Onapsis: Fünf-Punkte-Plan für eine effektive SAP-Sicherheitspolitik
SAP-Sicherheit als Teil der Gesamt-IT-Sicherheit
München/Boston, 06.06.2016 – Global-2000-Unternehmen stehen unter Druck: Ihre geschäftskritischen SAP-Implementierungen rücken zunehmend in den Fokus externer und interner Angreifer. Unternehmen stehen daher vor der Aufgabe, zum einen Technologien zur Sicherung von SAP-Systemen einzusetzen, zum anderen aber auch diese Werkzeuge in eine allgemeine Strategie zur Informationssicherheit einzubeziehen. Onapsis, globaler Experte für die Sicherheit dieser Unternehmensanwendungen, gibt auf Basis seiner langjährigen Erfahrung in der SAP-Cyber-Sicherheit fünf Tipps, wie Unternehmen ihre Sicherheitsprozesse effektiv einrichten können.
Eine Schlüsselkomponente für eine wirksame SAP-Sicherheitsstrategie ist der Einsatz kontextsensitiver Lösungen zur präventiven Kontrolle und Überwachung von Schwachstellen sowie zum Erkennen und sofortigen Reagieren auf ungewöhnliche Ereignisse und Zugriffe.
Solche Lösungen ermöglichen auch den Aufbau eines über Zuständigkeits- und Abteilungsgrenzen hinweg agierenden SAP-Sicherheits-Prozesses, welcher in die allgemeine IT-Sicherheitspolitik eingebunden ist. Mit den folgenden fünf Schritten können Unternehmen eine schlagkräftige Strategie für ihre SAP-Sicherheit etablieren:
1. SAP-Umgebung und -Topologie aufschlüsseln: Sicherheit beginnt mit der Analyse des gesamten Aufbaus der SAP-Infrastruktur. Das verschafft einen Überblick über die Art und Anzahl der einzelnen SAP-Systeme – auch der Systeme für Entwicklung und Qualitätsmanagement. Eine Topologie der SAP-Infrastruktur und aller Instanzen verbessert das Verständnis, welche Geschäftsprozesse ein System unterstützt und welche Informationen jedes einzelne System speichert und verarbeitet. Risiken lassen sich erst dann abschätzen, wenn man die im eigenen Unternehmen eingesetzten SAP-Systeme und ihre Interaktion vollständig kennt. Nur eine automatisierte Lösung zur Erfassung einer solchen Topologie bietet hinreichend schnelle Ergebnisse.
2. Potenziellen Risiken erkennen und bewerten: Der nächste Schritt ist die Bewertung von Schwachstellen und Risiken, die aus Fehlkonfigurationen in der Infrastruktur resultieren. Dazu benötigen die Verantwortlichen Informationen, welche Auswirkungen eine Fehlkonfiguration im unter anderem für die Datenübertragung und für die Vergabe von Zugriffsrechten zuständigen Transaktionslayers auf unternehmenskritische Geschäftsprozesse und Informationen haben kann. Die Bewertung der Risiken erfolgt dabei abhängig von den Anforderungen einer Branche oder einer individuellen Sicherheitspolitik. Im nächsten Schritt lassen sich die notwendigen Abwehrmaßnahmen priorisieren.
3. Beteiligte identifizieren: Für eine SAP-Infrastruktur sind meist mehrere Akteure zuständig. CIO und CFO fällen in der Regel Grundsatzentscheidungen über das Management der SAP-Infrastruktur inklusive IT-Sicherheitsinitiativen. Das Verwalten und Absichern der SAP-Umgebung übernehmen die IT- und SAP-Basis-Teams. Die Abteilung für Informationssicherheit ist hingegen selten involviert. Damit ein effizienter Sicherheitsprozess in Gang gesetzt werden kann, ist es aber wichtig, alle Beteiligten zu identifizieren, zu informieren und die jeweiligen Verantwortlichkeiten für die SAP-Sicherheit zu definieren.
4. Übergreifenden Aktionsplan definieren: Ein gemeinsamer, auf diesen Vorarbeiten basierender Aktionsplan nutzt das vorhandene IT-Sicherheits-Framework und integriert die SAP-Sicherheit in bestehende Sicherheitsinitiativen. Dafür bietet sich ein flexibler Ansatz an, der präventive, aufdeckende und reaktive Maßnahmen vereint. Der Plan basiert dabei auf den Top 20 CIS Critical Security Controls von sans.org. Darüber hinaus sollten Unternehmen Dienste implementieren, die stets über aktuelle allgemeine als auch SAP-spezifische IT-Sicherheitsrisiken informieren. Ein wichtiger Bestandteil des Aktionsplans ist die Aktualisierung von SAP-Systemen durch die Patches des Herstellers. Das Korrelieren von Schwachstellen mit den eigenen Sicherheitsanforderungen hilft, die gefährlichsten Risiken für das eigene Geschäft zu erkennen und geeignete IT-Sicherheitsmaßnahmen zu initiieren.
5. Fortschritt messen und kommunizieren: CISOs definieren im nächsten Schritt die gemeinsame Ziele der unternehmenseigenen SAP-Sicherheitspolitik und messen sowie kommunizieren die Fortschritte auf dem Weg dorthin. Aussagekräftige Berichte unterstützen die Teammitglieder dabei. Moderne Technologien können etwa Delta-Berichte jederzeit bereitstellen, welche die Veränderungen der Sicherheitskonfiguration dokumentieren.
Durch das Umsetzen dieser Schritte implementieren Unternehmen eine effiziente SAP-Sicherheit, um sich der sich verschärfenden Bedrohungssituation vorausschauend zu stellen.
Aktuell sieht Onapsis einen großen Nachholbedarf bei Unternehmen, der schon bei der strittigen oder nicht vorhandenen Zuteilung der Verantwortlichkeiten anfängt: „SAP-Fachabteilungen, Informationssicherheitsteams sowie CISOs und CDOs gehen oft nicht miteinander abgestimmt vor. Fachabteilungen konzentrieren sich mehr auf die Produktivität der SAP-Systeme“, sagt Mariano Nunez, CEO und Mitbegründer von Onapsis. „Der C-Level sieht bisweilen nicht, dass SAP-Sicherheit ein Bestandteil der übergreifenden IT-Sicherheitsstrategie sein muss. IT-Security-Administratoren fehlt oft der Überblick über die Geschäftsanwendungen und den Datenaustauch. Eine unklare Verteilung von Zuständigkeiten und geringer Informationsaustausch sind oft die Ursache für Mängel in der SAP-Sicherheit. Konsequente SAP-Sicherheitspolitik beginnt daher erst einmal mit der Schaffung einer Diskussionsgrundlage durch kontinuierliches Assessment und Bewertung von Risiken für alle Beteiligten. Doch diese Ergebnisse müssen auch in die allgemeine IT-Sicherheitspolitik eingebunden werden.“