SAP-Spezialist Marco Lenck über geschäftskritische Systeme

Mit Standardisierung wächst das Bedrohungspotenzial

| Autor / Redakteur: Joachim Jakobs / Stephan Augsten

Marco Lenck: „SAP ist als zentrales System ebenso angreifbar wie Datenbanken und Betriebssysteme anderer Hersteller.“
Marco Lenck: „SAP ist als zentrales System ebenso angreifbar wie Datenbanken und Betriebssysteme anderer Hersteller.“ (Bild: DSAG)

Je mächtiger eine Software oder ein Datenbank-System im Unternehmen ist, desto gefährlicher wird es, wenn sich ein Angreifer Zugang dazu verschafft. Security-Insider hat sich mit Marco Lenck, dem Vorstandsvorsitzenden der Deutschsprachigen SAP-Anwendergruppe e. V. (DSAG), das Risikopotenzial am Beispiel SAP diskutiert.

Security-Insider: Kürzlich war hier zu lesen, dass sich ein Industrieland lahmlegen ließe, wenn man alle SAP-Systeme mit Hilfe eines „Generalschlüssels“ angreifen könnte. Halten Sie ein solches Szenario für möglich?

Marco Lenck: Generell lässt sich das geschilderte Szenario nicht von der Hand weisen. Das betrifft aber nicht nur SAP-Systeme, sondern ist anbieterübergreifend. Über eine Standardsoftware werden mögliche Zielsysteme standardisiert. Damit wächst das Bedrohungspotenzial. Darüber hinaus bieten sich mit einer Lizenzverwaltung oder einer Remote-Administration bzw. über den Support eines Herstellers potenzielle Einfallstore.

Dagegen müssen sich die Unternehmen in Eigenverantwortung durch individuelle Sicherheitsvorkehrungen bestmöglich schützen. Es geht hier um den technischen und den organisatorischen Aspekt. Im organisatorischen Bereich sind spezielle Handlungsanweisungen für Administratoren aufzustellen, damit Unternehmen besser abgesichert sind.

Security-Insider: Wie kann es sein, dass sich ein Land in eine solche Abhängigkeit bringt?

Lenck: Zur Abhängigkeit eines Landes können wir nichts sagen. Für die Unternehmen gilt:

SAP ist eine betriebswirtschaftliche Standardsoftware eines deutschen Herstellers, die auf verschiedenen Plattformen wie z. B. Microsoft- oder Oracle läuft. Wir haben es also nicht nur mit dem ERP-System zu tun, sondern auch mit der Datenbank und dem entsprechenden Betriebssystem, die in anderen Ländern „produziert“ werden. Diese sind genauso monolithisch.

Die Konsequenz: SAP ist als zentrales System ebenso angreifbar wie Datenbanken und Betriebssysteme anderer Hersteller. Und speziell im Falle von Microsoft gibt es ebenfalls eine Remoteverwaltung und Online-Aktualisierungen. Bei der IT-Sicherheit gilt es also, das Gesamtsystem zu betrachten – nicht nur einzelne Komponenten.

Security-Insider: Wie kann sich die Bundesrepublik aus der Risikozone entfernen?

Lenck: Bei SAP-Software ist die Risikozone gar nicht so groß. Wenn wir das national betrachten, ist sie bei Oracle und anderen Datenbankhersteller oder bei Microsoft größer. Denn: SAP ist eine Software, die zu großen Teilen aus Deutschland kommt. Das ist für die Datenbank und das Betriebssystem anders.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42747239 / Datenbanken)