Deutsch | English | Español

Digitalisieren ohne Sicherheitsgefahr

16. Oktober 2018 | Von Markus Schumacher, Virtual Forge GmbH

businessman hand show 3d cloud icon with padlock as Internet security online business conceptGezielte Schutzmaßnahmen gegen Eindringlinge

Der digitale Wandel gefährdet die IT-Sicherheit von Unternehmen. Cloud Computing, Vernetzung und funktionale Erweiterungen heißen die zentralen Trends, die Cyberkriminellen immer wieder neue Angriffspunkte bieten – und gezielte Schutzmaßnahmen erfordern.   

Als Fachbeitrag am 12.10.2018 in der Computerwoche erschienen.

Monolithische ERP-Systeme, wie SAP R/3, sind out. Immer mehr Unternehmen verabschieden sich vom „Ein-System-für-Alles-Ansatz“ und bevorzugen für bestimmte fachliche Nischen, wie Talentmanagement oder die Lohn- und Gehaltsabrechnung, Lösungen spezialisierter Cloud-Dienstleister. Dies bietet ihnen auch den Vorteil, dass sie die neuen Anwendungen nicht aufwändig im eigenen Haus betreiben müssen und bedarfsweise skalieren können. Die Anbieter reagieren auf die wachsende Kundennachfrage, indem sie immer mehr Cloud Services auf den Markt bringen: „Everything-as-a-Service“ lautet die Devise in der neuen digitalen Welt.  

Doch wird es noch einige Zeit dauern, bis sich dieses Paradigma in der Praxis durchgesetzt hat. Bis dahin stehen die Unternehmen vor der Aufgabe, die neuen Cloud Services mit dem eigenen ERP und vorhandenen Drittsystemen sowie untereinander möglichst nahtlos in hybriden Landschaften zu verbinden. Dazu bieten sich integrative Plattformen an, wie im SAP-Umfeld die SAP Cloud Platform, die von SAP selbst als Platform-as-a-Service (PaaS) zur Verfügung gestellt wird und den Datenaustausch zwischen SAP- und Non-SAP-Systemen ermöglicht. Allerdings steigt mit der Zahl der genutzten Services auch der Bedarf nach wirksamen IT-Sicherheitsmaßnahmen: So muss eine wachsende und immer stärker vernetzte IT-Infrastruktur – bestehend aus lokalem Netzwerk sowie einer Fülle von SAP-, Dritt- und Cloud-Anwendungen – vor immer gewiefteren Angriffen geschützt werden.   Verstärkt wird dieser Druck durch die Ausbreitung innovativer IoT-Technologien.

Schnittstellen bieten Einfallstor

Neben der Auditierung und einheitlichen Konfiguration der IT-Plattform spielt die Sicherung der Schnittstellen eine zentrale Rolle. So haben typische SAP-Systeme mehrere Tausend RFC-Schnittstellen, hinzu kommen Schnittstellen zum Betriebssystem, zum SAP GUI, zu mobilen Apps und Webservices sowie zu anderen Lösungen, die in der Cloud oder bei Tochterunternehmen, Kunden und Lieferanten laufen. Sind diese Schnittstellen veraltet, falsch konfiguriert oder unzureichend geschützt, bieten sie Datendieben, Wirtschaftsspionen und Saboteuren attraktive Einfallstore, um an Informationen zu gelangen. Dies kann für die Unternehmen erhebliche finanzielle und rechtliche Auswirkungen haben, zudem leidet die Reputation. Verschärft wird diese Situation durch die immer strikteren regulatorischen Anforderungen, wie zuletzt die EU-DSGVO, die Verstöße gegen die neuen Richtlinien zum Schutz personenbezogener Daten mit drastischen Bußgeldern belegt.

Transparenz durch Inventarisierung

Obwohl die Risiken ungesicherter Schnittstellen längst bekannt sind, haben viele Unternehmen das Problem nicht im Griff: Zumal bei fortschreitender Digitalisierung der Überblick über die immer komplexeren Schnittstellen noch schneller als bisher verloren geht. Daher empfiehlt sich der Einsatz spezieller Werkzeuge, mit denen sich die Kommunikationsbeziehungen der Systemlandschaft analysieren und sämtliche Schnittstellen inventarisieren, dokumentieren und überwachen lassen.

Werden dabei Schwachstellen erkannt, erhalten die Systemverantwortlichen Vorschläge zur besseren Absicherung. Auch kann überprüft werden, ob das unternehmenseigene Berechtigungskonzept zu den vorhandenen Schnittstellen passt. Zusätzlich können in den Werkzeugen Regeln hinterlegt werden, um unberechtigte Datenzugriffe zu blockieren. So löst die integrierte Monitoring-Komponente Alarm aus, etwa wenn ein Vertriebsmitarbeiter vertrauliche HR-Daten herunterladen will. Dann kann der Systemverantwortliche die betreffende Schnittstelle sofort kappen. Ebenso lässt sich durch Regeln gezielt ausschließen, dass personenbezogene Daten, wie Kundennamen oder Kreditkarten-Informationen, nach draußen gelangen – eine wichtige Voraussetzung zur Erfüllung der EU-DSGVO.

Darüber hinaus helfen Inventarisierung und Monitoring der Schnittstellen, fehlende Verschlüsselung bei der Datenübertragung aufzudecken. Während dieses Thema in der On-Premise-Welt durch leistungsfähige Industriestandards gut abgedeckt ist, sieht es in komplexen Cloud-Umgebungen noch anders aus. Da für die einzelnen Cloud Services verschiedene Verschlüsselungsmethoden genutzt und die Daten zwischendurch immer wieder entschlüsselt werden, zahlt sich auch hier der Einsatz eines Werkzeugs aus, das die Schnittstellen vollständig erfasst und kontinuierlich überwacht, um bei mangelhafter Verschlüsselung Alarm zu schlagen. Datenflüsse zwischen verteilten Systemen können damit nachverfolgt und durchgängig abgesichert werden.

Schlupfloch durch funktionale Erweiterungen

Um die digitale Transformation zu beschleunigen, können sich Unternehmen jedoch nicht nur auf verfügbare On-Premise- und Cloud-Lösungen verlassen. Wer schnell und flexibel auf neue Markt- und Kundenanforderungen reagieren will, muss seine Anwendungen immer wieder funktional erweitern. Eine Möglichkeit dazu bietet der DevOps-Ansatz, bei dem die Entwicklung und der IT-Betrieb eng zusammenarbeiten, um die Auslieferung hochwertiger Software zu beschleunigen. So können Unternehmen laufend kleinere Funktionen und Lösungen in Betrieb nehmen, die auf ihre individuellen Bedürfnisse zugeschnitten sind. In der SAP-Welt breitet sich mit der HANA-Datenbanktechnologie gerade eine Entwicklungsplattform aus, die DevOps durch die Big-Data-Verarbeitung stark beflügelt.

Eine andere Möglichkeit besteht für SAP-Anwender darin, die benötigte Funktion im SAP App Center direkt bei Partnern zu erwerben. So umfasst das SAP App Center derzeit über 1.000 Erweiterungslösungen von Partnern für das gesamte SAP-Lösungsportfolio, darunter SAP S/4HANA sowie SAP Cloud Platform- und SAP Cloud-Lösungen. Bei steigender Nachfrage wird das SAP App Center in der SAP-Welt bald eine Bedeutung haben, wie sie der App Store von Apple längst im Consumer-Bereich genießt. 

Deutlicher Zuwachs an Komplexität

Wenn Unternehmen die gewünschten Funktionen selbst programmieren, entstehen jedes Mal neue Rahmenbedingungen. Da SAP die Cloud Foundry, eine quelloffene Plattform „as a Service“ (PaaS) unterstützt, können Erweiterungen in jeder beliebigen Programmiersprache vorgenommen und an die SAP Cloud Platform angehängt werden. Andere Programmiersprachen, Betriebssysteme, Schnittstellen und Plattformen kommen hinzu. In der Folge steigen die Komplexität der vorhandenen Systemlandschaft und damit auch das Sicherheitsrisiko. Ähnlich sieht es bei Einkaufstouren im SAP App Center aus. Auch wenn SAP dafür sorgt, dass die angebotenen Partnerlösungen bestimmten Sicherheitsstandards genügen, laufen Unternehmen Gefahr, dass die Apps nicht dem eigenen Security-Konzept entsprechen.  

Daher sollten alle funktionalen Erweiterungen mit geeigneten Werkzeugen auf mögliche Sicherheitslücken analysiert werden. Dies gilt für Partnerlösungen aus dem SAP App Center genauso wie für DevOps. Hier empfiehlt es sich für Unternehmen, von Anfang an Prüfwerkzeuge einzusetzen, die direkt in die Programmierumgebung integriert werden und einen hohen Automatisierungsgrad gewährleisten: von der Code-Entwicklung über die Test- und Build-Phase bis hin zu Laufzeit-Umgebung und Betrieb. In jeder Phase des Software-Produktlebenszyklus sorgen die Analysen dafür, dass die neuen Funktionen und Anwendungen sicher programmiert, konfiguriert und auf das Zielsystem gebracht werden können.1

Neues Verständnis von IT-Security

„Neue technologische Herausforderungen wie Digitalisierung oder das Internet of Things (IoT) erfordern bei einer Vielzahl von IT-Verantwortlichen ein neues Verständnis von IT-Security“, ist das Ergebnis einer aktuellen IDC-Studie.2 Zu diesem neuen Verständnis sollten in jedem Fall die Sicherung der Schnittstellen, die Einhaltung der Compliance und automatische Analysen funktionaler Erweiterungen zählen.


1 Siehe auch: Markus Schumacher: „Mehr Sicherheit für DevOps“, Computerwoche 07.05.2018      
2 Bernhard Haluschak: „Die digitale Transformation ist ein Sicherheitsrisiko“, Computerwoche 20.07.2018

 

Topics: Secure Coding, UnderstandYourRisk



@Virtual_Forge auf Social Media:

social_twitter_active.png social_xing_active.png social_linkedin_active.png social_google_active.png