Wie umfassend ist das Sicherheitskonzept?

Feature | 8. Dezember 2003 von admin 0

Wenn ein Unternehmen beim Schutz sensibler Unternehmensdaten versagt, kann dies zu einem finanziellen Verlust führen. Zudem kann es dem Image des Unternehmens schaden. Für eine sichere Geschäftsabwicklung in der ökonomischen Wirklichkeit von heute benötigen Firmen einen integrierten und ganzheitlichen Sicherheitsansatz. Hierzu zählt nicht nur die Sicherung der Computersysteme. Es geht vielmehr um die Gewährleistung von Sicherheit auf allen Ebenen des Unternehmens – von der Geschäftsleitung über die Produktion bis hin zum Backoffice. Faktoren wie Risikomanagement und Netzwerksicherheit sowie Sicherheit bei der Programmierung der Lösungen spielen eine entscheidende Rolle zum Schutz der Vermögenswerte.
Gleich, welche Maßnahmen ergriffen werden, sie müssen im Verhältnis zum Risiko stehen. Zwar sind viele Risiken von der Branche oder dem Land abhängig, in dem das Unternehmen tätig oder ansässig ist. Doch die wesentlichen Kernelemente, die es im IT-Bereich zu berücksichtigen gilt, sind immer dieselben:

  • Sicherheit des Softwarelebenszyklus
  • Sicherheit der Infrastruktur
  • Sicherheit der Anwendung
  • Sicherer Benutzerzugriff
  • Sichere Collaboration

Sicherheit des Softwarelebenszyklus

Solution Map

Solution Map

Das Sicherheitskonzept des Softwarelebenszyklus umfasst die Entwicklung, Implementierung und Ausführung der Software unter Sicherheitsprämissen. Ohne sichere Entwicklungsprozesse, wie sie zum Beispiel von SAP NetWeaver unterstützt werden, riskieren Unternehmen bereits in der Entwicklungsphase Schwachstellen in der Software. Sie ermöglichen es anderen, eventuell über offene Hintertüren böswilligen Code einzuschleusen. Dies trifft sowohl auf SAP-Anwendungen als auch auf Kundenanwendungen zu. Die Gefahr einer Manipulation reduzieren Unternehmen, wenn sie nur diejenigen Services und Funktionen aktivieren, die sie tatsächlich verwenden möchten. Zudem schützen sie sich durch einen Change-Management-Prozess, der in der produktiven Umgebung eine sorgfältigere Steuerung und Nachvollziehbarkeit von Änderungen möglich macht.

Sicherheit der Infrastruktur

Die Sicherung der IT-Infrastruktur umfasst vieles, was im herkömmlichen Sinne mit Sicherheit in Verbindung gebracht wird. Hierzu zählt etwa, Firewalls einzurichten und zu überwachen oder die Netzwerkkommunikation zu verschlüsseln. Um sich vor Lauschangriffen und Manipulationen im Informationsaustausch zu schützen, empfiehlt es sich, die Systemlandschaft in Zonen zu unterteilen. Anwendungen in einem Unternehmen, auf die sich von außerhalb zugreifen lässt, müssen von sensiblen Backend-Systemen abgetrennt werden. Dafür bieten sich separate Netzwerke in Form so genannter demilitarisierter Zonen (DMZ) und Firewalls an. SAP NetWeaver bietet eine kryptografische Bibliothek, eine Sammlung mit Mechanismen zur Authentifizierung und Verschlüsselung der Serverkommunikation. Dies ist vor allem in Internetszenarien von Bedeutung, bei denen eine Verbindung mit Live-Backend-Systemen vorgesehen ist. Für Sicherheit sorgen zudem Systemverwaltungstools von SAP, die nicht reguläre Aktionen erfassen und das unberechtigte Eindringen in die Systeme erkennen.

Sicherheit der Anwendung

Auf der Anwendungsebene liegt der Sicherheitsfokus meist darin, gesetzliche Vorschriften im Allgemeinen und Aspekte wie den Datenschutz und spezielle Nachvollziehbarkeitsanforderungen im Besonderen einzuhalten. SAP stellt effektive Audit-Funktionen bereit, die dem Sarbanes-Oxley Act von 2002 entsprechen, einem US-amerikanischen Gesetz, das eine Stärkung der Corporate Governance (Verhaltensstandard zur Unternehmensführung) einschließlich ihrer Überprüfbarkeit vorsieht. Dies wird mit dem Audit Information System (AIS) gewährleistet. Es besteht aus system- und anwendungsbezogenen Audit-Berichten, die von Kunden und Beratern mit eigenen Tools und Dokumenten erweiterbar sind.
Unternehmen müssen jedoch zunehmend in der Lage sein, nicht nur die Sicherheit ihrer eigenen Architektur, sondern auch die ihrer Geschäftspartner zu überprüfen. Häufig machen nämlich Verträge und Gesetze den Nachweis einer sicheren Umgebung erforderlich. Daher entwickelt SAP eine umfassendere Auditing-Lösung auf Basis eines offenen Framework. Mit diesem unternehmensübergreifenden Auditing-Framework werden Systembetreiber in der Lage sein, Prozesse in verteilten Anwendungslandschaften zu überprüfen und umfassende Audits zu unterschiedlichen Anwendungen und Systemen durchzuführen.

Sicherer Benutzerzugriff

Immer wenn Menschen mit Ihren IT-Systemen in Kontakt kommen – sei es als Endanwender oder Systemverwalter – muss der Zugriff über Berechtigungen geregelt sein. Ein nicht geregelter Zugriff ermöglicht einerseits Manipulationen, andererseits kann eine zu starke Regulierung hohe Verwaltungskosten verursachen und die Arbeit der Mitarbeiter behindern. Die zwei Hauptziele, Verhinderung von unberechtigtem Zugriff und einfache Zugriffsmöglichkeiten für berechtigte Anwender, stehen in einem gewissen Widerspruch zueinander. Mit SAP NetWeaver findet sich jedoch das richtige Gleichgewicht zwischen Sicherheit und einfacher Bedienung. SAP NetWeaver bietet eine zentrale Benutzerverwaltung, die zu einer Konzentration der Verwaltungsressourcen führen kann und Kosten einspart. Ferner enthält es Funktionen wie die Delegation der Authentifizierung und Single Sign-On, die den Mitarbeitern Zeitersparnis bieten und die Zahl der Passwörter verringert.

Sichere Collaboration

Unternehmensübergreifende Geschäftsprozesse basieren in der Regel auf vorhandenen Technologien, die aber potenziell unsicher sind (zum Beispiel das Internet). Deshalb ist der Schutz einzelner Nachrichten von Bedeutung. Die Verwendung digitaler Signaturen, wie sie von SAP in Zusammenarbeit mit dem Netzwerk zertifizierter Partner unterstützt wird, ist eine Möglichkeit. Sie gewährleistet die Integrität, Authentizität und die Nichtabstreitbarkeit des Empfangs einzelner Dokumente. Dies kann darüber hinaus durch schnellere Transaktionszeiten und geringeren Papieraufwand zu Kosteneinsparungen führen.
Eine Voraussetzung für die unternehmensübergreifende Zusammenarbeit ist ein gemeinsamer Zugriff auf anwenderbezogene Daten, um etwa Informationen über die Benutzerrechte auszutauschen. Eine weitere Voraussetzung ist die gemeinsame Nutzung von Daten auf der Prozessebene, ohne die Sicherheit zu mindern. Diese zwei Voraussetzungen lassen sich nur durch Industriestandards gleichermaßen erfüllen.
SAP ist an der Entwicklung von Industriestandards zur Gewährleistung einer breiten sicherheitsrelevanten Interoperabilität beteiligt. Zu diesen Standards gehören beispielsweise die Security Assertion Markup Language (SAML) und die Web Services Security (WS Security). SAP ist außerdem Fördermitglied der Liberty Alliance. Das Vertrauen in das Unternehmen wächst, wenn Sicherheitstechnologien angewandt werden, die auf anerkannten Industriestandards basieren. Moderne Sicherheitstechnologie vereinfacht die Systempflege, senkt die Schulungskosten und damit auch die Total Cost of Ownership (TCO).

Das schwächste Glied

Sicherheit kann nur durch das Zusammenspiel vieler verschiedener Faktoren gewährleistet werden, die sich wie die Glieder einer Kette aneinander reihen. Eine Kette ist jedoch immer nur so stark wie ihr schwächstes Glied. Diese Analogie mag bei der Überprüfung der Sicherheitspolitik und der Verteilung des Sicherheitsbudgets helfen. Es geht um eine Sicherheitsökonomie, wonach die Unternehmen strategisch ihre spezifischen Sicherheiten und Risiken abzuwägen haben.
SAP unterstützt Unternehmen in ihrem Ziel, sichere und unverwundbare IT-Systeme zu betreiben. Doch andere sicherheitsrelevante Aspekte verantworten allein die Unternehmen selbst. Dazu gehört es, eine kohärente Sicherheitspolitik zu entwickeln und die Mitarbeiter zu verantwortungsbewusstem Verhalten – etwa durch den bewussten Verzicht auf das Aufschreiben von Passwörtern – zu erziehen.
www.projectliberty.org

Sarah Maidstone

Sarah Maidstone

Tags:

Leave a Reply