SAP Security: 5 Schritte zum sicheren ERP

SAP-Systeme geraten verstärkt ins Visier krimineller Hacker. Wir zeigen Ihnen, wie Sie in 5 Schritten zum sicheren ERP-System kommen. [...]

Immer mehr Hacker haben es auch auf die Daten in den ERP-Systemem abgesehen. Lesen Sie, wie Sie in 5 Schritten entgegenwirken (c) pixabay.com

Obwohl Systeme für das Enterprise Resource Planning (ERP) das Herzstück der Unternehmens-IT bilden, fristet das Thema Sicherheit an dieser Stelle vielerorts noch ein Schattendasein. Mit gravierenden Folgen, wie eine IDC-Umfrage unter IT-Entscheidern aus Unternehmen zeigt, die mit SAP oder der Oracle E-Business Suite arbeiten. So geben 64 Prozent an, dass es bei ihren ERP-Systemen in den vergangenen zwei Jahren zu Datendiebstählen kam.

Besonders interessiert zeigten sich die Angreifer an Vertriebs- und personenbezogenen Kundendaten, geistigem Eigentum und Finanzdaten, die einen Hebel für Insiderhandel, Absprachen und Betrugsdelikte bieten. Zwei Drittel der befragten CIOs schätzen, dass die durch Angriffe verursachten ERP-Ausfallzeiten ihr Unternehmen durchschnittlich 50.000 US-Dollar jede Stunde kosten.

1. Bewusstsein erzeugen und Strategie aufsetzen

Da die Hacker oft in die SAP-Systeme eindringen, ohne Spuren zu hinterlassen, dauert es einer Studie von Accenture zufolge im Durchschnitt bis zu 80 Tage, bis die Angriffe überhaupt entdeckt werden. Weitere 50 Tage werden benötigt, um einen Vorfall zu beheben und die Sicherheitslücke zu schließen.

Angesichts der damit verbundenen, enormen Risiken sollte jedes SAP-Anwenderunternehmen eine ganzheitliche SAP-Sicherheitsstrategie entwickeln, die sämtliche relevanten Prüfbereiche einbezieht: von ABAP-Eigenentwicklungen und Schnittstellen über Sicherheitsupdates und Protokollierungen bis hin zu Transporten, Systemkonfigurationen und RFC (Remote Function Call)-Verbindungen.

2. Transparenz über SAP-Risiken schaffen

CIOs brauchen umfassende Transparenz, um den SAP-Sicherheitsstatus beurteilen zu können. Diese Transparenz ist mit dem weitverbreiteten „Three Lines of Defense“-Modell, das sie mit Berichten aus drei verschiedenen Abteilungen versorgt, nicht zu erreichen.

  1. Da sind zum einen die Reports aus der SAP-Abteilung, die meist nicht alle sicherheitsrelevanten Aspekte enthalten. Denn welcher Entwickler gibt schon gerne zu, fehlerhaften ABAP-Eigencode produziert zu haben und für unzureichende Systemeinstellungen verantwortlich zu sein?
  2. Die zweite Säule, die IT-Sicherheitsabteilung, ist sich der SAP-Risiken meist gar nicht bewusst, da sie kein SAP-Wissen besitzt. Läuft in der SAP-Landschaft etwas schief, können die Verantwortlichen die entsprechenden Warnhinweise aus den IT-Kontrollsystemen nicht richtig deuten.
  3. Ähnliche Know-how-Defizite weist die dritte Säule – die interne Revision – auf. Auch wenn sie häufig externe Dienstleister mit der Erstellung von SAP-Penetrationstests beauftragt, leitet sie die Resultate dann einfach an die SAP-Abteilung weiter, ohne die eigentlichen Probleme zu verstehen.

Die IT-Verantwortlichen sind daher gut beraten, sich selbst Transparenz über die aktuellen SAP-Risiken zu verschaffen. Ein erster Schritt ist eine automatische Schwachstellen-Analyse, die Kundencode, Systemkonfigurationen, Basisberechtigungen und Transporthistorie unter die Lupe nimmt und bewertet. Dadurch können Schwachstellen identifiziert, beseitigt und gezielte Maßnahmen ergriffen werden, um künftige SAP-Sicherheitslücken zu vermeiden. Wichtig ist, dass das dabei erlangte Sicherheitsverständnis von allen Bereichen im Unternehmen geteilt wird und nicht an Abteilungsgrenzen endet.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

3. Drahtseilakt zwischen Kosten und Sicherheit meistern

CIOs stehen vor der großen Herausforderung, eine Balance zwischen Kosten und Sicherheit zu finden. Denn sie sind längst nicht mehr nur für die IT-Infrastruktur im Unternehmen verantwortlich, sondern müssen im Zuge der Digitalisierung eine immer größere strategische Rolle einnehmen und als Treiber der Wertschöpfung agieren. Sie werden verstärkt am Umsatzwachstum gemessen und müssen gewährleisten, dass ihre IT-Ausgaben einen hohen Return on Investment (RoI) erzielen.

Zugleich sind die IT-Verantwortlichen zunehmend gezwungen, sich mit der Abwehr von Sicherheitsbedrohungen zu beschäftigen. Diese Risiken gehen nicht nur von externen Hackern aus – gerade im SAP-Umfeld sind viele Attacken durch die eigenen Mitarbeiter zu verzeichnen. Investieren CIOs zu wenig in eine nachhaltige IT- und SAP-Sicherheitsstrategie, kann dies verheerende Schäden für ihr Unternehmen nach sich ziehen.

Neben den Ausgaben für die Erkennung und Behebung erfolgter Angriffe sind hier vor allem die Kosten zu nennen, die durch Wirtschaftsspionage, Datenmanipulation und Datendiebstahl, durch Strafgelder und Systemausfallzeiten entstehen. Zugleich sind Sicherheitsvorfälle oft mit hohen Image- und Vertrauensverlusten in der Öffentlichkeit verbunden.

4. Gesetzliche Vorschriften als Chance begreifen

Parallel zu den Cyber-Angriffen auf die SAP-Systeme wächst die Zahl der externen Compliance- und Sicherheitsrichtlinien. Besondere Anforderungen an die CIOs stellt nach wie vor die EU-Datenschutz-Grundverordnung (DSGVO), die strenge Regeln zur Verarbeitung personenbezogener Daten formuliert. Ihr Ziel ist es, die Vertraulichkeit und den Schutz der Daten zu gewährleisten und den betroffenen Personen bestimmte Rechte zu verleihen. Dazu werden die Unternehmen zur sicheren Verwaltung der Daten verpflichtet. So muss jederzeit Transparenz darüber herrschen, welche Daten wo gespeichert sind, von wem sie auf welche Weise verarbeitet werden und wer die Verantwortung im Falle eines Datenmissbrauchs trägt.
Es gibt aber auch weitere Regularien, die Sicherheitsverantwortliche ggf. auf ihrem Radarschirm haben müssen wie z.B. das IT Sicherheitsgesetz (Schutz kritischer Infrastrukturen), KonTraG oder GoBD. Hinzu kommen noch die Gesetze mit direktem IT Bezug wie etwa das Telemediengesetz.

Doch bietet die Umsetzung von Regularien und Gesetzen für die CIOs zugleich die Chance, noch gezielter an einer wirksamen IT- und SAP-Sicherheitsstrategie zu arbeiten. Denn sie erfordert vielfältige technische und organisatorische Maßnahmen, damit verhindert werden kann, dass kritische Daten vernichtet, verändert oder unbefugt offengelegt werden oder komplett verlorengehen. Verstößt ein Unternehmen gegen die Gesetze, drohen zusätzlich zu den finanziellen und Reputationsschäden immer öfter drakonische Bußgelder, im Falle der DSGVO bis zu vier Prozent des weltweiten erzielten Jahresumsatzes oder bis zu 20 Millionen Euro.

5. Automatisierung als Patentrezept etablieren

Die Covid-19-Pandemie beschleunigt einige IT-Grands ungemein: Internet of Things (IoT), digitale Transformation und Cloud-Services werden massiv ausgebaut. Mit diesen großen Zukunftstrends wachsen jedoch auch die ERP-Angriffsflächen rapide. So bedingt die zunehmende Vernetzung unter anderem einen Anstieg der Schnittstellen, die Einfallstore in die SAP-Systeme bieten können. Dies macht es umso dringlicher, dass die SAP-Sicherheitsmaßnahmen, für die sich ein CIO heute entscheidet, nachhaltig greifen und sämtliche sicherheitsrelevanten Bereiche einbeziehen.

Dazu bieten sich automatische Analysen und Bewertungen der einzelnen Prüfbereiche an, da manuelle Kontrollen viel zu aufwendig und mit hohen Qualitätsmängeln behaftet sind. Zudem lässt sich durch ein kontinuierliches Monitoring erreichen, dass die Verantwortlichen bei Sicherheitsvorfällen zeitnah Warnhinweise erhalten und entgegensteuern können.

Unternehmen sollten geeignete Werkzeuge von Anfang an in die SAP-Entwicklungsprozesse einbeziehen. Dies gilt gerade für das DevOps-Konzept, das einen kontinuierlich großen Durchsatz mit Agilität und hohen Qualitätsansprüchen kombiniert. Hier bietet sich mit Secure DevOps ein neuer technischer Sicherheitsansatz an, der geeignete Prüfwerkzeuge koppelt, um den Sicherheitsanforderungen im gesamten SAP-Software-Lebenszyklus zu begegnen.

*Dr. Markus Schumacher berät IT Unternehmen strategisch beim Wachstum. Er war zuvor General Manager Europe bei Onapsis, an die er seine Firma Virtual Forge Mitte 2019 verkauft hat. Als Mitgründer, CEO und Geschäftsführer der Virtual Forge GmbH arbeitete er als Experte für Cybersecurity im ERP-Betrieb. Zuvor war er Repräsentant des Fraunhofer Instituts für Sichere IT (SIT) und leitete den Bereich „Security and Embedded Devices“. Davor arbeitete er bei SAP als Produktmanager (SAP NetWeaver Security) und Leiter des TCO-Projekts im Bereich der damals neuen Business ByDesign-Lösung.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*