Deutsch | English | Español

SAP Security: Top Themen 2018

29. März 2018 | Von Lars Kehrel

SAP Security DSAG 2018In Zeiten von immer stärker verknüpften IT-Systemen und der wachsenden Relevanz von Systemen und Daten in den Geschäftsprozessen, nimmt auch das unternehmerische Risiko zu, welches die IT auf ihren Schultern trägt. 76% aller Transaktionsumsätze weltweit durchlaufen an mindestens einer Stelle ein SAP®-System!

Im Dezember 2017 und Januar 2018 lud die DSAG Arbeitsgruppe „SAP Security Vulnerability Management“ ihre Mitglieder und weitere Mitglieder der DSAG dazu ein, an einer Umfrage zum Thema SAP-Sicherheit teilzunehmen. Circa 180 Personen beantworteten die Fragen und sorgten somit für ein recht belastbares Ergebnis. Unter den Teilnehmern finden sich Basisadministratoren, Berater, Sicherheits-Spezialisten, Entwickler, CISOs und mehr. Im Folgenden werden einige Ergebnisse vorgestellt.

Aus der Auswertung der Studie leitet die Arbeitsgruppe mehrere Forderungen ab. Ganz oben steht der Wunsch nach mehr Security by Design und by Default (78% wünschen sich mehr „Security by Default“ seitens der SAP). So existieren viele sicherheitsrelevante Systemeinstellungen die bei der Standardauslieferung nicht aktiviert sind. Zum einen ist hier offensichtlich die SAP angesprochen, aber selbstverständlich lässt sich dies auch auf Drittanbieter-Lösungen übertragen. „Es bedarf deutlich mehr Standards und Unterstützung in diesem sensiblen Bereich. Wir wünschen uns hier eine noch engere Zusammenarbeit mit SAP“, erläutert DSAG-Technologievorstand Ralf Peters. (2) 

Als zweite wichtige Erkenntnis folgt der Wunsch nach besseren Sicherheitskonzepten. Da über 70% der Unternehmen kein zentrales SAP Security Dashboard im Einsatz haben, ist die Umsetzung, besonders aber das Monitoring solcher Aktivitäten nicht sehr effizient durchführbar. Die Nutzung des SAP Solution Managers scheint aktuell die naheliegende, aber nicht wirklich zufriedenstellende Lösung zu sein. Für die IT Security ist sicherlich auch eine saubere Anbindung an existierende SIEM-Systeme eine wichtige Funktionalität um die SAP-Landschaft als integrierten Teil der gesamten IT betrachten zu können. Hierbei besteht die Herausforderung auch darin, die Non-SAP-Spezialisten durch Technologien so zu befähigen, dass das Sicherheitsmonitoring und Reaktionen auf Risiken fachmännisch und zügig durchgeführt werden können.

Wie in jedem Bereich spielt natürlich auch bei der IT-Security das Thema Cloud eine wichtige Rolle. Mehr als jeder Zweite der Befragten hat SAP-Systeme mit einer Cloud verbunden. Es ist offensichtlich, dass sich diese Zahl mittelfristig Richtung 100% Marke bewegen wird. Die Integration verschiedener Cloud-Lösungen in bestehende Sicherheitskonzepte ist daher aktuell eine große Herausforderung. Interessanter Weise zeigt die DSAG-Umfrage jedoch auf, dass dieses Thema, trotz seiner Aktualität, wohl noch ein bisschen aufgeschoben wird und andere Themen derzeit akuter sind. Top-Themen sind Schnittstellen-Sicherheit, SAP-Sicherheitsrichtlinien und Schulungen.

Das ist ein Zeichen dafür, dass wichtige Grundlagen (Richtlinien, Schulungen, ...) in vielen Unternehmen heute nicht ausreichend vorhanden sind. Die Relevanz der Schnittstellen-Sicherheit ist auch uns, der Virtual Forge, durch die Entwicklungen der Vergangenheit bewusst geworden. Daher bilden wir die Schnittstellen-Sicherheit ausführlich in der Security Suite ab.

Wenn die Grundlagen fehlen, dann ist das häufig ein Zeichen dafür, dass die Kompetenzen für SAP- und die IT-Security in einem Unternehmen nicht gut genug verzahnt sind. Dies ist jedoch für ein effizientes Sicherheitsmanagement dringend nötig. SAP ist mehr als nur eine weitere Anwendung und beinhaltet in aller Regel die wichtigsten Daten der Unternehmen.

Eine bewährte Methode für eine deutliche Verbesserung der Sicherheit ist der sogenannte „Get Clean – Stay Clean“ Ansatz. Er besteht aus drei Teilen:

  • Understand Your Risk
    Hier wird der Status Quo analysiert und aus den Ergebnissen werden die nötigen Maßnahmen abgeleitet.

  • Get Clean
    Risiken, die in der Analyse aufgefallen sind, werden nach Dringlichkeit geclustert und in Arbeitspakete aufgeteilt. Nun beginnt das Bereinigen der Systeme.

  • Stay Clean
    Parallel zu „Get Clean“ werden Schutzwälle hochgezogen. In allen relevanten Bereichen werden Schutzmechanismen eingeführt. Eine Automatisierung vieler Prozesse ermöglicht ein ganzheitliches Abwehr-Management.

Wenn Sie mehr über die Sicherheit Ihrer SAP -Landschaft erfahren wollen stehen wir Ihnen gerne mit Rat und Tat zur Seite. Eine initiale Schwachstellenanalyse ist immer ein guter Start um das Thema SAP Security noch einmal frisch anzugehen oder um bestehende Maßnahmen zu kontrollieren. Kontaktieren Sie uns.

Topics: UnderstandYourRisk



@Virtual_Forge auf Social Media:

social_twitter_active.png social_xing_active.png social_linkedin_active.png social_google_active.png