Kommentar zur Sicherheit von SAP in der Cloud

SAP in der Cloud – Nach reiflicher Überlegung sicher

| Autor / Redakteur: Mariano Nunez* / Peter Schmitz

Der Weg in die SAP-Cloud lässt sich sicher gestalten, wenn man Sicherheitsbedenken berücksichtigt.
Der Weg in die SAP-Cloud lässt sich sicher gestalten, wenn man Sicherheitsbedenken berücksichtigt. (© bakhtiarzein - Fotolia.com)

Viele IT-Verantwortliche suchen für Ihre SAP-Daten und -Anwendungen den schnellen Weg in die Cloud. Zu verlockend ist die Aussicht, Ressourcen einzusparen und vielleicht Verantwortungen auf den Cloud Provider abzuwälzen. Sicherheitsbedenken müssen diesen Weg nicht abschneiden – aber sie müssen berücksichtigt werden. Denn ERP-Daten und Anwendungen sind in der Regel immer unternehmenskritisch.

Viele Unternehmen denken bei der Migration von SAP in die Cloud aber zu kurz. Zutreffend gehen sie davon aus, dass es Cloud-spezifische Risiken eigentlich nicht gibt. Schwachstellen in falsch konfigurierten On-Premise-Strukturen können genauso gut in der Cloud vorkommen und umgekehrt.

Dieser Gedanke ist aber der erste Schritt zu falscher und gefährlicher Sorglosigkeit. Er übersieht nämlich, dass Verhältnisse in der Cloud - oder erst recht in einer hybriden Cloud mit Kommunikation zur On-Premise-Rest-IT - noch komplexer als in der SAP-Welt und damit potentiell unsicher sind. Angesichts des Aufwands bei der Migration entfällt oft die Überprüfung der Sicherheit. Jede Anwendung oder Datenbank in der Cloud erhöht zudem den Datenverkehr, der dann durch unautorisierte Remote-Command-Zugriffe abgelenkt oder abgehört wird. Und Remote-Command-Zugriffe sind eine der häufigsten Schwachpunkte von SAP-Konfigurationen.

Kein Blindflug

Die Komplexität wird nicht geringer, wenn einzelne Fachabteilungen ohne Rücksprache den Weg in die Cloud gehen. Bei der in vielen Unternehmen oft nur dünnen Kommunikation zwischen SAP-Verantwortlichen und IT-Administratoren kann dies durchaus geschehen. In der Regel schafft ein solcher Alleingang dann vollendete Tatsachen: Allein die Verfügbarkeitslücke durch die Rückführung in die On-Premise-Umgebung verursacht dermaßen hohe Kosten, dass er sich nicht mehr rechtfertigen ließe. Dann kann ein Sicherheitsverantwortlicher in der Regel nur noch den neuen Zustand akzeptieren und den Sicherheitsstatus der Cloud-Lösung in Zukunft auch mit überprüfen.

Viele Unternehmen unterschätzen auch den Risikofaktor Provider. Geplant - oder vielleicht auch nur insgeheim erhofft - soll der Cloud-Anbieter nun die aufwändigen Patches, Neukonfigurationen, die Verwaltung sicherheitsrelevanter Kriterien oder die Überwachung der Lösung übernehmen. Doch auch für den Cloud-Provider ist die Versuchung groß, gerade die aufwändigen Sicherheitsupdates aus Gründen der Effektivität zu unterlassen. Wenn ein Provider dann durch ein mangelhaftes SLA nicht zur Aufrechterhaltung von Compliance-Standards verpflichtet ist, hat man als Unternehmen schnell schlechte Karten.

Dabei lassen sich durch die Migration von SAP-Daten in die Cloud nicht alle Verantwortlichkeiten wegdelegieren. Je nach Service Level Agreement oder SAP-Cloud-Lösung bleiben sicherheitsrelevante Aufgaben im Unternehmen: Bei SAP HANA Enterprise Cloud zum Beispiel für ein Cloud-Angebot verwaltet das Unternehmen selbst weiterhin die Nutzer und deren Profile, die Parameter eines Systems, überwacht das für die sichere Übertragung wichtige Transport Management System und wendet SAP-Security-Notes an. Das ist auch gut so. Denn die Hoheit über Daten und Anwendungen sollte niemand aus der Hand geben.

Der Weg in die SAP-Cloud lässt sich sicher gestalten, wenn man diese Überlegungen berücksichtigt. Wer den Weg gehen will, sollte vor allem sicherstellen, dass die Transparenz und Sichtbarkeit des Sicherheitsstatus einer SAP-Infrastruktur während des gesamten Migrationsprozesses und auch im Betrieb durch automatisierte Lösungen gewährleistet ist.

* Mariano Nunez ist CEO und Mitbegründer von Onapsis.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44444728 / SAP-Sicherheit)