:quality(80)/images.vogel.de/vogelonline/bdb/1788500/1788597/original.jpg "Der Security-Insider Deep Dive ist ein technisch tiefgehender Blick auf eine Security-Lösung; von Technikern für Techniker!")
:quality(80)/images.vogel.de/vogelonline/bdb/1788100/1788173/original.jpg "Ein zusätzlicher „Cyber Vault“, der neben der regulären Backup-Umgebung die wichtigsten Daten und Anwendungen in einer abgeschotteten Umgebung vorhält, schützt Unternehmen vor Hackern.")
:quality(80)/images.vogel.de/vogelonline/bdb/1788600/1788622/original.jpg "Cyberkriminelle werden 2021 ihre Angriffe auf Heimnetzwerke weiter verfeinern, um nicht nur private, sondern auch Unternehmensdaten zu stehlen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1788100/1788166/original.jpg "Cyberkriminelle imitieren gerne die Webseiten und Dienste vertrauter Anbieter, um von den Opfern eingegebene Daten zu stehlen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1787500/1787532/original.jpg "Krankenhäuser müssen verhindern, dass Cyberkriminelle Patientendaten und Betriebsinformationen stehlen. Das ist gerade in der gegenwärtigen Pandemie enorm wichtig.")
:quality(80)/images.vogel.de/vogelonline/bdb/1782800/1782826/original.jpg "(Ex-)Hacker Schraml gibt konkrete Tipps für KMU und den IT-Nachwuchs.")
:quality(80)/images.vogel.de/vogelonline/bdb/1785500/1785543/original.jpg "Die Energieversorgung ist ein zentraler Bereich kritischer Infrastrukturen, der sich im Fall von Ausfällen oder Störungen extrem und unmittelbar auf Staat, Wirtschaft und Gesellschaft auswirkt.")
:quality(80)/images.vogel.de/vogelonline/bdb/1784000/1784001/original.jpg "Die höchste Priorität hat in der OT die Verfügbarkeit der Produktion. Danach müssen sich auch die Sicherheitsmaßnahmen richten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1787500/1787546/original.jpg "Unbefugten Datenzugriff verhindern: Pure Storage FlashArray unterstützt jetzt EncryptReduce.")
:quality(80)/images.vogel.de/vogelonline/bdb/1784100/1784130/original.jpg "Die StackRox-Funktionen sollen künftig die Kubernetes-eigenen Kontrollen und Management-Funktionen unter Red Hat OpenShift erweitern.")
:quality(80)/images.vogel.de/vogelonline/bdb/1786400/1786447/original.jpg "Die Nutzung von Cloud-Collaboration-Plattformen hat sich seit beginn der Corona-Pandemie in vielen Bereichen zum Standard entwickelt. Für Unternehmen ergeben sich zwar große Vorteile, aber auch einige neue Risiken.")
:quality(80)/images.vogel.de/vogelonline/bdb/1788100/1788146/original.jpg "Wie E-Mails wirklich sicher werden, ein Interview von Oliver Schonschek, Insider Research, mit Marco Rossi von Trustwave.")
:quality(80)/images.vogel.de/vogelonline/bdb/1783900/1783991/original.jpg "Eine auf Ethical Hacking ausgelegte Sicherheitsstrategie hilft dabei, Schwachstellen im Code ausfindig zu machen und nachhaltig zu beheben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1783900/1783999/original.jpg "Die Sicherheit fällt 2021 verstärkt in den Verantwortungsbereich der Entwickler, meint GitLab.")
:quality(80)/images.vogel.de/vogelonline/bdb/1782900/1782979/original.jpg "Cloud-Dienste erweisen sich zunehmend als praktische Kollaborations-Werkzeuge, doch ihre Nutzung ist mit erheblichen Sicherheitsrisiken verbunden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1787400/1787492/original.jpg "„Kürzere Laufzeiten für Website-Zertifikate führen nicht zu mehr Sicherheit bei der Online-Kommunikation“ sagt PKI-Experte Enrico Entschew.")
:quality(80)/images.vogel.de/vogelonline/bdb/1783900/1783983/original.jpg "Ein Beispiel für die Zusammenarbeit von Dienstanbieter und Kunde ist das Aufzeigen von Zugriffen auf Amazon S3 Buckets durch den AWS Identity and Access Management (IAM) Access Analyzer.")
:quality(80)/images.vogel.de/vogelonline/bdb/1782500/1782543/original.jpg "Auch 2021 freuen wir uns besonders über Fragen und Themenvorschläge unserer Leser.")
:quality(80)/images.vogel.de/vogelonline/bdb/1782500/1782554/original.jpg "Die Zero-Touch-Funktion von Airlock 2FA macht das Arbeiten genauso einfach, wie einen traditionellen Login mit Benutzernamen und Passwort aber deutlich sicherer.")
:quality(80)/images.vogel.de/vogelonline/bdb/1774100/1774110/original.jpg "SIEM-Lösungen geben Unternehmen den dringend benötigten Überblick über die ihre aktuelle Bedrohungslage - oft sogar in Echtzeit!")
:quality(80)/images.vogel.de/vogelonline/bdb/1774000/1774099/original.jpg "Der Schutz von Benutzer- und Zugangsdaten ist für Unternehmen extrem wichtig, denn fast alle Datendiebstähle geschehen durch den Mißbrauch von Zugangsdaten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1773700/1773780/original.jpg "Unternehmen müssen Security Awareness als Sicherheitsgewinn und fortlaufende Komponente ihrer Security-Strategie sehen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1787100/1787170/original.jpg "Mareike Vogt, Fachexpertin Datenschutz der TÜV SÜD Sec-IT, warnt vor Nachlässigkeit beim Schutz von Kundendaten und erklärt, wie man 2021 die größten Stolpersteine vermeidet.")
:quality(80)/images.vogel.de/vogelonline/bdb/1785100/1785145/original.jpg "Unter LOLBAS (Living Off The Land Binaries And Scripts) versteht man die missbräuchliche Nutzung vorhandener Programme für schädliche Aktionen. Das LOLBAS-Projekt sammelt Informationen über solche Angriffe.")
:quality(80)/images.vogel.de/vogelonline/bdb/1783900/1783971/original.jpg "Immer mehr Netzwerkadministratoren lassen sich von SD-WAN-Lösungen überzeugen – doch für einen erfolgreichen Einsatz der Technik ist die detaillierte Kenntnis über das eigene Unternehmen entscheidend.")
:quality(80)/images.vogel.de/vogelonline/bdb/1785100/1785132/original.jpg "Kismet ist ein passiver WLAN-Sniffer - ein Tool zum Mitschneiden drahtlosen Datenverkehrs.")
SAP-Lizenzen nutzungsbasiert zuordnen und aktuell halten Identity Management gewährt Durchblick im Lizenzdschungel
Die Anforderungen an Sicherheit und Compliance in den Unternehmen steigen immer weiter. Trotzdem gibt es bei der Handhabung von Zugangs- und Zugriffsrechten (Identity Management) auf Unternehmensdaten in SAP-Systemen erheblichen Nachholbedarf.
(© ISO K° - Fotolia.com)
Berechtigungs- und Lizenzkonzepte für SAP-Systeme werden nach der Implementierung oft nicht mehr angepasst und sind nicht mehr kompatibel mit der tatsächlichen Systemnutzung. Um den internen und externen Anforderungen gerecht zu werden, müssen diese zeitnah und regelmäßig angeglichen werden.
Unabhängig von der zugrundeliegenden Architektur, Konzepten und Programmiersprachen steuert das SAP-Rollenkonzept den Zugriff auf Funktionen der SAP-Software. Die zugeordneten Berechtigungen sollten die Mitarbeiter in die Lage versetzen, am SAP-System auch nur das zu tun, was ihr Aufgabenprofil vorsieht.
:quality(80)/images.vogel.de/vogelonline/bdb/492900/492967/original.jpg "Das Least-Privilege-Prinzip stellt sicher, dass die Anwender nur mit den Berechtigungen ausgestattet werden, die sie auch wirklich benötigen.")
:quality(80)/images.vogel.de/vogelonline/bdb/492900/492968/original.jpg "Ein SAP-System bildet nur dann die reale Situation in einem Unternehmen ab, wenn Konfiguration und reale Systemnutzung regelmäßig gegenübergestellt und schrittweise analysiert werden.")
Berechtigungskonzepte verändern sich dabei genauso schnell, wie das Unternehmen und die Informationstechnologie im Allgemeinen. Wird dies nicht berücksichtigt, driften die realen Anforderungen und konfigurierten Berechtigungen im Laufe der Zeit unweigerlich auseinander.
Angemessenes Berechtigungskonzept oft Fehlanzeige
Zu welchen Missständen das führen kann, zeigt eine empirische und branchenunabhängige Untersuchung produktiver SAP-Systeme. Die IBIS Prof. Thome AG hat dazu über mehrere Jahre hinweg zahlreiche Unternehmen analysiert. Im Durchschnitt haben sich demnach acht Prozent der Mitarbeiter mit Zugangsberechtigung noch nie am IT-System angemeldet.
Mehr noch: Durchschnittlich 22 Prozent der anmeldeberechtigten Mitarbeiter zeigten über einen mehrmonatigen Zeitraum betrachtet keinerlei Aktivitäten am System. Zudem hatten Mitarbeiter weit mehr Berechtigungen, als sie benötigten. Rund 23 Prozent der Berechtigungsrollen, sowohl Einzel- als auch Sammelrollen erwiesen sich als überflüssig.
Diese Diskrepanz wirkt sich nicht nur negativ auf die Qualität der Geschäftsprozesse aus, sondern beeinträchtigt auch die Sicherheit und erhöht Kosten innerhalb eines Unternehmens beträchtlich. Insbesondere für den Fall, dass auch kritische Funktionen oder Funktionskombinationen zugeordnet sind.
Das erschwert zusätzlich die Einhaltung von Compliance-Vorgaben und eine professionelle Administration. Eine Zahl verdeutlicht die Tragweite dieses Phänomens: In den untersuchten Unternehmen sind im Durchschnitt über 5.000 nicht benötigte Funktionen an die einzelnen Mitarbeiter verteilt.
(ID:35186740)
:quality(80)/images.vogel.de/vogelonline/bdb/1636800/1636884/original.jpg "Wer Angriffe auf privilegierte Konten verhindern will, der muss als erstes wissen, welche Konten überhaupt gefährdet sind und muss dann verstehen, wie Angriffe darauf ablaufen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1740900/1740948/original.jpg "Ohne zentrales Rechtemanagement fehlt IT-Verantwortlichen jegliche Kontrolle darüber, wer auf welche Benutzerkonten und Daten zugreifen kann.")