Mehr Sicherheit vor Cyberkriminalität

Traditionelle Sicherheitskonzepte bieten in hybriden Cloud-Architekturen nicht genügend Schutz vor Cyber-Kriminalität. Welche Modelle im Kampf gegen Hacker bestehen.

Die Digitalisierung bietet der Wirtschaft immense Chancen. Doch sie hat auch Schattenseiten: Die übergreifende Vernetzung vergrößert Angriffsflächen für Cyberkriminelle. SAP steuert mit einem ganzheitlichen Sicherheitskonzept gegen.

Internet der Dinge vernetzt, macht aber auch angreifbar

In der digitalen Wirtschaft müssen Geschäftsinformationen jederzeit und überall für Kunden, Partner, Mitarbeiter und Management verfügbar sein. Echtzeitverarbeitung von Massendaten, Cloudlösungen und mobile Endgeräte ebnen den Weg dahin, bieten aber auch neue Ansatzpunkte für Datendiebe, Hacker und Co. Waren sensible Informationen früher „nur“ innerhalb der Unternehmensgrenzen zu schützen, werden sie heute in der Cloud gespeichert, über mobile Geräte abgerufen und über das Internet digital vernetzt genutzt (Industrie 4.0/Internet der Dinge).

„Traditionelle Firewalls und Perimeter-Sicherheit-Produkte bieten in Multi-Cloud-Architekturen, hybriden IT-Landschaften und verteilten Systemen keinen ausreichenden Schutz mehr“, sagt Ralph Salomon, Vice President – Secure Operations bei SAP. „Es braucht eine neue Generation von Sicherheitslösungen und ganzheitliche Konzepte, die das gesamte Ökosystem eines Unternehmens berücksichtigen.“ Schließlich könne eine vernetzte Wertschöpfungskette immer nur so viel Sicherheit bieten wie ihr schwächstes Glied.

SAP-Sicherheitskonzept für sicheren Cloud-Betrieb

Deshalb entwickelt SAP das umfassende Produkt- und Serviceportfolio konsequent weiter und unterstützt Unternehmen bei der Entwicklung und Umsetzung bedarfsgerechter Schutzmaßnahmen. Zugleich gewährleistet SAP auch den sicheren Betrieb der eigenen Cloudlösungen. „Unser Sicherheitskonzept basiert auf den drei Säulen Prävention, Erkennung und Reaktion“, erklärt Salomon. Dementsprechend deckt das SAP-Framework für sichere Produktentwicklung und den sicheren Cloud- und IT-Betrieb einerseits klassische Themen wie sichere Programmentwicklung, Zugriffskontrolle, Systemhärtung und Patch-Management ab. Andererseits ermöglicht ein umfassendes Monitoring SAP Global Security die schnellstmögliche Identifikation von Angriffen und Betrugsversuchen sowie die umgehende Umsetzung erforderlicher Schutz- und Bereinigungsmechanismen.

Ein Schwerpunkt liegt dabei auch darauf, Abweichungen von den im SAP-Framework definierten Sicherheitsstandards frühzeitig zu erkennen. „Dazu setzen wir beispielsweise automatische Prüfungen mittels SAP Solution Manager, die Anwendung SAP Enterprise Threat Detection und Partnerlösungen kombiniert mit (semi-)manuellen Prüfungen ein“, verdeutlicht der Experte. So gewährleistet SAP ein Sicherheitsniveau, das deutlich über internationale Compliancevorgaben hinausgeht.

Sicherheit muss an erster Stelle stehen

Und das ist auch gut so. Immerhin setzen Hunderttausende Unternehmen auf der ganzen Welt Anwendungen von SAP ein. „Aufgrund der hohen Verbreitung sind unsere Lösungen ein attraktives Ziel für Cyberkriminelle und müssen dementsprechend gut geschützt werden“, sagt Salomon. Umso wichtiger sei es, dass Unternehmen Sicherheitsupdates zeitnah einspielen und Cloudanwendungen durch die von SAP bereitgestellten Benutzerverwaltungs- und Authentifizierungsoptionen adäquat schützen.

Nach Ansicht des SAP-Experten gehört das Thema Sicherheit ganz oben auf die Agenda – und zwar auf Vorstands- bzw. Geschäftsführungsebene. Außerdem sei ein Umdenken erforderlich. Sicherheit dürfe nicht mehr als pure Notwendigkeit, sondern müsse als „Enabler“ neuer Geschäftsmodelle verstanden werden. „Compliance allein reicht auf Dauer nicht“, bringt Salomon künftige Anforderungen auf den Punkt. „Schließlich entsprach auch die Titanic gesetzlichen Vorschriften. Unsinkbar war sie trotzdem nicht.“

Sicherheitsziele für Cybersecurity

Wer in der digitalen Wirtschaft Erfolg haben will, braucht mehr als einen Schutzwall für die eigene IT-Infrastruktur. Vielmehr muss schon die DNA eingesetzter Lösungen umfassenden Schutz gegen Angriffe aus dem Cyberspace enthalten. SAP hat den erforderlichen Paradigmenwechsel in der Produktentwicklung bereits eingeläutet – und vier strategische Sicherheitsziele definiert, die bis 2020 umgesetzt werden sollen:

Zero Vulnerability: Sicherheitslücken in SAP-Produkten werden möglichst vollständig eliminiert. Das schiebt Angreifern und Datenklau von Haus aus einen Riegel vor.
Security by Default: SAP-Services und -Produkte werden auf höchster Sicherheitsstufe bereits vorkonfiguriert geliefert. Bei Bedarf können die strengen Schutzmechanismen vom Kunden risikogerecht entschärft werden.
Defendable Applications: Integrierte Selbstverteidigungsfunktionen tragen zur Sicherheit von SAP-Lösungen bei. Die Anwendungen erkennen potenzielle Bedrohungen von selbst und können entsprechende Schutzmechanismen automatisiert aktivieren.
Zero Knowledge: Zugriffsmöglichkeiten auf Clouddaten werden durch Verschlüsselungstechnologien möglichst weit eingeschränkt. Sollte ein Cyberkrimineller alle Sicherheitsschranken überwinden und in den Cloudspeicher eindringen, kann er nur die verschlüsselten Informationen einsehen und somit auch nichts damit anfangen.

„Das sind ehrgeizige Ziele. Wir werden sie aber erreichen“, ist Salomon überzeugt. Nicht zuletzt, weil SAP über langjähriges und branchenübergreifendes Know-how in der Entwicklung und Steuerung kritischer Geschäftssysteme und -prozesse verfügt und dieses Wissen in die Entwicklung von Sicherheitslösungen der nächsten Generation einbringen kann. Damit verfügt das Unternehmen über optimale Voraussetzungen, um in Sachen Sicherheit auch künftig die Nase vorn zu halten.

Der Artikel ist urprünglich in der Computerwoche erschienen.

Foto via Shutterstock