Sicherheit von SAP-Systemen ist nicht nur „Einstellungssache“

Gezielte Spionage-Attacken auf SAP verhindern

Seite: 5/5

Firma zum Thema

Ein „Configuration Drift“ ist nicht zu vermeiden

Erschwerend kommt hinzu, dass Einstellungen laufend geändert werden. Als Folge kann sich ein „Configuration Drift“ einstellen. Als solchen bezeichnet man einen unbeabsichtigten Sicherheitszustand in datenverarbeitenden Umgebungen, der unweigerlich durch eine Vielzahl von Änderungen in der bestehenden IT-Infrastruktur aus Hard- und Software im Laufe der Zeit hervorgerufen wird.

So stellt auch der IT Policy Compliance Blog die Behauptung auf, dass die von der IT-Abteilung getesteten Konfigurationseinstellungen und Berechtigungen in weniger als einer Woche bereits unbrauchbar sind:

Bildergalerie

„In less than a week, all the configuration controls, permissions and entitlements that IT spends time testing are useless. The sheer fact is that these are quickly changed by normal use, whether the changes are collateral from other changes being made, accidental or intentional“, heißt es dort.

Sicherheit durch konsequente Überwachung der Sicherheitsparamete

Patrick Boch von Virtual Forge stellt deshalb fest, dass es „ohne anständige Dokumentation“ nicht geht. Das Problem ist nur, dass sich eine verhältnismäßig komplexe SAP-System- und Anwendungslandschaft in Bezug auf alle relevanten Sicherheitseinstellungen nicht so einfach überblicken lässt.

Aufgaben und Verantwortung für einzelne Systeme und Anwendungen sind oft auf mehrere Personen verteilt. „Da weiß die rechte Hand häufig nicht was die linke tut.“ Eine gute Möglichkeit, dieses Problem in den Griff zu bekommen, stellen automatisierte Sicherheitslösungen dar.

Sie helfen SAP-Kunden nicht nur dabei, Konfigurationseinstellungen lückenlos und nachvollziehbar zu dokumentieren und zu überwachen, sondern können bei Bedarf auch selbständig Einstellungen vermeiden oder rückgängig machen, die gegen eine spezifische Security Policy verstoßen.

Interessant ist auch ein neuer Ansatz, den einige Anbieter von SAP-Sicherheitslösungen verfolgen: Nämlich ihr Know-how aus den Penetration Tests vermehrt in ihre Produkte einfließen zu lassen und den SAP-Kunden somit auch gleich einen umfangreichen Katalog an empfohlenen Sicherheitsmaßnahmen und -einstellungen an die Hand zu geben.

(ID:42658220)