Suchen

SAP-Spezialist Marco Lenck über geschäftskritische Systeme Mit Standardisierung wächst das Bedrohungspotenzial

Autor / Redakteur: Joachim Jakobs / Stephan Augsten

Je mächtiger eine Software oder ein Datenbank-System im Unternehmen ist, desto gefährlicher wird es, wenn sich ein Angreifer Zugang dazu verschafft. Security-Insider hat sich mit Marco Lenck, dem Vorstandsvorsitzenden der Deutschsprachigen SAP-Anwendergruppe e. V. (DSAG), das Risikopotenzial am Beispiel SAP diskutiert.

Marco Lenck: „SAP ist als zentrales System ebenso angreifbar wie Datenbanken und Betriebssysteme anderer Hersteller.“
Marco Lenck: „SAP ist als zentrales System ebenso angreifbar wie Datenbanken und Betriebssysteme anderer Hersteller.“
(Bild: DSAG)

Security-Insider: Kürzlich war hier zu lesen, dass sich ein Industrieland lahmlegen ließe, wenn man alle SAP-Systeme mit Hilfe eines „Generalschlüssels“ angreifen könnte. Halten Sie ein solches Szenario für möglich?

Marco Lenck: Generell lässt sich das geschilderte Szenario nicht von der Hand weisen. Das betrifft aber nicht nur SAP-Systeme, sondern ist anbieterübergreifend. Über eine Standardsoftware werden mögliche Zielsysteme standardisiert. Damit wächst das Bedrohungspotenzial. Darüber hinaus bieten sich mit einer Lizenzverwaltung oder einer Remote-Administration bzw. über den Support eines Herstellers potenzielle Einfallstore.

Dagegen müssen sich die Unternehmen in Eigenverantwortung durch individuelle Sicherheitsvorkehrungen bestmöglich schützen. Es geht hier um den technischen und den organisatorischen Aspekt. Im organisatorischen Bereich sind spezielle Handlungsanweisungen für Administratoren aufzustellen, damit Unternehmen besser abgesichert sind.

Security-Insider: Wie kann es sein, dass sich ein Land in eine solche Abhängigkeit bringt?

Lenck: Zur Abhängigkeit eines Landes können wir nichts sagen. Für die Unternehmen gilt:

SAP ist eine betriebswirtschaftliche Standardsoftware eines deutschen Herstellers, die auf verschiedenen Plattformen wie z. B. Microsoft- oder Oracle läuft. Wir haben es also nicht nur mit dem ERP-System zu tun, sondern auch mit der Datenbank und dem entsprechenden Betriebssystem, die in anderen Ländern „produziert“ werden. Diese sind genauso monolithisch.

Die Konsequenz: SAP ist als zentrales System ebenso angreifbar wie Datenbanken und Betriebssysteme anderer Hersteller. Und speziell im Falle von Microsoft gibt es ebenfalls eine Remoteverwaltung und Online-Aktualisierungen. Bei der IT-Sicherheit gilt es also, das Gesamtsystem zu betrachten – nicht nur einzelne Komponenten.

Security-Insider: Wie kann sich die Bundesrepublik aus der Risikozone entfernen?

Lenck: Bei SAP-Software ist die Risikozone gar nicht so groß. Wenn wir das national betrachten, ist sie bei Oracle und anderen Datenbankhersteller oder bei Microsoft größer. Denn: SAP ist eine Software, die zu großen Teilen aus Deutschland kommt. Das ist für die Datenbank und das Betriebssystem anders.

Security-Insider: Wer muss nun in welcher Form aktiv werden?

Lenck: Die Politik sollte dafür sorgen, dass das Thema Wirtschaftsspionage unterbunden wird, indem sie ein entsprechendes Umfeld schafft. Es geht darum, dass man sich unter befreundeten Staaten nicht zum Schaden der Unternehmen und damit letztlich zum Schaden aller ausspioniert. Die Politik darf eine gegenseitige Spionage nicht zulassen.

SAP und andere Software-Anbieter müssen dafür Sorge tragen, dass die Software keine zentralen Schwachpunkte aufweist und nicht angreifbar ist. Die Beratungshäuser sollten ihre Kunden für das Thema sensibilisieren, sie entsprechend beraten und dabei unterstützen, Änderungen und Sicherheits-Updates zeitnah einzuspielen. Die Kunden wiederum müssen sich mit dem Thema auseinandersetzen und entsprechende Sicherheitshinweise zeitnah implementieren.

Security-Insider: Wie können wir für die Zukunft ähnliche Szenarien dieser Art vermeiden?

Lenck: Das Thema Sicherheit muss in jegliche Prozessänderung eingebaut werden. Das gilt besonders für politische, wirtschaftliche Risiken. Ich kann einen betriebswirtschaftlichen Prozess erst dann verändern, wenn er so sicher ist wie nötig. Wir müssen über Vertrauensbildung daran arbeiten, dass es keine Hintertüren mehr gibt – für wen auch immer.

Security-Insider: Welche Rolle spielt vor diesem Hintergrund das Wissen von Entscheidern in Politik und Wirtschaft, Entwicklern, Administratoren und Anwendern?

Lenck: Es geht bei allen Beteiligten um eine Bewusstseinsänderung, vor allem aber in Politik und Wirtschaft. Die Entwickler und die Administratoren haben ein relativ starkes Bewusstsein, was Sicherheit in der IT angeht. Gesamtheitlich betrachtet nützt dies aber nichts, denn sie betrachten nur den technischen Aspekt der Sicherheit.

Es ist an der Politik und der Wirtschaft, etwas zu tun. Sicherlich hat man in der Vergangenheit zu sehr darauf vertraut, dass befreundete Staaten Informationen zu geistigem Eigentum nicht missbrauchen. Hier liegt das Problem. Solange sich auf dieser Ebene das Bewusstsein nicht ändert, ist es, als wenn ich die Eingangstüre verbarrikadiere, aber die Terrassentür offen lasse.

Marco Lenck ist Vorstandsvorsitzender der Deutschsprachigen SAP-Anwendergruppe e. V., das Interview führte Joachim Jakobs.

(ID:42747239)