Spektakuläre Cyberangriffe erschüttern Wirtschaft und Politik. Sogar Arzneimittelhersteller und Krankenhäuser werden zu Opfern von Erpressern. Was tun? Deloitte und SAP raten zu einer ganzheitlichen Security-Strategie.
Im Dezember 2020 entdeckte ein US-Softwareunternehmen die größte Cyberattacke aller Zeiten: Bereits ein Jahr zuvor waren Angreifer tief in die konzerninternen Netzwerke eingedrungen. In den folgenden Monaten infizierten sie von dort aus mit Spionagesoftware rund 18.000 Firmen und Behörden, darunter nahezu alle Fortune-500-Unternehmen, das US-Außenministerium und das Pentagon.
Der Fall zeigt die Risiken hochintegrierter, komplexer Landschaften: Die global vernetzten Systeme sind Schnellstraßen für Schadsoftware. „In den letzten Jahren sind auch die Security-Risiken für ERP-Systeme größer geworden“, sagt Dr. Roland Michalke, Director bei Deloitte. „Internet der Dinge, hybride Cloud-Landschaften, mobile Apps, neue ERP-Architekturen – alles ist in Bewegung. Früher musste man buchstäblich durchs Werkstor, um das System zu nutzen. Da fielen kleinere Sicherheitslücken kaum ins Gewicht. Doch heute werden genau diese Lücken zur Einladung an potenzielle Angreifer.“
Auf der Gegenseite formieren sich die Angreifer organisierter denn je. Neben den ohnehin bestens aufgestellten Geheimdiensten entstehen hochprofessionelle Gruppen, die wie reguläre Unternehmen arbeiten, inklusive 9-to-5-Arbeitszeiten für die Hacker. Neben den externen Angreifern bleiben weiterhin die eigenen Mitarbeiter, ob gewollt oder ungewollt, eine große Gefahr für die IT-Sicherheit – gerade auch, wenn sie remote arbeiten.
SAP-Systeme ganzheitlich absichern
Auch SAP-Systeme und -Anwendungen stehen unter Beschuss. Wie können sich die Anwender schützen? „Die Unternehmen haben in ihrer IT-Infrastruktur, also den Datenbanken, Betriebssystemen und Netzwerken, mehrheitlich bereits effektive Sicherheitsmaßnahmen etabliert“, sagt Steffen Trumpp, Solution Advisor Expert bei SAP. „Weniger im Fokus haben sie jedoch die Anwendungsschicht und die SAP-HANA-Datenbank – dabei liegen gerade hier kritische Daten, etwa zu Kunden, Gehältern, Finanzen.“ Matthias Sill, Senior Manager bei Deloitte, ergänzt: „Erschwerend kommt hinzu, dass IT-Security und SAP-Security in vielen Unternehmen als getrennte Bereiche angesehen werden und aus diesem Grund nicht optimal interagieren. Auch wenn einzelne Teams ihren jeweiligen Bereich gut im Griff haben: Eine einheitliche Gesamtstrategie ist aus Unternehmenssicht essentiell. Mitarbeiter, Organisation, Prozesse und Tools müssen aneinander ausgerichtet sein. IT-Security ist eben eine technologische, aber auch organisatorische und prozessuale Herausforderung.“
Spätestens wenn es um die Migration zu SAP S/4HANA gehe, müsse das Thema Security auch aus strategischer Sicht auf den Tisch, sagt Matthias Sill. Leider sei das nicht immer der Fall: „Viele Unternehmen haben stark individualisierte und historisch gewachsene Systeme und ziehen die Sicherheitslücken bei der Migration leider mit, weil der Fokus zunächst auf der Funktionalität und nicht konsequent auch auf der Security liegt. Das ist hochriskant! Security-Aspekte wie das User Management und konsequente Schwachstellenbereinigungen müssen in die Planung einbezogen werden.“
Die Sicherheitsthematik ist also vielschichtig – so vielschichtig, dass viele Entscheider vor dem schieren Umfang der Aufgabe kapitulieren und die notwendigen Maßnahmen hinauszögern. Wo können sie anfangen?
Eine zentrale Strategie ist der beste Schutz
„Der erste Schritt beginnt im Kopf“, sagt Steffen Trumpp. „Dem Business-Bereich fehlt es oft an Verständnis für komplexe Technologiethemen, das fängt schon bei den Fachbegriffen an. Es ist ein Dilemma: Wer über die Security entscheidet, kennt sich oft nur wenig in dem Thema aus – und wer sich auskennt, bekommt intern nicht die nötige Awareness.“ Schritt eins also besteht darin, das Management für Security-Themen zu sensibilisieren. Dann braucht es eine ganzheitliche Strategie, sagt Deloitte-Experte Matthias Sill: „Zwar haben einzelne Unternehmensbereiche oft eine Sicherheitsstrategie, doch es braucht unbedingt eine Gesamtbetrachtung. Und die gelingt nur mit Transparenz. Jedes Unternehmen hat seine ganz eigenen Datenjuwelen – beim Händler sind es vielleicht die Kundendaten, beim Hersteller die Baupläne. Hier gilt es mit der Frage anzusetzen, was geschützt werden soll und auf welche Weise.“
Wenn die Unternehmen ihre wichtigsten Daten identifiziert haben, können sie diese unter Risikoaspekten analysieren, priorisieren und in einer Roadmap zusammenfassen. Dann erst lassen sich die Strategien für die Unterbereiche sinnvoll ausarbeiten. Insbesondere das Berechtigungskonzept rückt dabei in den Blick: Es muss beispielsweise klar sein, wer auf welche Rezepte oder Materiallisten zugreifen darf und wie die Informationen gesichert sind. Denn das bestgeschützte System bringt nichts, wenn Mitarbeiter die Daten herunterladen und in unverschlüsselten E-Mails versenden.
Erst wenn diese Hausaufgaben gemacht sind, geht es an die Auswahl der passenden Security-Werkzeuge, etwa automatisierte Monitoring-Tools, die die Verantwortlichen bei Sicherheitsvorfällen sofort warnen. Schritt für Schritt entsteht so ein starkes und vielschichtiges Bollwerk, das selbst vor den raffiniertesten Cyberangriffe schützt.
Webinar: SAP Security – Warum und warum jetzt?
Welche Bereiche erfordern Ihre besondere Aufmerksamkeit? Wie lassen sie sich organisatorisch, strategisch und technisch handhaben? Lernen Sie im kostenfreien Webinar von Deloitte und SAP einen ganzheitlichen Cybersecurity-Ansatz kennen am 24. März 2021 um 16 Uhr.