:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ordnung ins Chaos der Berechtigungen und Rollen bringen Die drei Säulen der Sicherheit in SAP
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Benutzer- und Berechtigungsverwaltung sowie die Compliance stellen Unternehmen bei der Nutzung von SAP-Systemen immer wieder vor Herausforderungen. Dazu kommen neue Technologien wie S4/HANA oder die Weboberfläche FIORI, die die Verwaltung von Rollen und Rechten verkomplizieren. Externe Tools bieten hier einen Funktionsumfang, den SAP vermissen lässt, um Sicherheitslücken zu schließen und Compliance herzustellen.
Die Sicherheit von SAP-Anwendungen und -systemen beruht auf den Säulen Authorisierungskonzept (Rollen), Identitäts- und Zugriffsmanagement (Benutzer) sowie IT-Compliance. Vielen Unternehmen ist allerdings der Überblick verloren gegangen. Ihr Berechtigungskonzept ist historisch gewachsen, die Verwaltung und Pflege der Benutzerstammsätze ist aufwändig und Anpassungen oder Aktualisierungen werden nicht mehr vorgenommen. Als Folge gibt es keine oder keine sauber gebauten Geschäftsrollen und einzelne Benutzer haben umfangreiche Zugriffsrechte auf diverse Transaktionen.
"Große Sicherheitsrisiken liegen darin, wenn User über die Zeit immer mehr Rollen und Berechtigungen sammeln und immer mehr im System machen können, ohne, dass diese wieder entzogen werden", sagt Matthieu Kaufmann, Country Manager France & Benelux des Karlsruher SAP-Sicherheitsexperten Sivis. Probleme entstehen ebenfalls, wenn die Zahl der SAP-Anwender oder der SAP-Systeme stark wächst oder jene Person, die für die Rollen zuständig war, aus dem Unternehmen ausscheidet. Auch die Verwaltung der neuen Web-Oberfläche FIORI ist aus Berechtigungssicht komplex und für viele Unternehmen ein technischer Pain Point.
Im Bereich des Identitäts- und Zugriffsmanagements fehlt darüber hinaus oft ein definierter Prozess für die Bereitstellung der Rollen. Diesbezügliche Anfragen gehen auf unterschiedlichen Kanälen per E-Mail, Telefon oder Ticket ein und es ist nicht klar, wer Rollen und Zugriff überhaupt anfordern darf und wer für die Vergabe und Zulassung zuständig ist. In der Folge fängt das SAP-Basisteam diesen Aufgabenbereich ab. Auch hier verschärfen sich Probleme, wenn die Zahl der SAP-Anwender bzw. der SAP-Systeme wächst. Mit der Benutzerverwaltung der SAP-Cloudlösungen, die nicht mehr auf dem eigenen Server liegen, tun sich Unternehmen ebenfalls schwer.
Unternehmen wissen oft nicht, wie sie Betrugsmöglichkeiten einen Riegel vorschieben können. Gerade mit Blick auf die Compliance sind die Anforderungen aufgrund der Tätigkeitsbranche eines Unternehmens oder seines Landes nicht immer klar. So muss zum Beispiel die SoX- bzw. J-SoX-Compliance gegeben sein, wenn sich der Hauptsitz in den USA oder Japan befindet. Groß ist dann die Unruhe, wenn Auditoren im Haus sind und Probleme in der Software bekannt werden. Oft wird auch die Aufgabentrennung (Segregation of duties) nicht kontrolliert: Dialog- oder technische User haben dann über das SAP_ALL-Profil im Produktivsystem Zugriff auf alle Transaktionen, was ein absolutes NoGo darstellt.
Sicherheitslücken erleichtern Betrugsversuche und schaden dem Produktivsystem
All diese Probleme erleichtern Betrugsversuche. Zwar vertrauen Unternehmen in der Regel ihren Mitarbeitern, aber es genügt ein einziger mit schlechten Absichten, dem diese Systemlücken Tür und Tor öffnen, zum Beispiel um seine Kontoverbindung ins System einzupflegen und Geldströme umzuleiten, was nicht immer sofort auffällt. Ein Sivis Kunde aus der Möbelbranche in UK verlor auf diese Weise eine halbe Million Pfund. Die Folgen eines Betrugs kosten immer mehr Geld, als die Investition von Anfang an für sichere Systeme zu sorgen, Regeln auf- und sicherzustellen, dass Rechte beschränkt und kontrolliert werden.
Das Zuviel an Rechten kann außerdem zu Fehlern im Produktivsystem führen, wenn User falsche Aktionen einleiten, kritische Daten löschen oder Tabellen verändern, auf die sie keinen Zugriff hätten haben dürfen. Auch hier sind die Ausfall- und Reparaturkosten enorm.
Besonders betroffen sind Betriebe ohne eigene Software für das Berechtigungs- und Benutzermanagement und ohne entsprechende Prozesse: Denn während börsennotierte Unternehmen oder internationale Konzerne meist auf dem Stand der Technik sind und auch branchenspezifische Regelungen wie IKS umsetzen, spielen kleinere Familienunternehmen oder Mittelständler auf Zeit - vor allem, wenn sie in Branchen tätig sind, die keine besonderen Regelungen vorsehen. Sie scheuen die Ausgaben für Sicherheit und warten auf externen Druck wie den Besuch des Wirtschaftsprüfers, bevor sie etwas verändern.
SAP-Sicherheit mit Software herstellen
Die Voraussetzungen, um SAP sicher nutzen zu können, sind saubere Antrags- und Freigabeprozesse, die Konflikte erkennen, ihnen folgen und sie korrigieren können. SAP sieht das nicht vor, deswegen benötigen Unternehmen Tools: Sicherheit lässt sich schneller und einfacher mit Software statt manueller Arbeit herstellen. Die Lösungen von Sivis decken zum Beispiel alle drei Felder Befugniskonzept, Identitäts- und Zugriffsverwaltung sowie Compliance ab.
Von Vorteil ist immer ein hoher Automatisierungsgrad: Mit passenden Tools können Berechtigungskonzepte automatisch bereinigt, zu großzügige Rechte entzogen und bei Berechtigungskonflikten alarmiert werden. Auch Genehmigungsprozesse zur Rollenbereitstellung laufen automatisiert, werden dokumentiert und sind damit nachvollziehbar. Bei jeder Änderung werden Konsequenzen und Risiken im Hintergrund geprüft - der User entscheidet dann, ob diese akzeptiert, abgelehnt oder korrigiert werden.
Ein erster Schritt in Richtung sichere Systeme ist die zentrale Rollenpflege und -umgestaltung: Das SAP-Berechtigungskonzept wird entweder neu gebaut oder bereinigt und unnötige Rollen reduziert - unter Berücksichtigung der FIORI-Berechtigungen. Damit wird die Berechtigungsverwaltung optimiert und zentralisiert, der zeitliche Aufwand für das Management minimiert und das System insgesamt sicherer. Es ist wichtig, ein dokumentiertes Berechtigungskonzept zu besitzen, das nicht nur einmal gebaut wird und danach unkontrolliert wächst, sondern das sauber aktualisiert wird. Die Rollentrennung muss klar definiert sein und damit wer was tun darf. So wird Compliance hergestellt.
Eine saubere Identitäts- und Zugriffsverwaltung als nächster SAP-Sicherheits-Pfeiler erlaubt es Unternehmen, die User, ihre Zugriffsrechte und die Genehmigungsprozesse zu managen. Ein Tool verringert hier ebenfalls den administrativen Aufwand und gleichzeitig Sicherheitsrisiken - nicht nur in SAP, sondern idealerweise auch in anderen Programmen. SIVIS setzt dafür Connectoren ein - für Business Intelligence, SAP-Portalanwendung UME, Microsoft Active Directory, HR- und HCM-Systeme und natürlich HANA. Mit dem Cloud Connector kann darüber hinaus jedes System, das über einen Web Service erreichbar ist, angebunden werden.
Gute Tools gewährleisten die Sicherstellung der Compliance und eine lückenlose Dokumentation. Fachbereiche und IT sind damit auf interne und externe Audits vorbereitet. Idealerweise werden Risiken, Bedrohungen und Schwächen aufgedeckt, zum Beispiel indem Live-Zugriffe geprüft, technische Risiken bzw. kritische Vorgänge überwacht und das Berechtigungskonzept auf Schwächen und Verstöße untersucht werden.
Neben guter Software sind interne Prozesse und Verantwortlichkeiten wichtig, um eine regelmäßige Kontrolle zu gewährleisten. Unternehmen müssen diese Prozesse wie die Bestätigung bei Rollenbeantragung und -genehmigung definieren. Hier hat internes Changemanagement eine große Bedeutung. Ein externer Partner kann nur die Basis für sichere Systeme zum Zeitpunkt der Installation und Konfiguration legen. Unternehmen tragen dann die Verantwortung dafür, dass der in Zukunft erhalten wird.
Fazit
Die Gesamtsicherheit des SAP-Systems hängt von den Berechtigungen und den Zugriffsmöglichkeiten der Benutzer ab. Viele Unternehmen haben den Überblick verloren, riskieren fehlende Compliance und Betrugsversuche. Mit Softwaretools können Autorisierungskonzept und Identitäts- sowie Zugriffsmanagement zügig, sicher und automatisiert aufgeräumt werden. So entstehen Rechtskonformität und Revisionssicherheit.
Über die Autorin: Nadja Müller ist IT-Journalistin.
(ID:47800703)
:quality(80)/images.vogel.de/vogelonline/bdb/1941600/1941649/original.jpg "Access Governance bildet die Prozesse, Strukturen und Verantwortlichkeiten ab, um den Zugriff auf Unternehmensdaten und -anwendungen zu sichern. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1940900/1940949/original.jpg "Die Sicherheit in einer Windows-basierten Infrastruktur beginnt mit der Sicherung des Active Directory. (Weissblick - stock.adobe.com)")