SAP Security: 5 Schritte zum sicheren ERP

SAP-Systeme geraten verstärkt ins Visier krimineller Hacker. Wir zeigen Ihnen, wie Sie in 5 Schritten zum sicheren ERP-System kommen. [...]

Immer mehr Hacker haben es auch auf die Daten in den ERP-Systemem abgesehen. Lesen Sie, wie Sie in 5 Schritten entgegenwirken (c) pixabay.com

Obwohl Systeme für das Enterprise Resource Planning (ERP) das Herzstück der Unternehmens-IT bilden, fristet das Thema Sicherheit an dieser Stelle vielerorts noch ein Schattendasein. Mit gravierenden Folgen, wie eine IDC-Umfrage unter IT-Entscheidern aus Unternehmen zeigt, die mit SAP oder der Oracle E-Business Suite arbeiten. So geben 64 Prozent an, dass es bei ihren ERP-Systemen in den vergangenen zwei Jahren zu Datendiebstählen kam.

Besonders interessiert zeigten sich die Angreifer an Vertriebs- und personenbezogenen Kundendaten, geistigem Eigentum und Finanzdaten, die einen Hebel für Insiderhandel, Absprachen und Betrugsdelikte bieten. Zwei Drittel der befragten CIOs schätzen, dass die durch Angriffe verursachten ERP-Ausfallzeiten ihr Unternehmen durchschnittlich 50.000 US-Dollar jede Stunde kosten.

1. Bewusstsein erzeugen und Strategie aufsetzen

Da die Hacker oft in die SAP-Systeme eindringen, ohne Spuren zu hinterlassen, dauert es einer Studie von Accenture zufolge im Durchschnitt bis zu 80 Tage, bis die Angriffe überhaupt entdeckt werden. Weitere 50 Tage werden benötigt, um einen Vorfall zu beheben und die Sicherheitslücke zu schließen.

Angesichts der damit verbundenen, enormen Risiken sollte jedes SAP-Anwenderunternehmen eine ganzheitliche SAP-Sicherheitsstrategie entwickeln, die sämtliche relevanten Prüfbereiche einbezieht: von ABAP-Eigenentwicklungen und Schnittstellen über Sicherheitsupdates und Protokollierungen bis hin zu Transporten, Systemkonfigurationen und RFC (Remote Function Call)-Verbindungen.

2. Transparenz über SAP-Risiken schaffen

CIOs brauchen umfassende Transparenz, um den SAP-Sicherheitsstatus beurteilen zu können. Diese Transparenz ist mit dem weitverbreiteten „Three Lines of Defense“-Modell, das sie mit Berichten aus drei verschiedenen Abteilungen versorgt, nicht zu erreichen.

  1. Da sind zum einen die Reports aus der SAP-Abteilung, die meist nicht alle sicherheitsrelevanten Aspekte enthalten. Denn welcher Entwickler gibt schon gerne zu, fehlerhaften ABAP-Eigencode produziert zu haben und für unzureichende Systemeinstellungen verantwortlich zu sein?
  2. Die zweite Säule, die IT-Sicherheitsabteilung, ist sich der SAP-Risiken meist gar nicht bewusst, da sie kein SAP-Wissen besitzt. Läuft in der SAP-Landschaft etwas schief, können die Verantwortlichen die entsprechenden Warnhinweise aus den IT-Kontrollsystemen nicht richtig deuten.
  3. Ähnliche Know-how-Defizite weist die dritte Säule – die interne Revision – auf. Auch wenn sie häufig externe Dienstleister mit der Erstellung von SAP-Penetrationstests beauftragt, leitet sie die Resultate dann einfach an die SAP-Abteilung weiter, ohne die eigentlichen Probleme zu verstehen.

Die IT-Verantwortlichen sind daher gut beraten, sich selbst Transparenz über die aktuellen SAP-Risiken zu verschaffen. Ein erster Schritt ist eine automatische Schwachstellen-Analyse, die Kundencode, Systemkonfigurationen, Basisberechtigungen und Transporthistorie unter die Lupe nimmt und bewertet. Dadurch können Schwachstellen identifiziert, beseitigt und gezielte Maßnahmen ergriffen werden, um künftige SAP-Sicherheitslücken zu vermeiden. Wichtig ist, dass das dabei erlangte Sicherheitsverständnis von allen Bereichen im Unternehmen geteilt wird und nicht an Abteilungsgrenzen endet.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

3. Drahtseilakt zwischen Kosten und Sicherheit meistern

CIOs stehen vor der großen Herausforderung, eine Balance zwischen Kosten und Sicherheit zu finden. Denn sie sind längst nicht mehr nur für die IT-Infrastruktur im Unternehmen verantwortlich, sondern müssen im Zuge der Digitalisierung eine immer größere strategische Rolle einnehmen und als Treiber der Wertschöpfung agieren. Sie werden verstärkt am Umsatzwachstum gemessen und müssen gewährleisten, dass ihre IT-Ausgaben einen hohen Return on Investment (RoI) erzielen.

Zugleich sind die IT-Verantwortlichen zunehmend gezwungen, sich mit der Abwehr von Sicherheitsbedrohungen zu beschäftigen. Diese Risiken gehen nicht nur von externen Hackern aus – gerade im SAP-Umfeld sind viele Attacken durch die eigenen Mitarbeiter zu verzeichnen. Investieren CIOs zu wenig in eine nachhaltige IT- und SAP-Sicherheitsstrategie, kann dies verheerende Schäden für ihr Unternehmen nach sich ziehen.

Neben den Ausgaben für die Erkennung und Behebung erfolgter Angriffe sind hier vor allem die Kosten zu nennen, die durch Wirtschaftsspionage, Datenmanipulation und Datendiebstahl, durch Strafgelder und Systemausfallzeiten entstehen. Zugleich sind Sicherheitsvorfälle oft mit hohen Image- und Vertrauensverlusten in der Öffentlichkeit verbunden.

4. Gesetzliche Vorschriften als Chance begreifen

Parallel zu den Cyber-Angriffen auf die SAP-Systeme wächst die Zahl der externen Compliance- und Sicherheitsrichtlinien. Besondere Anforderungen an die CIOs stellt nach wie vor die EU-Datenschutz-Grundverordnung (DSGVO), die strenge Regeln zur Verarbeitung personenbezogener Daten formuliert. Ihr Ziel ist es, die Vertraulichkeit und den Schutz der Daten zu gewährleisten und den betroffenen Personen bestimmte Rechte zu verleihen. Dazu werden die Unternehmen zur sicheren Verwaltung der Daten verpflichtet. So muss jederzeit Transparenz darüber herrschen, welche Daten wo gespeichert sind, von wem sie auf welche Weise verarbeitet werden und wer die Verantwortung im Falle eines Datenmissbrauchs trägt.
Es gibt aber auch weitere Regularien, die Sicherheitsverantwortliche ggf. auf ihrem Radarschirm haben müssen wie z.B. das IT Sicherheitsgesetz (Schutz kritischer Infrastrukturen), KonTraG oder GoBD. Hinzu kommen noch die Gesetze mit direktem IT Bezug wie etwa das Telemediengesetz.

Doch bietet die Umsetzung von Regularien und Gesetzen für die CIOs zugleich die Chance, noch gezielter an einer wirksamen IT- und SAP-Sicherheitsstrategie zu arbeiten. Denn sie erfordert vielfältige technische und organisatorische Maßnahmen, damit verhindert werden kann, dass kritische Daten vernichtet, verändert oder unbefugt offengelegt werden oder komplett verlorengehen. Verstößt ein Unternehmen gegen die Gesetze, drohen zusätzlich zu den finanziellen und Reputationsschäden immer öfter drakonische Bußgelder, im Falle der DSGVO bis zu vier Prozent des weltweiten erzielten Jahresumsatzes oder bis zu 20 Millionen Euro.

5. Automatisierung als Patentrezept etablieren

Die Covid-19-Pandemie beschleunigt einige IT-Grands ungemein: Internet of Things (IoT), digitale Transformation und Cloud-Services werden massiv ausgebaut. Mit diesen großen Zukunftstrends wachsen jedoch auch die ERP-Angriffsflächen rapide. So bedingt die zunehmende Vernetzung unter anderem einen Anstieg der Schnittstellen, die Einfallstore in die SAP-Systeme bieten können. Dies macht es umso dringlicher, dass die SAP-Sicherheitsmaßnahmen, für die sich ein CIO heute entscheidet, nachhaltig greifen und sämtliche sicherheitsrelevanten Bereiche einbeziehen.

Dazu bieten sich automatische Analysen und Bewertungen der einzelnen Prüfbereiche an, da manuelle Kontrollen viel zu aufwendig und mit hohen Qualitätsmängeln behaftet sind. Zudem lässt sich durch ein kontinuierliches Monitoring erreichen, dass die Verantwortlichen bei Sicherheitsvorfällen zeitnah Warnhinweise erhalten und entgegensteuern können.

Unternehmen sollten geeignete Werkzeuge von Anfang an in die SAP-Entwicklungsprozesse einbeziehen. Dies gilt gerade für das DevOps-Konzept, das einen kontinuierlich großen Durchsatz mit Agilität und hohen Qualitätsansprüchen kombiniert. Hier bietet sich mit Secure DevOps ein neuer technischer Sicherheitsansatz an, der geeignete Prüfwerkzeuge koppelt, um den Sicherheitsanforderungen im gesamten SAP-Software-Lebenszyklus zu begegnen.

*Dr. Markus Schumacher berät IT Unternehmen strategisch beim Wachstum. Er war zuvor General Manager Europe bei Onapsis, an die er seine Firma Virtual Forge Mitte 2019 verkauft hat. Als Mitgründer, CEO und Geschäftsführer der Virtual Forge GmbH arbeitete er als Experte für Cybersecurity im ERP-Betrieb. Zuvor war er Repräsentant des Fraunhofer Instituts für Sichere IT (SIT) und leitete den Bereich „Security and Embedded Devices“. Davor arbeitete er bei SAP als Produktmanager (SAP NetWeaver Security) und Leiter des TCO-Projekts im Bereich der damals neuen Business ByDesign-Lösung.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*