SAP-Systeme: gefährdet und schützenswert zugleich
SAP-Systeme sind komplex, da sie neben den eigentlichen Applikationen annähernd eine eigene IT-Infrastruktur bieten. Innerhalb dieser komplexen Welt gibt es etliche sicherheitsrelevante Einstellungen, deren richtiges Setzen in der Verantwortung des Anwenderunternehmens liegt. Anhand von drei Beispielen lässt sich das erläutern. Ein beliebtes Einfallstor für Angreifer sind Standard-Nutzer und deren Passwörter. Ein prominentes Beispiel für einen Sicherheitsvorfall, bei dem diese Lücke ausgenutzt wurde, ist Equifax. Hier wurden 143 Millionen Datensätze entwendet, weil das Standardpasswort eines Standardbenutzers einer Datenbank nicht geändert wurde. Die Kombination lautete "admin/admin".Jedes neu aufgesetzte SAP-System enthält gleich mehrere solcher Standardbenutzer mit umfangreichen Berechtigungen. Dies sind jedoch nur wenige von mehreren Tausend Einstellungen, die Angreifer nutzen können.
Eine weitere Problematik sind die Sicherheitshinweise. Diese Monat für Monat einzuspielen, ist nicht in jedem Fall machbar, weil hierfür aufwendige manuelle Nacharbeiten notwendig wären oder ein für die Produktion relevantes System heruntergefahren werden müsste. Erschwerend kommt hinzu, dass die Sicherheitshinweise natürlich auch von Angreifern gelesen werden, wodurch sie stets über Lücken informiert sind. Nicht zuletzt gehen kundeneigene Funktionserweiterungen und Applikationen mit Risiken einher. Allein für solche Anpassungen enthält jedes SAP-System laut Experten rund 2.000 Sicherheitslücken, von denen sich jede dazu eignet, das System zu kapern. Doch wie können sich Unternehmen schützen?
Eine weitere Problematik sind die Sicherheitshinweise. Diese Monat für Monat einzuspielen, ist nicht in jedem Fall machbar, weil hierfür aufwendige manuelle Nacharbeiten notwendig wären oder ein für die Produktion relevantes System heruntergefahren werden müsste. Erschwerend kommt hinzu, dass die Sicherheitshinweise natürlich auch von Angreifern gelesen werden, wodurch sie stets über Lücken informiert sind. Nicht zuletzt gehen kundeneigene Funktionserweiterungen und Applikationen mit Risiken einher. Allein für solche Anpassungen enthält jedes SAP-System laut Experten rund 2.000 Sicherheitslücken, von denen sich jede dazu eignet, das System zu kapern. Doch wie können sich Unternehmen schützen?
ZUM THEMA:
Ganzheitlicher Ansatz für SAP Security & Compliance erforderlich
Eine konsistente und belastbare SAP Security & Compliance erreichen Unternehmen nur durch ganzheitliche Ansätze. Diese müssen insbesondere drei Aspekte abdecken:
• Platform Security - hierzu gehört die Sicherheit der Einstellungen und Schnittstellen, aber auch die Applikationssicherheit von eigenentwickeltem ABAP-Code
• Rollen und Berechtigungen - welche Rechte und Zugriffsmöglichkeiten jeder Nutzer hat, ist nicht nur für die Sicherheit der SAP-Systeme von Bedeutung, sondern sorgt auch für einen hohen Compliance-Standard.
• Security Intelligence - um Angriffe auf die Systeme rechtzeitig zu erkennen, Risiken abzuschätzen und jederzeit eine Übersicht über den Sicherheitsstatus der SAP-Systeme zu haben, ist ein kontinuierliches Monitoring unabdingbar.
Bewährt hat sich eine dreistufige Vorgehensweise, bei der zunächst eine Analyse aktueller Schwachstellen erfolgt. Im zweiten Schritt werden die Lücken geschlossen. Schließlich muss im dritten Schritt gewährleistet werden, dass keine neuen Sicherheitslücken entstehen. Aufgrund der Komplexität von SAP-Installationen ist dieser Ansatz der SAP-Security & Compliance selbstverständlich ressourcenintensiv. Um den Aufwand zu reduzieren, empfiehlt es sich, auf automatisierte Lösungen zurückzugreifen, die alle der drei oben genannten Bereiche abdecken. Auch die Vollständigkeit muss gewährleistet sein. Orientierung bieten Richtlinien wie der Prüfleitfaden der DSAG.
Die gewählte Lösung für SAP Security & Compliance sollte sich zudem erweitern lassen und fortlaufend aktualisiert werden. In vielen Fällen ist an dieser Stelle Beratung durch Experten empfehlenswert. Wer vor der notwendigen ressourcenintensiven Ausbildung der eigenen Mitarbeiter zurückschreckt, kann für die Sicherheit der SAP-Systeme auf einen Managed Service zurückgreifen.
Als einer der wenigen Anbieter bietet SAST SOLUTIONS Managed Services im Bereich SAP Security - so können in kurzer Zeit die Systeme durch erfahrene Experten geschützt und abgesichert werden.
Die Umstellung auf S/4 HANA, die spätestens 2025 von allen SAP-Kunden abgeschlossen werden muss, bietet eine gute Gelegenheit, die Sicherheit der SAP-Systeme von Anfang an mit einzuplanen. Aber auch hier liegt der Teufel im Detail: S/4-HANA-Systeme stellen eine technologisch neue Plattform dar, daher spielen neben den oben angesprochenen Problematiken weitere Themen eine Rolle, um die neuen S/4-HANA-Systeme gut abzusichern.
• Platform Security - hierzu gehört die Sicherheit der Einstellungen und Schnittstellen, aber auch die Applikationssicherheit von eigenentwickeltem ABAP-Code
• Rollen und Berechtigungen - welche Rechte und Zugriffsmöglichkeiten jeder Nutzer hat, ist nicht nur für die Sicherheit der SAP-Systeme von Bedeutung, sondern sorgt auch für einen hohen Compliance-Standard.
• Security Intelligence - um Angriffe auf die Systeme rechtzeitig zu erkennen, Risiken abzuschätzen und jederzeit eine Übersicht über den Sicherheitsstatus der SAP-Systeme zu haben, ist ein kontinuierliches Monitoring unabdingbar.
Bewährt hat sich eine dreistufige Vorgehensweise, bei der zunächst eine Analyse aktueller Schwachstellen erfolgt. Im zweiten Schritt werden die Lücken geschlossen. Schließlich muss im dritten Schritt gewährleistet werden, dass keine neuen Sicherheitslücken entstehen. Aufgrund der Komplexität von SAP-Installationen ist dieser Ansatz der SAP-Security & Compliance selbstverständlich ressourcenintensiv. Um den Aufwand zu reduzieren, empfiehlt es sich, auf automatisierte Lösungen zurückzugreifen, die alle der drei oben genannten Bereiche abdecken. Auch die Vollständigkeit muss gewährleistet sein. Orientierung bieten Richtlinien wie der Prüfleitfaden der DSAG.
Die gewählte Lösung für SAP Security & Compliance sollte sich zudem erweitern lassen und fortlaufend aktualisiert werden. In vielen Fällen ist an dieser Stelle Beratung durch Experten empfehlenswert. Wer vor der notwendigen ressourcenintensiven Ausbildung der eigenen Mitarbeiter zurückschreckt, kann für die Sicherheit der SAP-Systeme auf einen Managed Service zurückgreifen.
Als einer der wenigen Anbieter bietet SAST SOLUTIONS Managed Services im Bereich SAP Security - so können in kurzer Zeit die Systeme durch erfahrene Experten geschützt und abgesichert werden.
Die Umstellung auf S/4 HANA, die spätestens 2025 von allen SAP-Kunden abgeschlossen werden muss, bietet eine gute Gelegenheit, die Sicherheit der SAP-Systeme von Anfang an mit einzuplanen. Aber auch hier liegt der Teufel im Detail: S/4-HANA-Systeme stellen eine technologisch neue Plattform dar, daher spielen neben den oben angesprochenen Problematiken weitere Themen eine Rolle, um die neuen S/4-HANA-Systeme gut abzusichern.
Nur wenige Spezialisten verfügbar
Nur wenige Dienstleister haben sich hierzulande auf den Bereich SAP Security & Compliance spezialisiert. Einer davon ist das international tätige IT-Beratungsunternehmen AKQUINET. Im SAP-Umfeld gilt AKQUINET als Experte für die Echtzeit-Absicherung von ERP- und S/4-HANA-Systemen. Mit einer eigenentwickelten Software, Consulting-Leistungen und Managed Services schützt das SAST SOLUTIONS-Portfolio von AKQUINET vollumfänglich vor Datendiebstahl, Cyber-Angriffen und Spionage.
