SAP-Sicherheit fürs Geschäft

Die sichere Abwicklung digitaler Geschäftsprozesse in SAP-Systemen ist auch für kleine und mittelständische Unternehmen von zentraler Bedeutung. Mittelständler sollten das Thema Sicherheit möglichst umfassend angehen. Bei SAP-Lösungen wird dem mit Rollen- und Berechtigungskonzepten und in allen Komponenten der IT-Infrastruktur Rechnung getragen. Da inzwischen zunehmend das Internet-Protokoll HTTP in Verbindung mit SAP-Software eingesetzt wird, sind auch Datenbanken grundsätzlich offen für externe Dokumente, und Anwender können via Internet auf die IT-Systeme ihrer Unternehmen zugreifen.

Schutz der operativen Systeme ausbauen

„SAP-Softwarelandschaften haben sich in den letzten Jahren nachhaltig verändert. Neue Technologien wie SAP NetWeaver eröffnen zwar vielfältige Möglichkeiten einer Internet-basierten Geschäftsabwicklung, erhöhen gleichzeitig aber auch die Gefahr des unautorisierten Zugriffs auf Daten und Applikationen“, konkretisiert Eric Rotzoll, Sicherheitsexperte für SAP-Anwendungen beim Bielefelder SAP-Dienstleister itelligence. „Das stellt uns künftig vor neue Herausforderungen, was die Sicherheit unserer Systeme betrifft“, erklärt er. Bei SAP-Anwendungen müssen deshalb alle Bereiche – Basistechnologie, Datenübertragung und -austausch, der Zugang zu den Systemen sowie Berechtigungen – entsprechend berücksichtigt werden.
Das Thema wird aufgrund der zunehmenden Integration von SAP-NetWeaver-Technologien wie SAP Enterprise Portal (SAP EP) oder SAP Business Intelligence (SAP BI) in mySAP-All-in-One-Branchenlösungen virulent, und zwar selbst für kleinere Mittelständler, die SAP Business One einsetzen. Deren Anbindung an eine Muttergesellschaft oder, im Fall von Zulieferern, an einen OEM erfolgt mittels SAP Exchange Infrastructure (SAP XI). Die Firmen müssen überdies den Schutz ihrer operativen Systeme ausbauen, da Computerviren schlimmstenfalls zu Störungen der SAP-Umgebung führen. Die Walldorfer haben darauf reagiert und ihr Prüfsiegel „SAP Certified Integration“ auch auf Schnittstellen für Virenscanner erweitert. Der erste zertifizierte Anbieter von Virenerkennungssoftware ist die H+BEDV Datentechnik in Tettnang mit der Produktlinie AntiVir. Mit dem geprüften AntiVir-Adapter können Administratoren von SAP-Systemen festlegen, welche Dokumente und Programmdateien beim Im- oder Export von SAP-Umgebungen überprüft werden müssen. Laut SAP gibt es aus verschiedenen sicherheitsrelevanten Technologiebereichen inzwischen über 50 zertifizierte Schnittstellen von Sicherheitssoftware für SAP-Lösungen. Dazu zählen digitale Signaturen, Verschlüsselung, Datensicherung auf externen Datenträgern (Secure Store and Forward), Directory Services, externe Authentifizierung, Risikomanagement, sichere Netzwerkkommunikation, Systemanalysen und Benutzerverwaltung.

SAP-Sicherheitsfeatures nutzen

Doch SAP-Anwendungen bringen „per se“ bereits umfangreiche Sicherheitsfeatures mit. Neben den „herkömmlichen“ Rollen- und Berechtigungskonzepten gehören dazu unter anderem Authentisierungsverfahren auf Basis von Single Sign On, Tokens, Zertifikaten oder PKI-Strukturen (Public Key Infrastructure). Schnittstellen werden durch Verschlüsselung, zum Beispiel via Secure Network Connections (SNC) beziehungsweise Secure Sockets Layers/Transport Layer Security (SSL/TLS), abgesichert. Das SSF (Secure Store & Forward) sorgt für Vertraulichkeit und Verbindlichkeit von Workflows, denn Daten im SAP-Umfeld können damit sowohl digital signiert als auch verschlüsselt werden. SAP stellt außerdem eine kryptografische Bibliothek zur Verfügung, um die Kommunikationspartner zuverlässig zu authentisieren und die Kommunikation zu verschlüsseln. Ein automatisierter Sicherheitscheck, der Security Optimization Service (SOS), analysiert Schwachstellen, etwa bei Benutzerrollen und Berechtigungskonzepten in SAP-Umgebungen, und fasst diese in einem Bericht zusammen. Der Dienst soll Administratoren dabei unterstützen, die Risikofaktoren im System schneller zu finden und zu eliminieren. In jedem Fall muss auch der Patchlevel der SAP-Systeme aktuell sein, die Lösungen müssen nach einem Sicherheitsleitfaden konfiguriert werden und die Kommunikation verschlüsselt erfolgen.

„Es gibt also zahlreiche Sicherheitsfunktionen in den SAP-Systemen“, fasst Eric Rotzoll zusammen. „Das Problem ist, dass viele SAP-Anwenderunternehmen sie nicht vollständig ausschöpfen.“ Eine Umfrage der Information Security Society of Switzerland (isss) unter rund 40 SAP-Anwenderunternehmen in der Schweiz bestätigt dies. Insgesamt bewertet Studienautor Jörg Altmeier, Geschäftsführer des IT-Beratungsunternehmens wikima4, den Stand der Sicherheit bei den in der Schweiz eingesetzten SAP-Systemen zwar als hoch, doch identifiziert er eine Reihe von Defiziten. So sieht sich beispielsweise jede zweite Firma mit zu vielen Authentifizierungsmechanismen konfrontiert, und auch die Standard-Werkzeuge der Systeme zum Sicherheitsmanagement werden zu wenig genutzt. Aufgrund mangelnden Sicherheitsbewusstseins gehen SAP-User überdies zu sorglos mit sensitiven Daten um. Das gilt vor allem beim Export von SAP-Daten zur Weiterverarbeitung in Office-Systemen sowie beim Drucken. Die besten Sicherheitsfunktionen und -initiativen bleiben wirkungslos, wenn sie nicht umgesetzt werden.

Informationssicherheit im Mittelstand stärken

Die SAP ist sich ihrer Verantwortung bei diesem Thema bewusst. So unterstützt der Konzern die Initiative „Deutschland sicher im Netz“ und will im Rahmen dieses Engagements vor allem kleine und mittelständische Unternehmen in Sachen Schutz der Geschäftsanwendungen aufklären und unterstützen. Dazu gehören Aspekte wie sichere Softwareentwicklung und, im Rahmen der universitären Ausbildung, die Themen sichere Programmierung und IT-Sicherheit.
Da gerade kleinere Firmen oft kaum genügend eigene Ressourcen haben, um alle Sicherheitsaspekte und -themen umfassend umzusetzen, wird die SAP einen Leitfaden veröffentlichen, der einen schnellen Überblick über relevante Aspekte der IT-Sicherheit liefert. Ziel ist es, das Bewusstsein der Anwender für das Thema zu stärken und in den Firmen auf breiter Basis zu verankern. Der Leitfaden soll im ersten Halbjahr 2005 verfügbar und allgemein zugänglich sein. Als Ergänzung dazu wird die SAP im Laufe des Jahres ihren Kunden ein kostenloses und automatisiertes Tool für Sicherheitschecks anbieten, mit dem wesentliche Infrastrukturen der SAP-Umgebung auf Schwachstellen und Sicherheitsrisiken überprüft werden können.

Mit Sicherheit profitablere Geschäfte

Um die Sicherheitsstandards ihrer Systeme langfristig zu gewährleisten, müssen SAP-Anwender diese aber auch regelmäßig in „Audits“ überprüfen und durch ein Gütesiegel dokumentieren. So werden eventuell vorhandene Schwächen erkannt und behoben, bevor sie teuer kommen, denn geprüfte Unternehmen sind im Schadensfall gegen Schadensersatzforderungen in jedem Fall besser abgedeckt als nicht geprüfte. Die rechtliche Verpflichtung ergibt sich hierfür insbesondere aus dem Gesellschaftsrecht bzw. dem KonTraG, dem „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“. Hat ein Mittelständler ein unternehmensweites Risikomanagement, das die IT mit umfasst, etabliert, kann sich dies positiv auf die Bewertung seiner Kreditwürdigkeit im Rahmen eines Basel-II-Ratings auswirken. „Erkennen Mittelständler die IT-Sicherheit als Möglichkeit, Geschäfte effizienter und somit profitabler zu machen, ist bereits viel erreicht“, fasst itelligence-Berater Rotzoll zusammen.

Drei Säulen

An der Entwicklung umfassender Sicherheitskonzepte führt deshalb kein Weg vorbei. Zur IT-Sicherheit gehören neben der Technologie auch die Bereiche „Organisation“ und „Menschen“. Im organisatorischen Bereich können fest definierte Rollen, Abläufe und Regeln dafür sorgen, dass Geschäftsprozesse reibungslos abgewickelt werden. Was die Technologie betrifft, „sollten nur die Services freigeschaltet werden, die auch gebraucht werden“, fordert Eric Rotzoll. Größte Schwachstelle ist jedoch immer noch der Mensch als dritte Säule, und deshalb wird es „eine hundertprozentige Sicherheit auch nie geben“, prophezeit Rotzoll.