Entwicklungsgeschwindigkeit und Flexibilität bei der kundenspezifischen Programmierung sind die Grundpfeiler des weltweiten Erfolgs von SAP. Gleichzeitig bringt seine Anpassungsfähigkeit eine isolierte, auf einzelne Abteilungen beschränkte Sicht auf die Software mit sich. Das erschwert die Zuweisung wesentlicher IT-Sicherheitsaufgaben wie des Patchings. Lesen Sie in diesem Beitrag, wie SAP-Sicherheit nicht kompliziert sein muss.
SAP-Sicherheit muss nicht kompliziert sein
Die Tatsache, dass SAP-Verwaltungsdaten in Silos liegen, führt zu Tausenden von Konfigurationen. Sie verwirren jeden, der mit dem benutzerdefinierten Code nicht vertraut ist und erschweren eine Gesamtsicherung des SAP-Systems.
Patches sind das A und O
Neue Releasestände veröffentlicht SAP üblicherweise in vierteljährlichem Abstand. Schlecht beraten ist allerdings, wer sich in punkto Sicherheit ausschließlich auf diese Zyklen verlässt. Stattdessen sollte eine routinemäßige Wartung stattfinden. Patches müssen gründlich getestet und sofort eingespielt werden, um zu verhindern, dass Hacker bekannte Schwachstellen ausnutzen.
Durch ein automatisiertes Patch-Management können Unternehmen ihre SAP-Cybersicherheit signifikant verbessern. Zwar veröffentlicht SAP im Rahmen des monatlichen Security Patch Day sicherheitsrelevante Korrekturen für sein Produktportfolio. Dennoch sollten Unternehmen eigene, interne Sicherheitsrichtlinien entwickeln, um zusätzliche, umsetzbare Erkenntnisse zu gewinnen. Anhand einer risikobasierten Methodik gilt es zu klassifizieren, welche Daten vertraulich sind und welche Folgen ein Sicherheitsverstoß hätte. Anschließend sind geeignete Sicherheitsmaßnahmen zu ergreifen.
Neben der routinemäßigen Wartung muss man auch auf Notfall-Patches vorbereitet sein, wie z. B. Log4j. Leider gibt es für solche Patches kein vorgefertigtes Drehbuch. Hier heißt es, sofortige Entscheidungen auf Grundlage einzelner Anwendungsfälle zu treffen, die nicht auf geplante Ausfallzeiten warten können. Viele Patches erfordern außerdem eine manuelle Vor- und Nachbearbeitung, die nur geschulte Fachkräfte durchführen können.
Native SAP-Sicherheit braucht einen Schub
SAP-Sicherheit mit den systemeigenen Fähigkeiten aufrechtzuerhalten ist eine ständige Herausforderung. Es erfordert die manuelle Installation von Patches und Risikobewertungen und nicht jedes Unternehmen kann dafür einen eigenen SAP-Experten beschäftigen. Der Ausweg sind spezielle SAP-Sicherheitsplattformen mit Automatisierungslösungen für die kontinuierliche Überwachung. Bei der Auswertung von Sicherheitsprotokollen unterscheiden sie zwischen korrekten Ergebnissen und Fehlalarmen (sog. False Positives). Filterfunktionen ermöglichen es, Sicherheitsprobleme auf höherer Ebene sofort zu erkennen. Im Gegensatz zu nativen SAP-Sicherheitslösungen spüren Third-Party-Produkte auch Schwachstellen, Konfigurationsfehler und offene Schlupflöcher innerhalb der Sicherheitslage auf. Dies trägt zur Einrichtung eines einheitlichen SAP-Sicherheitskonzepts bei.
Überwachungslösungen von Drittanbietern können außerdem SAP-spezifische Informationen in eine universelle Sprache übersetzen, Silos aufbrechen und Daten für Sicherheitsteams aus allen Abteilungen zugänglich machen. Auf Basis dieser Informationen lässt sich eine klare Roadmap für ein SAP-Sicherheitskonzept erstellen, das mit anderen Sicherheitsmaßnahmen im gesamten Unternehmen abgestimmt ist.
Cloud-basiertes SAP – nicht nur ein Silberstreif am Horizont
Die Verlagerung von Workloads und Anwendungen in die Cloud bietet zwar einige Vorteile (keine Wartungsverträge mehr für Hardware, freie Rechenkapazitäten vor Ort etc.), doch es bedeutet auch: Wenn kritische Daten in die Cloud verlagert werden, sind eine kontinuierliche Überwachung und ein detaillierter Einblick in die Abläufe unabdingbar.
Auch wenn ein Cloud-Anbieter eine Anwendung hostet, liegt die Verantwortung für die Sicherheit immer noch beim Eigentümer der Anwendung. Außerdem ist der Anbieter nicht in vollem Umfang dafür verantwortlich, seine Kunden über interne Sicherheitsverletzungen zu informieren. Cloud-Kunden können sich bei der Überwachung der Cybersicherheit also nicht allein auf ihren Cloud-Host verlassen.
Laut Gartner werden bis 2025 nahezu 100 Prozent der Sicherheitsausfälle in der Cloud vom Kunden verschuldet sein. Deutlicher kann man nicht darstellen, dass ein Auslagern der gesamten Cybersicherheit nicht machbar ist und die letztendliche Verantwortung mit gemeinsam genutzten Cloud-Ressourcen in Konflikt steht. Unternehmen, die geschäftskritische Anwendungen wie SAP in die Cloud verlagern, sollten daher besonders vorsichtig sein. Denn damit einher gehen erhebliche Risiken für die Cybersicherheit wie unbefugter Datenzugriff, Account-Hijacking und Datenverlust.
Fazit
Ein hoher Grad an Individualisierung und die isolierten Ansichten von SAP entpuppen sich schnell als Risiko für die IT-Sicherheit. Auch die manuelle Anwendung von Patches und Risikobewertungen stellen eine ständige Herausforderung für SAP-Verantwortliche dar. SAP-Sicherheitsplattformen mit automatisierten Echtzeitlösungen sind hierfür die Lösung, insbesondere angesichts der zunehmenden Cloudifizierung von SAP-Systemen. Ihr Einsatz sollte gekoppelt werden mit Etablierung einer Zero-Trust-Policy zur kontinuierlichen Überwachung Cloud-basierter SAP-Systeme und einer klaren Roadmap für SAP-Sicherheitsprogramme in Abstimmung mit den bestehenden Sicherheitsmaßnahmen.