SAP-Sicherheitspolitik - 10 Fragen zur Selbstüberprüfung

07.11.2016

Onapsis stellt 10 Fragen zur Selbstüberprüfung der unternehmenseigenen SAP-Sicherheitspolitik

Sicherheit von SAP-Implementierungen erfordert Transparenz, Kommunikation, exakt definierte Prozesse und deren Dokumentation

München/Boston, 07.11.2016 – SAP-Sicherheit ist nicht nur ein Problem von nicht installierten Abwehrtechnologien. Diese lassen sich schnell einrichten. Die Experten von Onapsis stellen in ihren Gesprächen aber immer wieder fest, dass fehlende Transparenz, Kommunikation, unklare Prozesse und Verantwortlichkeiten die Hauptursachen für die Unsicherheit vieler SAP-Infrastrukturen sind. Onapsis, globaler Experte für die Sicherheit geschäftskritischer Applikationen, definiert daher einen kurzen Fragenkatalog, mit dem Verantwortliche Mängel in der eigenen SAP-Sicherheitspolitik entdecken können.

Larry-Ponemon-Studie

Im Februar 2016 wies eine Studie des Larry-Ponemon-Studie darauf hin, dass von weltweit befragten 607 Mitarbeitern aus verschiedenen Unternehmensbereichen von Global-2000-Unternehmen nur 21 Prozent glaubten, dass der C-Level im Unternehmen sich der Cyberrisiken für ihre SAP-Applikationen bewusst sei. 25 Prozent der Befragten gaben an, im Zweifelsfall sei niemand verantwortlich für die Sicherheit der SAP-Systeme. Nur jeder vierte traute seinem Unternehmen zu, Angriffe sofort zu entdecken – gerade mal jeder zweite (53 Prozent) innerhalb eines Jahres.

Sicherheit bedarf der Transparenz von Sicherheitslücken, der Kommunikation und einer umfassenden Sicherheitspolitik. Dabei müssen Prozesse der SAP-Sicherheit Teil der Gesamt-IT-Sicherheitspolitik sein. Zehn Fragen können hier für jeden Betreiber von Infrastrukturen als Checkliste dienen, wie es um seine SAP-Sicherheit bestellt ist:

1. Haben die Verantwortlichen einen Überblick über sämtliche geschäftskritischen Applikationen und die SAP-Infrastruktur – sowie über deren spezifische geschäftliche Relevanz (z. B. darin gespeicherte sensible Informationen, laufende Schlüsselprozesse und Zahl der Anwender, die die Services nutzen)?

2. Betreibt das Unternehmen geschäftskritische SAP-Applikationen, die über das Internet oder für Geschäftspartner sowie ausgegliederte Subunternehmer in fremden Ländern zugänglich sind?

3. Wie oft finden Besprechungen mit dem ERP-Sicherheitsteam statt und gegenüber wem ist dieses Team rechenschaftspflichtig?

4. Kennt das ERP-Sicherheitsteam die aktuellen Schwachstellen, Malware- und Hacker-Techniken, die es speziell auf SAP-Systeme abgesehen haben und wie werden solche Schwachstellen dokumentiert? Was ist, wenn ein Angreifer einen Exploit ausgenutzt hat, der bereits seit Jahren öffentlich bekannt ist?

5. Wer ist im Unternehmen für Verletzungen der Cyber-Sicherheit verantwortlich, die die ERP-Plattform beeinträchtigen?

6. Setzt das Unternehmen gegenwärtig ein Sicherheits- und Compliance-Audit- und Bewertungsprogramm von SAP um? Welche Techniken oder Dienste nutzt das Unternehmen dafür?

7. In welchen Zeiträumen werden Sicherheitspatches von SAP auf Applikationsebene implementiert? Wer definiert und priorisiert dabei, welche Patches angewendet werden sollen? Werden Patch-Prozesse dokumentiert?

8. Wissen die Verantwortlichen, ob ihre SAP-Systeme in der Vergangenheit angegriffen worden sind? Falls ja, welche Logging-Quellen oder forensische Lösungen setzen Sie zum Erkennen von schädlichen Aktivitäten ein?

9. Werden SAP-Systeme gegenwärtig auf Angriffe auf Applikationsebene überwacht? Auf auffälliges Nutzerverhalten? Wie?

10. Verfügt das Unternehmen über einen dokumentierten Plan zum Umgang mit der erhöhten Gefahr eines Angriffs auf geschäftskritische Applikationen?

„Diese Fragen können sich natürlich auch die Betreiber anderer Nicht-SAP-ERP-Systeme stellen. Unseren Erkenntnissen zufolge ist fast jede individuelle SAP-Implementierung beim Kunden unsicher. Auch die Lücken etwa in Oracle-basierten Systemen nehmen zu.“, sagt Mariano Nunez, Mitbegründer und CEO von Onapsis. „Diese Fragen spiegeln wieder, auf welche Defizite wir zum Teil bei Kunden treffen, die eigentlich ohne weiteres die technische Kompetenz haben, für die Sicherheit ihrer SAP-Implementierungen zu sorgen. Denn komplexe ERP-Infrastrukturen und ein Mangel an Ressourcen und Technologien können CEOs, CISOs, IT-Verantwortliche und Fachabteilungen in Unternehmen vor große Probleme stellen.“