehlt darüber hinaus oft ein definierter Prozess für die Bereitstellung der Rollen. Diesbezügliche Anfragen gehen auf unterschiedlichen Kanälen per E-Mail, Telefon oder Ticket ein und es ist nicht klar, wer Rollen und Zugriff überhaupt anfordern darf und wer für die Vergabe und Zulassung zuständig ist. In der Folge fängt das SAP-Basisteam diesen Aufgabenbereich ab. Auch hier verschärfen sich Probleme, wenn die Zahl der SAP-Anwender bzw. der SAP-Systeme wächst. Mit der Benutzerverwaltung der SAP-Cloudlösungen, die nicht mehr auf dem eigenen Server liegen, tun sich Unternehmen ebenfalls schwer.
Unternehmen wissen oft nicht, wie sie Betrugsmöglichkeiten einen Riegel vorschieben können. Gerade mit Blick auf die Compliance sind die Anforderungen aufgrund der Tätigkeitsbranche eines Unternehmens oder seines Landes nicht immer klar. So muss zum Beispiel die SoX- bzw. J-SoX-Compliance gegeben sein, wenn sich der Hauptsitz in den USA oder Japan befindet. Groß ist dann die Unruhe, wenn Auditoren im Haus sind und Probleme in der Software bekannt werden. Oft wird auch die Aufgabentrennung (Segregation of duties) nicht kontrolliert: Dialog- oder technische User haben dann über das SAP_ALL-Profil im Produktivsystem Zugriff auf alle Transaktionen, was ein absolutes NoGo darstellt.
Sicherheitslücken erleichtern Betrugsversuche und schaden dem Produktivsystem
All diese Probleme erleichtern Betrugsversuche. Zwar vertrauen Unternehmen in der Regel ihren Mitarbeitern, aber es genügt ein einziger mit schlechten Absichten, dem diese Systemlücken Tür und Tor öffnen, zum Beispiel um seine Kontoverbindung ins System einzupflegen und Geldströme umzuleiten, was nicht immer sofort auffällt. Ein Sivis Kunde aus der Möbelbranche in UK verlor auf diese Weise eine halbe Million Pfund. Die Folgen eines Betrugs kosten immer mehr Geld, als die Investition von Anfang an für sichere Systeme zu sorgen, Regeln auf- und sicherzustellen, dass Rechte beschränkt und kontrolliert werden.
Das Zuviel an Rechten kann außerdem zu Fehlern im Produktivsystem führen, wenn User falsche Aktionen einleiten, kritische Daten löschen oder Tabellen verändern, auf die sie keinen Zugriff hätten haben dürfen. Auch hier sind die Ausfall- und Reparaturkosten enorm.
Besonders betroffen sind Betriebe ohne eigene Software für das Berechtigungs- und Benutzermanagement und ohne entsprechende Prozesse: Denn während börsennotierte Unternehmen oder internationale Konzerne meist auf dem Stand der Technik sind und auch branchenspezifische Regelungen wie IKS umsetzen, spielen kleinere Familienunternehmen oder Mittelständler auf Zeit - vor allem, wenn sie in Branchen tätig sind, die keine besonderen Regelungen vorsehen. Sie scheuen die Ausgaben für Sicherheit und warten auf externen Druck wie den Besuch des Wirtschaftsprüfers, bevor sie etwas verändern.
SAP-Sicherheit mit Software herstellen
Die Voraussetzungen, um SAP sicher nutzen zu können, sind saubere Antrags- und Freigabeprozesse, die Konflikte erkennen, ihnen folgen und sie korrigieren können. SAP sieht das nicht vor, deswegen benötigen Unternehmen Tools: Sicherheit lässt sich schneller und einfacher mit Software statt manueller Arbeit herstellen. Die Lösungen von Sivis decken zum Beispiel alle drei Felder Befugniskonzept, Identitäts- und Zugriffsverwaltung sowie Compliance ab.
Von Vorteil ist immer ein hoher Automatisierungsgrad: Mit passenden Tools können Berechtigungskonzepte automatisch bereinigt, zu großzügige Rechte entzogen und bei Berechtigungskonflikten alarmiert werden. Auch Genehmigungsprozesse zur Rollenbereitstellung laufen automatisiert, werden dokumentiert und sind damit nachvollziehbar. Bei jeder Änderung werden Konsequenzen und Risiken im Hintergrund geprüft - der User entscheidet dann, ob diese akzeptiert, abgelehnt oder korrigiert werden.
Ein erster Schritt in Richtung sichere Systeme ist die zentrale Rollenpflege und -umgestaltung: Das SAP-Berechtigungskonzept wird entweder neu gebaut oder bereinigt und unnötige Rollen reduziert - unter Berücksichtigung der FIORI-Berechtigungen. Damit wird die Berechtigungsverwaltung optimiert und zentralisiert, der zeitliche Aufwand für das Management minimiert und das System insgesamt sicherer. Es ist wichtig, ein dokumentiertes Berechtigungskonzept zu besitzen, das nicht nur einmal gebaut wird und danach unkontrolliert wächst, sondern das sauber aktualisiert wird. Die Rollentrennung muss klar definiert sein und damit wer was tun darf. So wird Compliance hergestellt.
Eine saubere Identitäts- und Zugriffsverwaltung als nächster SAP-Sicherheits-Pfeiler erlaubt es Unternehmen, die User, ihre Zugriffsrechte und die Genehmigungsprozesse zu managen. Ein Tool verringert hier ebenfalls den administrativen Aufwand und gleichzeitig Sicherheitsrisiken - nicht nur in SAP, sondern idealerweise auch in anderen Programmen. SIVIS setzt dafür Connectoren ein - für Business Intelligence, SAP-Portalanwendung UME, Microsoft Active Directory, HR- und HCM-Systeme und natürlich HANA. Mit dem Cloud Connector kann darüber hinaus jedes System, das über einen Web Service erreichbar ist, angebunden werden.
Gute Tools gewährleisten die Sicherstellung der Compliance und eine lückenlose Dokumentation. Fachbereiche und IT sind damit auf interne und externe Audits vorbereitet. Idealerweise werden Risiken, Bedrohungen und Schwächen aufgedeckt, zum Beispiel indem Live-Zugriffe geprüft, technische Risiken bzw. kritische Vorgänge überwacht und das Berechtigungskonzept auf Schwächen und Verstöße untersucht werden.
Neben guter Software sind interne Prozesse und Verantwortlichkeiten wichtig, um eine regelmäßige Kontrolle zu gewährleisten. Unternehmen müssen diese Prozesse wie die Bestätigung bei Rollenbeantragung und -genehmigung definieren. Hier hat internes Changemanagement eine große Bedeutung. Ein externer Partner kann nur die Basis für sichere Systeme zum Zeitpunkt der Installation und Konfiguration legen. Unternehmen tragen dann die Verantwortung dafür, dass der in Zukunft erhalten wird.
Fazit
Die Gesamtsicherheit des SAP-Systems hängt von den Berechtigungen und den Zugriffsmöglichkeiten der Benutzer ab. Viele Unternehmen haben den Überblick verloren, riskieren fehlende Compliance und Betrugsversuche. Mit Softwaretools können Autorisierungskonzept und Identitäts- sowie Zugriffsmanagement zügig, sicher und automatisiert aufgeräumt werden. So entstehen Rechtskonformität und Revisionssicherheit.
Über die Autorin: Nadja Müller ist IT-Journalistin.
(ID:47800703)
:quality(80)/images.vogel.de/vogelonline/bdb/1941600/1941649/original.jpg "Access Governance bildet die Prozesse, Strukturen und Verantwortlichkeiten ab, um den Zugriff auf Unternehmensdaten und -anwendungen zu sichern. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1940900/1940949/original.jpg "Die Sicherheit in einer Windows-basierten Infrastruktur beginnt mit der Sicherung des Active Directory. (Weissblick - stock.adobe.com)")