Interview zu aktuellen Risiko-Potenzialen für ein SAP-System

SAP-Sicherheit durch Antivirus-Schutz und Content-Security gewährleisten

25.07.2007 | Autor / Redakteur: Lothar Lochmaier / Stephan Augsten

Andrea Simon, BowBridge Software.
Andrea Simon, BowBridge Software.

Die Aufgaben der SAP-Systeme haben sich im Laufe der Jahre geändert und damit auch mögliche Risiken. Heutige SAP-basierte Systeme stehen beispielsweise oft in Verbindung mit externen Nutzern. Aber wie können sich Unternehmen vor den neuen Gefahren schützen? Information Security sprach mit Andrea Simon, Sales and Marketing Manager EMEA bei BowBridge Software.

Lothar Lochmaier: Was müssen Unternehmen bzw. die Security-Verantwortlichen tun, um die Schätze des Unternehmens, die in den zahlreichen SAP-Anwendungen verborgen sind, umfassend zu schützen?

Andrea Simon: Die Absicherung einer derart zentralen Ressource wie eines SAP-Systems beinhaltet natürlich zahlreiche Aspekte, diese jedoch im Detail zu beleuchten würde den Rahmen sprengen. Im Großen und Ganzen lassen sich jedoch im Bereich SAP-Security folgende großen Bereiche ausmachen:

1. Starke Authentisierung und Single Sign-On (Wer?)

2. Autorisierung (Wer darf was?)

3. Verschlüsselung / Digitale Signatur

4. Transaktions-Sicherheit (hier spielt auch Hochverfügbarkeit eine Rolle)

5. Content Security / Virenschutz

Welche Schlüsse lassen sich aus einem derartigen Ranking denn ziehen?

Der letzte Punkt ist gleichzeitig der neueste auf der Liste der Dinge, die SAP-Security-Verantwortliche einbeziehen müssen. Die Anforderung begründet sich in der Tatsache, dass SAP-Systeme heute eine völlig andere Rolle spielen als noch vor wenigen Jahren. In der Vergangenheit wurden SAP-basierte Applikationen vorwiegend genutzt, um betriebsinterne Prozesse abzubilden, zu automatisieren oder zu rationalisieren.

Heutige SAP-Systeme hingegen stehen nicht selten in Kommunikation mit externen Usern. Partner, Zulieferer und Endkunden können zum Beispiel über einen Web-Frontend direkt auf die Daten aus den SAP-Applikationen zugreifen. Einige SAP-Applikationen sind speziell dafür entwickelt worden, in internen oder externen Portal-Szenarien angewandt zu werden.

Als Beispiele wären hier das SAP-eRecruiting-Portal oder die Komponente „Knowledge Management and Collaboration“ (KMC) zu nennen. Und dann gibt es natürlich eine Vielzahl hoch spezialisierter Custom-Applikationen, die auf die spezifischen Anforderungen einzelner Unternehmen hin entwickelt wurden.

Wo liegt der besondere Schwerpunkt in der Bekämpfung von Malware?

Generell ergibt sich die Notwendigkeit, Dateninhalte auf Malware zu prüfen, immer dort, wo Datei-Transfers stattfinden. Das leuchtet bei externen Portal-Anwendungen ein, kann aber auch im kleinen, internen Workflow eine Rolle spielen. Hier greifen normale Virenschutz-Maßnahmen in der Regel nicht, weil die Kommunikation zwischen Frontend und Applikation-Server verschlüsselt ist und/oder auf proprietären Protokollen basiert.

Zwar ist – abgesehen von einem einzigen ABAP Proof-of-Concept Virus – keine Malware bekannt, die explizit die SAP-Applikationen oder deren Daten angreift, aber die Gefahr, interne oder legitime externe User (Partner, Kunden) mit einem virenverseuchten Download aus der SAP-Datenbank zu infizieren, ist gegeben – mit allen Konsequenzen: Haftungsfragen, Image-Verlust bis hin zur Gefahr, tatsächlich Daten zu kompromittieren.

Seite 2: Interview zur SAP-Sicherheit - Teil 2

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2006326 / Sicherheitslücken)