Deutsch | English | Español

SAP-Sicherheit heute: Fünf Herausforderungen an den CIO (Teil 2)

19. März 2019 | Von Caroline Neuber, Virtual Forge GmbH

Erfolgsrezept für mehr SAP-Sicherheit

Basierend auf den Herausforderungen des C-Levels, die in Teil 1 des Blogbeitrags beschrieben sind, liefern wir Ihnen in diesem Teil die entsprechende Handlungsempfehlungen. Basieren auf unserer langjährigen Erfahrung können wir Ihnen bewährte Methoden vorstellen, die es ermöglichen die SAP-Landschaft im Unternehmen nachhaltig zu schützen.

Erfolgsrezept_web

Security & Compliance ganzheitlich im Unternehmen verankern

Für ein erfolgreiches Sicherheitskonzept ist es wichtig, dass alle Bereiche im Unternehmen das gleiche Verständnis teilen. Die Sicherheitsmechanismen sollten ineinandergreifen und dürfen nicht an Abteilungsgrenzen aufhören. Im Hinblick auf das „Three Lines of Defense“ Modell gilt, dass die Kommunikation zwischen den Abteilungen gefördert werden muss.

Konkret bedeutet das, dass die operative SAP-Abteilung dazu befähigt werden muss Code mit wenig Aufwand auf Schwachstellen überprüfen zu können und Konfigurationen einem Härtetest zu unterziehen. Auch für das Transport-Management müssen geeignete Mittel zu Verfügung stehen, die es den Verantwortlichen ermöglichen die Transporte routiniert auf mögliche Fehlerquellen zu kontrollieren.

Die IT-Sicherheitsabteilung, muss dazu in der Lage sein, sich einen strategischen Überblick über die Kontrollen zu verschaffen. Mit Hilfe von Security Information and Event Management (SIEM) Lösungen können Echtzeitanalysen über Auffälligkeiten erstellt werden und entsprechende Sicherheitsalarme ausgelöst werden, sobald ein Sicherheitsvorfall auftritt. Dies gibt dem Sicherheitsteam den Anstoß, sich mit der SAP-Abteilung in Verbindung zu setzen, um die Kritikalität und Notwendigkeit der Risikominderung zu besprechen.

Kontinuierliche Berichte mit detaillierten Erläuterungen zu Schwachstellen, Geschäftsauswirkungen und Handlungsmaßnahmen helfen wiederum der internen Revision, das Risiko für die Anwendung proaktiv zu verstehen und die richtigen Schlussfolgerungen zu ziehen. Der Austausch mit der zuständigen SAP-Abteilung kann nun auf Augenhöhe stattfinden.

Der CIO selbst erhält durch die Befähigung der einzelnen Fachbereiche, und der verbesserten Kommunikation zwischen den Abteilungen, mehr Transparenz über das tatsächliche Sicherheitslevel seines Unternehmens. Somit ist er im Loop, wenn kritische Situationen auftreten und kann schnell handeln. 

Neben der Befähigung der drei Fachbereiche, ist es ebenso wichtig, das Bewusstsein zu schaffen, dass „Security & Compliance“ keine Eintagsfliegen sind. Ziel sollte sein, eine Sicherheitsstrategie kontinuierlich zu implementieren. Ein bewährtes Verfahre umfasst drei Schritte: Die Bestandsaufnahme, die Beseitigung kritischer Schwachstellen sowie die Etablierung von langfristigen Sicherheitsmaßnahmen, dass auch zukünftig keine neuen Sicherheitslücken in die Systeme gelangen.

Automatisierung

Zur Implementierung einer ganzheitlichen Sicherheitsstrategie ist es notwendig auf automatisierte Werkzeuge zurückzugreifen. Die Komplexität der SAP-Landschaft ist zu hoch um mit manuellen Techniken ein adäquates Sicherheitslevel gewähr­leisten zu können. Die Überprüfung von mehreren zehntausend Codezeilen würde Wochen oder sogar Monate in Anspruch nehmen, wobei das Level an Konzentration und Know-how von Mitarbeiter zu Mitarbeiter variiert. Die Änderung von Systemkonfigurationen fiele adhoc niemandem auf und bei der Analyse der Schnittstellen bliebe der Großteil unerkannt. Es resultieren Qualitätsmängel und hohe Kosten, die durch den enormen Zeitaufwand verursacht werden.

Automatisierte Lösungen bieten viele Vorteile:

  • Geringere Fehlerquoten
  • Ressourcensparend
  • Integration in Standardprozesse
  • Einheitliche Protokollierung & Berichterstattung
  • Gleichbleibendes Sicherheitsniveau
  • Schnelle Reaktionszeiten durch Monitoring und Alerting

Sicherheitsmechanismen im Entwicklungs­prozess

Zur Sicherung der unternehmerischen Zukunft und der langfristigen Minimierung von Risiken in einem volatilen Umfeld, sollten Sicherheitsmechanismen frühzeitig in den Entwicklungsprozess integriert werden. Schwachstellen können bereits im Keim erstickt werden und stellen kein Sicherheits­risiko dar. Zudem werden Entwickler dazu befähigt die Prozesse konsistent und wiederkehrend abzubilden. Die Integration des Sicherheitsaspekts (Security) in die enge Zusammenarbeit von Entwicklung (Development) und Betrieb (Operations) wird im Fachjargon als DevSecOps bezeichnet. Hier ist es wichtig, dass neben den funktionalen Schutzkomponenten, wie beispielsweise Berechtigungen und Verschlüsselung auch technische Aspekte berücksichtig werden, die gängige Sicherheitsstandards bereits von Anfang an in die Entwicklung einbezieht. Es ist zu empfehlen Prüfwerkzeuge in jeder Phase des Software-Produktlebenszyklus einsetzen, die direkt in die DevOps-Umgebung integriert werden und einen hohen Automatisierungsgrad gewährleisten. Für welche Sicherheitswerkzeuge sich ein Unternehmen dabei auch immer entscheidet: Wichtig ist, dass die einzelnen Komponenten nahtlos integriert und miteinander gekoppelt werden können, damit keine Informationsbrüche entstehen. Denn ansonsten droht die Gefahr, dass schnell der Überblick verlorengeht und vorhandene Fehler- oder Mängellisten übersehen werden.

Sicherheitsbedarf erkennen und handeln

Eine SAP-Schwachstellenanalyse zeigt in kürzester Zeit die aktuelle Risikosituation auf. Auswirkungen sowie der von einer Schwachstelle ausgehende potenzielle Schaden werden analysiert und bewertet. Zudem wird die Wahrscheinlichkeit, mit der ein Schaden eintritt, angegeben.

Die „Virtual Forge Schwachstellenanalyse“ bietet eine schnelle und einfache Möglichkeit ein SAP-System ganzheitlich zu analysieren und zu bewerten. Die Sicherheitsprüfung beinhaltet die Bereiche System, Code und Transporte. Hierbei werden kundeneigener Code, Konfigurationen und Basisberechtigungen sowie die Transporthistorie unter die Lupe genommen.

Die Analyse und Präsentation der Ergebnisse erfolgt durch erfahrene SAP-Sicherheitsberater. Die gefundenen Schwachstellen werden in einem übersichtlichen PDF-Report zur Verfügung gestellt. Zudem beinhalten die Ergebnisse eine detaillierte Beschreibung der Codemetrik, die auf unserem Benchmark von über 350 analysierten SAP-Systemen basiert.

Understand Your Risk!

Lesen Sie im ersten Teil des Blogposts mit welche Herausforderungen CIOs konfrontiert sind.

Bild: www.freepik.com

Topics: UnderstandYourRisk



@Virtual_Forge auf Social Media:

social_twitter_active.png social_xing_active.png social_linkedin_active.png social_google_active.png