Wer die Security stiefmütterlich behandelt, geht hohe Risiken ein. Diese Sachlage wird inzwischen auch von den Auditoren verstärkt geprüft. Der digitale Wandel bietet aber auch die große Chance für einen Neuanfang: Es gilt jetzt, (Daten-)Sicherheit ganzheitlich zu betrachten, Defizite abzustellen, Systeme von Grund auf sicher und compliancekonform zu planen sowie Folgekosten vorzubeugen. Ein neuer Ansatz von SAP unterstützt genau das.
Im Wochentakt berichten die Medien über Cyberangriffe auf Unternehmen. Im Fokus der Berichterstattung stehen meist spektakuläre Attacken auf Netzwerke und Infrastruktur. Tatsächlich aber droht die Gefahr häufig auch hinter dem äußeren Schutzwall: SAP-Anwendungen, die oft die wertvollsten Daten enthalten, werden zur Zielscheibe von internen oder externen Angreifern. Während die generelle Security die Mauern bewacht, schleichen Angreifer – unerkannt als Innentäter oder unter Missbrauch von Usern – hinter ihrem Rücken zur Schatzkammer. Martin Müller, Presales Senior Expert Security bei SAP: „Viele Unternehmen vernachlässigen den Themenkomplex SAP-Security. Manche verlassen sich auf ihren Hoster, andere auf die generelle Security-Abteilung. Die typischen Angriffe auf die SAP-Applikationsebene aber beachten sie nicht. Das kann gefährlich werden.“
SAP-Security leicht verständlich
Gerade Security-Chefs, die auf Non-SAP-Systeme fokussiert sind, fällt es häufig schwer, aktuelle Gefahren im SAP-Umfeld einzuschätzen und die richtigen Maßnahmen zu ergreifen. Das ist kein Wunder, denn Logik und Vokabular von SAP- und Non-SAP-Welt unterscheiden sich deutlich. Aber: Auch SAP-Security ist kein Hexenwerk.
„Stellen wir uns die IT-Sicherheit als ein Firmengebäude vor“, sagt Martin Müller. „Neue Businessprozesse haben dazu geführt, dass permanent Personen (eigene sowie externe Mitarbeiter, Lieferanten, Kunden …) unterschiedliche Aktivitäten im Gebäude selbst durchführen. Rein statische Analysen zur regelmäßigen Prüfung der Systemlandschaft reichen daher nicht aus. Neue Sicherheitskonzepte sind nötig, um diese Aktionen zu überwachen.“ Die Anwendung SAP Enterprise Threat Detection prüft auf Grundlage der unterschiedlichen SAP-Logfiles, ob es Auffälligkeiten in der SAP-IT-Landschaft gibt. Regelmäßig aktualisierte Muster entdecken die typischen Angriffsszenarien in Echtzeit, bevor der Datendiebstahl stattfinden kann – übrigens auch dann, wenn die Daten beim Hoster liegen. Darüber hinaus lassen sich die Anforderungen der Auditoren im Bereich SAP-Applikationssicherheit auf diese Weise einfach erfüllen, da alle Eventinformationen der entsprechenden Logfiles zentral gesammelt und ausgewertet werden.
Ganz ohne Menschen klappt das aber nicht: Die Anwendung schlägt bei einem Angriff zwar Alarm. Dann aber muss ein Experte den Vorfall prüfen und im Ernstfall wissen, wie er zu reagieren hat. IT-Komponenten können beispielsweise heruntergefahren werden, um einen Angriff zu stoppen. Bei SAP-Systemen kann dadurch jedoch ein noch größerer wirtschaftlicher Schaden entstehen. Martin Müller: „Es geht nicht zuletzt darum, die Verhältnismäßigkeit der Maßnahmen richtig einzuschätzen. Hierfür kommen nur Mitarbeiter mit SAP-Security-Know-how infrage. Viele Kunden haben Probleme damit, Mitarbeiter mit ausreichend SAP-Security-Kenntnissen zu finden, und wünschen sich deshalb, dass SAP hier direkt unterstützt. Denn ihre SAP-Teams sind oft bereits mit dem Betrieb und mit Innovationsprojekten ausgelastet und haben für Security-Vorfälle und eine umsichtige Reaktion kaum Zeit. Daher bin ich froh, diesen Kunden nun mit dem Managed-Service-Ansatz eine einfache Möglichkeit anbieten zu können.“
24/7-Monitoring als Managed Service
Im dritten Quartal 2021 führt SAP einen Managed Service auf Grundlage von SAP Enterprise Threat Detection ein. Die Idee: SAP-Security-Experten überwachen das komplette System eines Kunden, rund um die Uhr. Die Daten liegen in einem deutschen Rechenzentrum und der Service wird innerhalb der EU durchgeführt. Verdächtige Aktivitäten werden registriert und an den Kunden weitergeleitet. Das Angebot wird in einer Basisversion und als Extended Service verfügbar sein.
Die Basisversion deckt eine risikobasierte und priorisierte Alarmierung ab. Zusätzlich erhält der Kunde einmal im Monat einen Report mit allen verdächtigen Vorfällen und Details zu deren Bearbeitung. Die Basisversion bietet also bereits einen wirksamen Schutz, der auch viele Anforderungen der Auditoren abdeckt.
Rundumschutz ohne SAP-Kenntnisse
Will ein Unternehmen einen erweiterten Schutz vereinbaren, kann es künftig auch einen Extended Service buchen und so zusätzliche Service Level Agreements vereinbaren. Dazu zählen beispielsweise fest vereinbarte Zeiten für die Reaktion bei Auffälligkeiten und/oder forensische Analysen über mehrere Monate hinweg. SAP kennt die neuesten Angriffsarten der Hacker und stellt über regelmäßige Updates deren aktuelle Muster zur Verfügung.
Darüber hinaus lässt sich mit dem Extended Service, passend zum individuellen Sicherheitsbedürfnis, ermitteln, welche zusätzlichen Maßnahmen zum Schutz der Datenjuwelen (etwa Kundendaten, Rezepturen, HR-Informationen oder CAD-Modelle) in den SAP-Systemen getroffen werden sollen. Das Ergebnis ist exakt auf die jeweilige Anforderung des Unternehmens zugeschnitten.
Unter dem Strich entsteht so ein sichereres System. Datenlecks werden rechtzeitig erkannt und Verluste vermieden, ohne eigene SAP-Security-Experten anstellen zu müssen. Experten von SAP übernehmen den kompletten Betrieb des SAP-Security-Monitorings zum Festpreis inklusive regelmäßiger Berichte und Benachrichtigungen bei Zwischenfällen.
Möchten Sie mehr über das Angebot erfahren? Hier entlang.
Arndt Lingscheid ist Solution Owner, SAP GRC and Cyber Security.