Suchen

Insbesondere SAP braucht Schutzschilde, Integritäts-Monitoring und Scanning

Zertifizierte Sicherheit für SAP-Systeme

Seite: 4/4

Firmen zum Thema

Content Sicherheit über Netweaver-Schnittstelle

SAP bietet eigene Sicherheitsmechanismen an. Zu dem Foto gehört die Überschrift "Protect your data – and your business – with our security solutions" (siehe : Link)
SAP bietet eigene Sicherheitsmechanismen an. Zu dem Foto gehört die Überschrift "Protect your data – and your business – with our security solutions" (siehe : Link)
(Bild: SAP)
Neben der Sicherheit für die Infrastruktur geht es im Rahmen der Content-Sicherheit um Malware-Schutz für die Netweaver-Plattform. Hinzu kommen die Anti-Malware-Funktionen für die SAP-Middleware. SAP sieht hier in erster Linie die Notwendigkeit, Bedrohungen durch externe Dateien und aktiven Content entgegenzuwirken.

Beispielsweise können über Rekrutierungs-Webseiten von Unternehmen kompromittierte Dokumente ins HR-Module des SAP-Systems gelangen, wenn hochgeladene Dokumente der Bewerber infiziert sind. Öffnet nun ein Mitarbeiter einen solchen Anhang, so kann etwa ein Trojaner in die Systeme gelangen.

Um für solche Szenarien Malware-Schutz zu ermöglichen, stellt SAP eine Viren-Scan-Schnittstelle (VSI) in der Applikationsplattform Netweaver zur Verfügung, die externe Sicherheitsanbieter in ihren Antivirus- und Content Security-Produkte umsetzen können. 2012 hat SAP die VSI 2.0 veröffentlicht und definiert die Anforderungen an diese so genannte Viren-Scan-Adapter.

Hilfe per Cross Site Scripting

Sie sind dafür zuständig, externe Dateien und aktiven Content, HTML-Seiten und Javascript zu scannen und zu analysieren. Waren es in früheren Versionen nur die Dateien, die in SAP-Datenbanken lagen, so sind es mit der Version 2.0 auch die Daten in den Anwendungen, die in den Schutz etwa gegen Angriffe über Cross Site Scripting einbezogen werden.

Deep Security ist das einzige Sicherheitsprodukt, das für VSI 2.0 zertifiziert ist. Das bedeutet unter anderem, dass die Lösung Dateitypen integriert hat, die nur innerhalb der SAP-Applikationen bekannt sind und verwendet werden.

Zertifizierung beruhigt und verstärkt den Schultzschild

Die Zertifizierung bietet Kunden den Vorteil, die Gewissheit zu haben, das Deep Security reibungslos in die SAP-Systeme integriert ist. Auch profitieren die Anwender von dem "Trend Micro Smart Protection Network", einem riesigen Netzwerk für Sicherheitsintelligenz, das eine hohe Malware-Erkennungsrate garantiert.

Ein auf dem System installierter Deep Security-Agent erhält von den SAP-Anwendungen den zum Scannen und Analysieren vorgesehenen Content und liefert das Ergebnis zurück. Es sind immer die Anwendungen die aufgrund von SAP-internen Scan-Regeln entscheiden, welcher Content analysiert wird und was danach damit zu geschehen hat. Das bedeutet auch, dass für die Trend Micro-Lösung die SAP-Welt – sowohl die ABAP- als auch die Java-Applikationen -- eine „Blackbox“ bleibt.

Schließlich empfiehlt Trend Micro Unternehmen, die rechtlichen Aspekte nicht außer Acht zu lassen. Das bedeutet unter anderem, für die SAP-Sicherheit in Frage kommende Anbieter daraufhin zu überprüfen, ob sie alle erforderlichen Zertifizierungen besitzen und Prozesse wie für den BSI-Grundschutz, ISO 27001 oder Common Criteria EAL 4+ durchlaufen haben.

Die Autorin:

Susanne Franke ist eine erfahrene, freie Fachautorin.

Artikelfiles und Artikellinks

(ID:42278249)