Soccer team in a huddle

Sicherheitslücken in SAP-Software – das ist wirklich dran

Feature | 11. November 2015 von Rajiv Sekhri 0

„Teilweise erhebliche Sicherheitslücken in SAP-Software entdeckt“: Regelmäßig tauchen Meldungen dieser Art in der Presse auf und verunsichern Kunden. In der Regel stammen diese Aussagen von Unternehmen, die auf Softwaresicherheit spezialisiert sind. Und das ist gut so, denn SAP arbeitet mit diesen Spezialisten partnerschaftlich zusammen.

Erfolgreiche Anbieter für Sicherheitslösungen wie Onapsis, ERPScan, ERPSecurity – um nur einige zu nennen – nehmen regelmäßig die Produkte großer Softwareunternehmen unter die Lupe, darunter natürlich auch jene von SAP. Der Vorteil: Spezialisten geben die gefundenen Sicherheitslücken frühzeitig weiter, so dass SAP schnell reagieren und Patches bereitstellen kann.

An jedem zweiten Dienstag im Monat – dem sogenannten Security Patch Day – gibt SAP diese Patches für Kunden frei. Anschließend veröffentlichen die Sicherheitsfirmen, zu denen auch Core Security, TrustWave, Spider Labs, ESNC, Sense of Security und ZDI gehören, ihre Untersuchungsergebnisse, zum Beispiel in Form von Pressemeldungen. Damit können sie sich als Sicherheitsexperten positionieren und parallel ihre Lösungen und Services anbieten. „Verantwortungsvolles Offenlegen von Sicherheitslücken“ – so nennt sich dieses Verfahren, bei dem Sicherheitslöcher erst nach dem Bereitstellen von Sicherheitspatches bekannt gegeben werden.

„Durch die Zusammenarbeit mit externen Unternehmen für Softwaresicherheit stellt das SAP Product Security Response Team (SAP PSRT) eben dieses verantwortungsvolle Offenlegen von Software-Lücken sicher“, sagt Siddhartha Rao, verantwortlich für den Bereich Products Security Response bei SAP.

„Unternehmen wie Onapsis und ERPScan arbeiten eng mit SAP PSRT zusammen. Sie sorgen somit dafür, dass Fixes für die von ihnen entdeckten Sicherheitslöcher vorhanden sind, bevor die Schwachstellen öffentlich bekannt werden. Ihre Blogs und Artikel beziehen sich oft auf die von PSRT veröffentlichten Sicherheitshinweise“, erklärt Rao. „Dadurch demonstriert SAP, dass wir über einen ausgereiften Reaktionsprozess bei Sicherheitsrisiken verfügen. Und wir präsentieren uns als verantwortungsvoller Anbieter von Produkten und Cloud-Services.“

Blogs oder Pressemitteilungen von Onapsis und anderen Unternehmen werden im Zusammenhang mit speziellen Veranstaltungen wie etwa Sicherheitskonferenzen oder der turnusmäßigen Freigabe von Softwarepatches durch die SAP veröffentlicht.

Sicherheit – das große Thema der IT-Branche

Keine Frage, als weltweit führendes Unternehmen im Bereich Unternehmenssoftware nimmt SAP die Sicherheit von Kundendaten sehr ernst. Das spiegelt sich auch in den Entwicklungsprozessen bei SAP wider, die auf einer umfassenden, unternehmensweiten Sicherheitsstrategie („Vorbeugen – Aufdecken – Reagieren“) basieren. Regelmäßige Schulungen und klare Prozesse schaffen unter anderem die Voraussetzung für sichere Produkte und Services.

Fakt ist: Partnerschaften mit externen Sicherheitsexperten sind für SAP und andere Softwareunternehmen eine von vielen Möglichkeiten, um Kunden sichere und zuverlässige Softwarelösungen zur Verfügung stellen zu können.

Auch wenn die Schlagzeilen auf den ersten Blick einen anderen Eindruck vermitteln: SAP-Software hilft Kunden sicher zu arbeiten – und dies seit über 40 Jahren. Dazu tragen auch die Forscher und IT-Sicherheitsexperten von Unternehmen wie Onapsis bei, die uns dabei unterstützen, Sicherheitslücken aufzudecken und zu beseitigen.

Tags:

Leave a Reply