:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Der Weg zur passenden SAP-Sicherheitsanwendung Grundzüge der SAP-Security
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
SAP-Security- oder SAP-Cybersecurity-Lösungen sind hochspezialisierte Softwareprodukte, die Cyber-Bedrohungen, sicherheitskritische Aktivitäten, Anwendungskonfiguration und vieles mehr überwachen. Der Markt für Anwendungssicherheit ist unübersichtlich. Worauf es speziell beim Thema SAP-Security ankommt, beschreibt dieser Beitrag.
Anwendungssicherheit ist ein komplexes Thema, speziell bei geschäftskritischen Anwendungen wie denen von SAP dürfen wichtige Aspekte wie die Verwaltung von Sicherheitsupdates sowie -Hinweisen und die Überwachung des Schnittstellenverkehrs nicht übersehen werden. Die Grenze zu SAP Governance, Risk and Compliance (GRC) ist dabei fließend, in der Regel kommen beide miteinander verbunden zum Einsatz.
Abgrenzung zwischen Cybersecurity und SAP GRC
SAP GRC besteht aus mehreren Modulen (Zugriffskontrolle, Prozesskontrolle und Betrugserkennung, Risikomanagement u.a.); Unternehmen können damit Regulierungen, Compliance und Risiken in Geschäftsprozessen überwachen und verwalten. Der Bedarf an Cybersicherheit lässt sich damit allerdings nicht decken, dies hat inzwischen auch SAP selbst erkannt. Dazu gehören vielmehr zusätzlich: Echtzeit-Bedrohungserkennung mit Anomalie-Erkennung, sichere Konfiguration, rechtzeitiges Einspielen von Sicherheitsupdates sowie Schutz vor Datendiebstahl. SAP hat den Themenbereich daher inzwischen erweitert: Laut GRC-Webseite gehören dazu nun folgende Bausteine:
- Unternehmensrisiko und Compliance
- Internationales Handelsmanagement
- Identitäts- und Zugriffsmanagement sowie
- Cybersecurity, Datenschutz und Privatsphäre
Dies erscheint logisch, denn die Cyber-Bedrohungen entwickeln sich weiter, werden intensiver und erreichen immer erfolgreicher kritische Anwendungen wie SAP S/4HANA und dessen sensible Daten - selbst bei scheinbar sicherheitsbewussten Unternehmen. Unternehmen sollten also ihre bestehenden GRC-Prozesse um das Thema Cybersicherheit erweitern, um sich effektiv gegen die veränderte Bedrohungslage schützen zu können. Das um Cybersecurity erweiterte GRC-Portfolio von SAP ist ein Schritt in die richtige Richtung, dennoch empfiehlt sich parallel der Einsatz einer spezialisierten SAP-Sicherheitslösung.
Ganzheitliche Plattform oder Einzellösung?
SAP Cybersecurity-Produkte gibt es entweder als fokussierte Einzellösungen oder als Security-Plattform. Erstere decken in der Regel separate Themenbereiche ab, während Plattformen einen ganzheitlichen Ansatz verfolgen. Aus den Hochglanzbroschüren der Anbieter ist diese Unterscheidung oft nicht sofort ablesbar. Eine Plattform zeichnet sich durch eine zentrale Basiskonfiguration aus, auf der die SAP-Sicherheitsanwendungen aufbauen. Dadurch reduziert sich der Wartungsaufwand (TCO) der SAP-Cybersecurity im Vergleich zu mehreren Einzellösungen signifikant, denn im Vergleich zu diesen wird eine echte Software-Plattform zentral aktualisiert und verwaltet. Sie erhält und verteilt die wichtigen Sicherheitssignaturen und ihre einzelnen Security-Anwendungen tauschen wichtige Informationen untereinander aus. Insbesondere erweitert sich durch den integralen Ansatz die Sicht der Anwender:innen systematisch. Sie können jederzeit auf entscheidende Informationen zugreifen, um einen Sicherheitsvorfall zu bewerten.
Unterschiede in der Architektur
Unter SAP-Sicherheitsanwendungen gibt es nicht nur solche mit unterschiedlichem Funktionsumfang und unterschiedlicher Tiefe, sondern auch verschiedene Architekturansätze. Beim integrierten Ansatz erweitert die gewählte Softwarelösung den Technologie-Stack der SAP-Anwendung um die erforderlichen Sicherheitsfunktionalitäten. Vorteil: Hier sind in der Regel keine Aufwände für zusätzliche Hardware (oder virtuelle Appliances) erforderlich. Diese werden oft bei der Berechnung der Gesamtkosten neben den Lizenzkosten vergessen und führen so im Nachhinein zu unangenehmen Überraschungen.
Das andere Modell wäre eine externe Lösung, die per Schnittstelle auf die SAP-Anwendung zugreift und versucht, die für Sicherheitsanalysen notwendigen Daten auszulesen. Der Ansatz wirbt mit einem geringeren Fußabdruck in der Anwendung – welcher bei genauer Betrachtung aber oft gar nicht so klein ist. Externe Sicherheitsanwendungen kommen vorwiegend für geschlossene Systeme zum Einsatz, in denen Kunden keine Zusatzlösungen installieren können. Dies gilt jedoch nicht für SAP, denn wie bei Betriebssystemen kann man hier Erweiterungen (Add-ons) verwenden.
Zusätzliche Softwarekomponenten und insbesondere externe Appliances führen oft neue Angriffsvektoren ein, die wiederum analysiert werden müssen. Kann ein Angreifer eine Schwachstelle in einer Sicherheitslösung ausnutzen, wird sie zu einem Problem für die Applikationssicherheit von SAP. Wenn man also schon eine externe Lösung verwendet, muss sie zwingend auf Sicherheitslücken und Sicherheitsstandards wie Brute-Force-Schutz (2FA), sicherer Fernzugriff und Update-Architektur gecheckt werden.
Wann sollte man eine SAP-Sicherheitslösung einführen?
Eine SAP-Sicherheitslösung sollte vier funktionale Vektoren abdecken: Patch-Verwaltung, Analyse von unsicherer Systemkonfiguration, Erkennung von Angriffen oder schädlichen Aktivitäten und die Analyse von kundeneigener Programmierung auf Schwachstellen. Wann sollte man sich nun für den Einsatz eines solchen Systems entscheiden? Grundsätzlich gilt: Es ist nie zu früh, könnte aber jederzeit zu spät sein. Diesem Grundsatz folgend, sind proaktive Maßnahmen immer den reaktiven vorziehen. Zum Beispiel, wenn man:
- als Chief Information Security Officer das Gefühl hat, dass die SAP-Systeme nicht regelmäßig und rechtzeitig gepatcht werden,
- als SAP-Basis-Manager:in mit der Überwachung sicherheitsrelevanter Einstellungen nicht mehr Schritt hält,
- als ABAP-Entwickler:in feststellt, dass die etablierten Code-Qualitätsprüfungen Sicherheitsaspekte nicht ausreichend abdecken,
- als Integrationsverantwortlicher nicht mit Sicherheit sagen kann, ob alle SAP-RFC-Verbindungen ausreichend gehärtet sind.
Über den Autor: Christoph Nagy ist Geschäftsführer von SecurityBridge, einem Spezialisten für SAP-Sicherheit mit Hauptsitz in Ingolstadt.
(ID:49317107)
:quality(80)/p7i.vogel.de/wcms/45/46/4546756d6ecb5448c54b3ea527bd8519/0111081213.jpeg "Um SAP-Server vor Angriffen zu schützen, sollten regelmäßig Updates und Patches durchgeführt werden. Außerdem sollten immer nur die minimal nötigen Zugriffsrechte vergeben werden. (Bild: photon_photo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/cb/b2cb1a21f19882603d472925044830cd/0111369731.jpeg "Das Security Dashboard 2.0 der WerthAuditor-Plattform für SAP-Systeme ermöglicht Analysen und Zugriff auf Sicherheitsdaten in Echtzeit. (Bild: Werth IT)")