Schwachstellenmanagement

SAP-Sicherheit schützt Geschäftsprozesse

Seite: 3/3

Firmen zum Thema

Aktionsplan für eine neue SAP-Sicherheitspolitik

Abhilfe tut not. Ein Aktionsplan zur SAP-Sicherheit setzt als ersten Schritt ein umfassendes, automatisches und regelmäßiges Assessment der gesamten SAP-Infrastruktur und aller Transaktions-Plattformen voraus. Dazu gehört auch die Untersuchung bereits existierender Plattformen wie NetWeaver, Business Objects und aller R/3-Lösungen, aber auch und insbesondere SAP HANA, das neue Sicherheitsherausforderungen auf die Agenda setzt. Alle Module eines SAP-Systems, jeder SAP-Client und jeder App-Server sollten regelmäßig, zumindest aber nach jedem SAP Security Patch Day untersucht werden. Das gilt auch für Entwicklungs-, Test- und Qualitätssicherungs-Umgebungen, da über das Pivoting viele Angreifer diese oft schlecht gesicherten Umgebungen als Eingangstore für den Angriff auf produktive Systeme nutzen.

Im nächsten Schritt interpretieren CISO, IT-Admin und Fachabteilung die Ergebnisse des Schwachstellen-Assessments. Wichtig für eine individuelle Bewertung der Gefahren ist die Korrelation der Risiken mit den möglichen Auswirkungen auf Geschäftsprozesse und Anwendungen. Darauf aufbauend werden die zu ergreifenden Abwehrmaßnahmen priorisiert. Bei einem kontinuierlichen Durchlaufen dieses Prozesses ergibt sich eine Verbesserung der Sicherheitslage durch die ständige Überprüfung des Sicherheitsstatus über den gesamten Lebenszyklus einer SAP-Infrastruktur hinweg. Ein wichtiger Zusatzeffekt ist außerdem, dass die Verantwortlichen gleichzeitig ihre Pflichten zu Audits und zum Belegen der Compliance-Anstrengungen erfüllen, indem Delta-Berichte die Schließung von Lücken dokumentieren.

Bildergalerie

Gefahren in Fast-Echtzeit erkennen

Die Inventur der Sicherheitslage und deren Interpretation kann auch die schnelle Abwehr von Bedrohungen beschleunigen. Die kontinuierliche Überprüfung der Sicherheitslage verzeichnet neu entstehende Lücken und fordert zu deren Schließung auf. So verzeichnet sie auch verdächtige Konfigurationsänderungen, wie etwa das Einrichten neuer Anwender mit kritischen Berechtigungen, verdächtige Log-Aktivitäten oder auch Aktivitäten von Dritten und Vertragspartnern, die in eine SAP-Struktur eingebunden sind.

Darüber hinaus spielt die Beobachtung auffälliger Aktivitäten innerhalb der SAP-Landschaft, die auf böswillige Aktivitäten von externen oder internen Angreifern hindeuten, eine wichtige Rolle. Wenn ein Mitarbeiter aus der Research-and-Development-Abteilung plötzlich zu ungewöhnlichen Zeiten oder während seines Urlaubs auf Kundenlisten, Rechnungsdaten oder Lieferanten-Datenbanken zugreift, deutet das auf kriminelle Aktivitäten durch den Mitarbeiter oder durch Externe hin, die die Berechtigungen des Mitarbeiters unter ihre Kontrolle gebracht haben.

Wirksame SAP-Sicherheit kann in Fast-Echtzeit durchgesetzt werden. Patches, Segregation of Duties und GRC-Regeln erhalten hier die entscheidende Ergänzung für eine praktikable und effektive Sicherung von SAP-Landschaften. Das gilt auch für die SAP-HANA-Landschaften der Zukunft.

* Mariano Nunez ist CEO und Mitbegründer von Onapsis und ist für die strategische Ausrichtung des Unternehmens verantwortlich.

(ID:43943918)