Ex-Mitarbeiter, die alte Passwörter nutzen, Kollegen, die eine kritische Kombination aus Berechtigungen besitzen oder Hacker, die über Malware ins Unternehmen gelangen: Die IT-Sicherheit fordert die Unternehmens-IT.

Damit einerseits Hackerangriffe von Außen, aber auch betrügerische Aktivitäten vermieden und entdeckt werden können, hat die SAP ein Sicherheitskonzept entwickelt, das einerseits bestmögliche Prävention, im Ernstfall aber auch ein schnelles Eingreifen ermöglicht. Das Sicherheitskonzept von SAP besteht aus mehreren Schutzschichten. Das kann man sich so vorstellen: Innen laufen die Kernprozesse ab, etwa betriebswirtschaftliche Prozesse (SAP ERP), die Beschaffung (SAP SRM), Lösungen von Drittanbietern und die Datenbank. Immer mehr SAP-Kunden setzen die In-Memory-Plattform SAP HANA ein, etwa in Verbindung mit dem SAP Business Warehouse, dem Kundenmanagement (SAP CRM) oder entwickeln eigene Anwendungen auf der Cloud-basierten Plattform (SAP Cloud Platform).

Um diesen Kern an zu beschützenden Systemen und Anwendungen legen sich Sicherheitsschichten, die Eindringlinge abwehren.

IT-Sicherheit: Was präventiv zu tun ist

1. SAP Identity Management (SAP IDM): In den Systemen jedes Unternehmens befinden sich unterschiedliche User mit individuellen Passwörtern und Berechtigungen. Mit SAP Identity Management lassen sich die User in den Systemen verwalten. Die Software stellt etwa sicher, dass ein neuer Mitarbeiter zunächst nur einen eingeschränkten Zugriff auf die Systeme bekommt, dass nachvollzogen werden kann, wer was macht, oder bei gekündigten Mitarbeitern zentral der Zugang zu den Systemen gekappt werden kann.

2. SAP Single Sign On (SSO): Vor allem um Usern den Umgang mit vielen hochkomplexen Passwörtern zu ersparen, gibt es das SAP Single Sign On (SSO). Der User loggt sich also einmalig über ein Passwort ein. Dann bekommt er ein sogenanntes Token, das seine Session-Informationen an die nachfolgenden Systeme weiter reicht. Vorteil auch für die IT-Sicherheit: Niemand legt mehr Excel-Listen mit den Zugangscodes auf den Bildschirm oder gar in die Dropbox bzw. klebt die Passwörter auf Post-ITs direkt an den Rechner.

3. SAP Access Control (SAP AC): Über SAP Access Control wird verhindert, dass etwa ein Bankangestellter eine Kombination von Zugriffsberechtigungen besitzt, die für das Unternehmen kritisch sind. Auf diese Weise gelang es vor ein paar Jahren einem Mitarbeiter der französischen Bank Société Générale, knapp fünf Milliarden Euro an einen fiktiven Lieferanten zu überweisen.

4. SAP Code Vulnerability Analyser (SAP CVA): Um sicherzustellen, dass von den Kunden selbst angepasste Software auf Basis der Programmiersprache ABAP keine Schwächen enthält, gibt es den SAP Code Vulnerability Analyser (CVA). Das Programm untersucht das „Customizing“, also hinzuprogrammierte Codezeilen des Kunden, in Hinsicht auf jene Fehler, die Hacker typischerweise angreifen. Das betrifft sämtliche Anpassungen an SAP ERP und SAP SRM.

SAP ETD: Wie sich Angriffe aufspüren und analysieren lassen

5. SAP Enterprise Threat Detection (SAP ETD): Hacker finden, isolieren und die Angriffe analysieren ist die Königsdisziplin der Hacker-Abwehr und die letzte und intelligenteste Schutzschicht. Während so genannte Security Information Event Manager (SIEM) sich üblicherweise auf die technischen Komponenten wie Netzwerke, Router und die Infrastruktur konzentrieren, fokussiert die Software von SAP, die so genannte SAP Enterprise Threat Detection (ETD), auf die zentralen Logfiles der genutzten Anwendungen, noch dazu in Echtzeit. Im SAP Security Monitoring Center, das SAP für sich selbst einsetzt, registrieren die Experten pro Stunde 1.000.000 Records, einzelne Einträge, die in Hinsicht auf etwaige Angriffe von Außen und Unregelmäßigkeiten hin untersucht werden müssen.