Deutsch | English | Español

SAP-Sicherheit heute: Fünf Herausforderungen an den CIO

11. März 2019 | Von Caroline Neuber, Virtual Forge GmbH

 

Der Chief Information Officer (CIO) hat im Unternehmen eine verantwortungsvolle Stellung. Er trägt die Verantwortung für alle IT-Entscheidungen, die das Unternehmen betreffen. Eine Aufgabe, die in Zeiten des frühen Internets noch überschaubar war. Heute wo eine Unternehmung kaum noch ohne starke IT, ohne Vernetzung und ohne die sogenannte digitale Transformation auskommt, ist die Komplexität in diesen Themen höher denn je. 

CEO_graphic

 

1 - Bedeutung von SAP-Sicherheit kennen

Der enorme Anstieg von Cyberkriminalität ist kein Geheimnis und jedem bekannt. Die nackten Zahlen erschrecken dennoch. Laut einer Studie von Accenture finden jährlich durchschnittlich 130 Angriffe auf jedes Unternehmen statt. Das entsprach zuletzt einem Anstieg von nahezu 30 Prozent zum Vorjahr. Hinzu kommt, dass Angriffe häufig intern ausgeübt werden und es durchschnittlich 80 Tage dauert, diese zu entdecken. Weitere 50 Tage werden benötigt, um den Vorfall zu beheben und die Sicherheitslücke zu schließen.

Eine ganzheitliche Sicherheitsstrategie ist demnach kein „nice-to-have“, sondern von grundlegender Relevanz. Der Schutz der SAP-Landschaft muss hierbei eine wichtige Rolle spielen. Auch wenn die SAP-Systeme in vielen Unternehmen lediglich 5-10 Prozent der IT ausmachen, ist SAP bei weitem mehr als nur eine Anwendung. Die SAP-Systeme verfügen über eine eigene IT-Infrastruktur und sind somit hochkomplex.

Als Herzstück des Unternehmens ist es fatal, SAP als Blackbox zu betrachten. Die Systeme beinhalten personenbezogene Daten von Kunden, Mitarbeitern und Partnern und bilden kritische Unternehmens­prozesse ab. Ein Angriff auf die SAP-Landschaft hat gravierende Folgen für das Unternehmen. Um dem entgegenzuwirken sollten alle Maßnahmen, die für IT-Security im Allgemeinen wichtig sind, auch für die SAP-Landschaft umgesetzt werden.

2 - Transparenz erlangen

Ein weitverbreitetes Model für CIOs und CISOs ist das der „Three Lines of Defense“. Der CIO erhält in der Regel aus drei verschiedenen Abteilungen Berichte hinsichtlich des Sicherheitsstatus: der SAP-Abteilung, der IT-Sicherheitsabteilung und der internen Revision. Somit glaubt er bestens informiert zu sein und zu wissen was in seinem Unternehmen vorgeht. Doch wie sieht die Realität aus?

Welcher SAP-Entwickler hat den Mumm zu gestehen, dass der Code seiner Applikation nicht gut ist, die Konfigurationen unzureichend eingestellt sind und die Anwendung selbst somit nicht wirklich sicher ist? Es besteht eine signifikante Wahrscheinlichkeit, dass die Berichte aus der SAP-Abteilung nicht alle Details aufzeigen, die sicherheitsrelevant sind.

Die zweite Säule, die Abteilung der IT-Sicherheit, verfügt oft über kein bis wenig SAP-Wissen. Ihre Kontrollsysteme sind in der Regel abgekoppelt von den SAP-Anwendungen. Somit erhalten sie keine Warnhinweise, wenn in der SAP-Landschaft etwas schiefläuft. Auch wenn die Warnsysteme die SAP-Systeme integrieren, können die Verantwortlichen mit den Informationen häufig wenig anfangen, da die SAP-Inhalte für Fachfremde schwer interpretierbar sind.

Die dritte und letzte Säule, die interne Revision, spricht ebenso keinen SAP-Jargon. Sie arbeitet häufig mit externen Dienstleistern zusammen und erhält beispielsweise durch beauftragte Penetrationstests ihre Berichte, die Schwachstellen im Unternehmen aufzeigen. Die Ergebnisse werden dann als Aufgaben an die betroffenen Abteilungen verteilt, ohne ein tieferes Verständnis zur eigentlichen Problematik zu haben.

3 - Den Ruf des Unternehmens mitverantworten

Der CIO trifft für das Unternehmen grundlegende Entscheidungen. Investitionen in die Sicherheits­mechanismen sind hierbei ein Kernelement. Sein Ziel ist, einen hohen Return on Investment zu erzielen und somit die Wirtschaftlichkeit des Unternehmens sicherzustellen. Die IT-Kosten müssen in einem bestimmten Verhältnis zu dem erbrachten Umsatz stehen. Hohe Ausgaben sind schwer zu argumentieren. Investiert der CIO jedoch zu wenig in die Sicherheitsstrategie, kann dies verheerende Folgen haben. Nicht nur erhebliche Kosten zur Erkennung und Behebung eines Angriffs, auch Ausfallzeiten in der Produktion, hohe Strafen sowie ein enormer Imageschaden können die Folge sein.

Das richtige Maß an Investition in eine proaktive Sicherheitsstrategie der SAP-Landschaft kann ein entscheidender Faktor für den Unternehmenserfolg sein.

4 - Externe Regularien erfüllen

Neben den vielen internen Einflüssen gibt es darüber hinaus externe Richtlinien, die es zu beachten gilt. Allen voraus stellt die neue DSGVO die CIOs vor eine große Herausforderung. Ein Gesetz, dass für die ganzheitliche SAP-Sicherheitsstrategie enorme Relevanz hat, da Datenschutz ab sofort in der Europäischen Union noch wichtiger wird.

Neben der Tatsache, dass die Privatsphäre von Personen ab sofort einen besseren Schutz genießt, ist die sichere Verwaltung der Daten ein maßgeblicher Faktor. Unternehmen sind dazu verpflichtet nachzuweisen über welche Daten sie verfügen, inwieweit diese geschützt sind und wer die Verantwortung im Falle eines Datenmissbrauchs trägt. Personenbezogene Daten müssen integer und vertraulich verarbeitet werden. Durch entsprechende technische und organisatorische Maßnahmen muss der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung gewährleistet sein. Das Unternehmen ist hierfür rechenschaftspflichtig.

Compliance, also die Einhaltung juristisch verbindlicher Richtlinien, erhält hierdurch noch einmal eine verstärkte Bedeutung.

5 - Mit dem technischen Wandel Schritt halten

Die Digitalisierung ist ein fortschreitender Trend, der den CIOs in den nächsten Jahren noch einiges abverlangen wird. Aktuell löst die weitreichende Vernetzung von immer mehr Geräten („Internet of Things“) ein Umdenken bei den Verantwortlichen aus. Es treten Herausforderungen auf, die es so bisher noch nicht gab. Durch die zunehmende Vernetzung und dem somit einhergehenden Anstieg an Schnittstellen, nehmen auch die Einfallstore zu, böswillig in die Systeme einzudringen.

Die Einführung von sicheren Entwicklungsprozessen (DevSecOps) bieten eine große Chance, Sicherheit bereits bei Entstehung von neuen Anwendungen zu etablieren und somit das Risiko von Anfang an zu minimieren. Gängige Praktiken, wie Automatisierung, das gründliche Testen der Anwendungen, sowie regelmäßige Releases sind ein fruchtbarerer Boden für die Integration von Sicherheits- und Auditfunktionen.

Lesen Sie im zweiten Teil des Blogposts wie CIOs diese Herausforderungen meistern können.

Topics: UnderstandYourRisk



@Virtual_Forge auf Social Media:

social_twitter_active.png social_xing_active.png social_linkedin_active.png social_google_active.png