VERANSTALTUNGEN

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

Security KompassGlobal-2000-Unternehmen stehen unter Druck: Ihre geschäftskritischen SAP-Implementierungen rücken zunehmend in den Fokus externer und interner Angreifer.

Unternehmen stehen daher vor der Aufgabe, zum einen Technologien zur Sicherung von SAP-Systemen einzusetzen, zum anderen aber auch diese Werkzeuge in eine allgemeine Strategie zur Informationssicherheit einzubeziehen. Onapsis, globaler Experte für die Sicherheit dieser Unternehmensanwendungen, gibt auf Basis seiner langjährigen Erfahrung in der SAP-Cyber-Sicherheit fünf Tipps, wie Unternehmen ihre Sicherheitsprozesse effektiv einrichten können.

Eine Schlüsselkomponente für eine wirksame SAP-Sicherheitsstrategie ist der Einsatz kontextsensitiver Lösungen zur präventiven Kontrolle und Überwachung von Schwachstellen sowie zum Erkennen und sofortigen Reagieren auf ungewöhnliche Ereignisse und Zugriffe.

Solche Lösungen ermöglichen auch den Aufbau eines über Zuständigkeits- und Abteilungsgrenzen hinweg agierenden SAP-Sicherheits-Prozesses, welcher in die allgemeine IT-Sicherheitspolitik eingebunden ist. Mit den folgenden fünf Schritten können Unternehmen eine schlagkräftige Strategie für ihre SAP-Sicherheit etablieren:

  1. SAP-Umgebung und -Topologie aufschlüsseln: Sicherheit beginnt mit der Analyse des gesamten Aufbaus der SAP-Infrastruktur. Das verschafft einen Überblick über die Art und Anzahl der einzelnen SAP-Systeme - auch der Systeme für Entwicklung und Qualitätsmanagement. Eine Topologie der SAP-Infrastruktur und aller Instanzen verbessert das Verständnis, welche Geschäftsprozesse ein System unterstützt und welche Informationen jedes einzelne System speichert und verarbeitet. Risiken lassen sich erst dann abschätzen, wenn man die im eigenen Unternehmen eingesetzten SAP-Systeme und ihre Interaktion vollständig kennt. Nur eine automatisierte Lösung zur Erfassung einer solchen Topologie bietet hinreichend schnelle Ergebnisse.
     
  2. Potenziellen Risiken erkennen und bewerten: Der nächste Schritt ist die Bewertung von Schwachstellen und Risiken, die aus Fehlkonfigurationen in der Infrastruktur resultieren. Dazu benötigen die Verantwortlichen Informationen, welche Auswirkungen eine Fehlkonfiguration im unter anderem für die Datenübertragung und für die Vergabe von Zugriffsrechten zuständigen Transaktionslayers auf unternehmenskritische Geschäftsprozesse und Informationen haben kann. Die Bewertung der Risiken erfolgt dabei abhängig von den Anforderungen einer Branche oder einer individuellen Sicherheitspolitik. Im nächsten Schritt lassen sich die notwendigen Abwehrmaßnahmen priorisieren.
     
  3. Beteiligte identifizieren: Für eine SAP-Infrastruktur sind meist mehrere Akteure zuständig. CIO und CFO fällen in der Regel Grundsatzentscheidungen über das Management der SAP-Infrastruktur inklusive IT-Sicherheitsinitiativen. Das Verwalten und Absichern der SAP-Umgebung übernehmen die IT- und SAP-Basis-Teams. Die Abteilung für Informationssicherheit ist hingegen selten involviert. Damit ein effizienter Sicherheitsprozess in Gang gesetzt werden kann, ist es aber wichtig, alle Beteiligten zu identifizieren, zu informieren und die jeweiligen Verantwortlichkeiten für die SAP-Sicherheit zu definieren.
     
  4. Übergreifenden Aktionsplan definieren: Ein gemeinsamer, auf diesen Vorarbeiten basierender Aktionsplan nutzt das vorhandene IT-Sicherheits-Framework und integriert die SAP-Sicherheit in bestehende Sicherheitsinitiativen. Dafür bietet sich ein flexibler Ansatz an, der präventive, aufdeckende und reaktive Maßnahmen vereint. Der Plan basiert dabei auf den Top 20 CIS Critical Security Controls von sans.org. Darüber hinaus sollten Unternehmen Dienste implementieren, die stets über aktuelle allgemeine als auch SAP-spezifische IT-Sicherheitsrisiken informieren. Ein wichtiger Bestandteil des Aktionsplans ist die Aktualisierung von SAP-Systemen durch die Patches des Herstellers. Das Korrelieren von Schwachstellen mit den eigenen Sicherheitsanforderungen hilft, die gefährlichsten Risiken für das eigene Geschäft zu erkennen und geeignete IT-Sicherheitsmaßnahmen zu initiieren.
     
  5. Fortschritt messen und kommunizieren: CISOs definieren im nächsten Schritt die gemeinsame Ziele der unternehmenseigenen SAP-Sicherheitspolitik und messen sowie kommunizieren die Fortschritte auf dem Weg dorthin. Aussagekräftige Berichte unterstützen die Teammitglieder dabei. Moderne Technologien können etwa Delta-Berichte jederzeit bereitstellen, welche die Veränderungen der Sicherheitskonfiguration dokumentieren.

Durch das Umsetzen dieser Schritte implementieren Unternehmen eine effiziente SAP-Sicherheit, um sich der sich verschärfenden Bedrohungssituation vorausschauend zu stellen.

Aktuell sieht Onapsis einen großen Nachholbedarf bei Unternehmen, der schon bei der strittigen oder nicht vorhandenen Zuteilung der Verantwortlichkeiten anfängt: „SAP-Fachabteilungen, Informationssicherheitsteams sowie CISOs und CDOs gehen oft nicht miteinander abgestimmt vor. Fachabteilungen konzentrieren sich mehr auf die Produktivität der SAP-Systeme“, sagt Mariano Nunez, CEO und Mitbegründer von Onapsis. „Der C-Level sieht bisweilen nicht, dass SAP-Sicherheit ein Bestandteil der übergreifenden IT-Sicherheitsstrategie sein muss. IT-Security-Administratoren fehlt oft der Überblick über die Geschäftsanwendungen und den Datenaustauch. Eine unklare Verteilung von Zuständigkeiten und geringer Informationsaustausch sind oft die Ursache für Mängel in der SAP-Sicherheit. Konsequente SAP-Sicherheitspolitik beginnt daher erst einmal mit der Schaffung einer Diskussionsgrundlage durch kontinuierliches Assessment und Bewertung von Risiken für alle Beteiligten. Doch diese Ergebnisse müssen auch in die allgemeine IT-Sicherheitspolitik eingebunden werden.“

www.onapsis.com

GRID LIST
Tb W190 H80 Crop Int 2f6e139bc85d13538ad40c191f59f3b3

SAP S/4HANA: Mit Echtzeit in die Neuzeit?

In einer aktuellen internationalen IDC-Umfrage gaben mehr als zwei Drittel der befragten…
SAP

So gelingt die Migration auf SAP S/4HANA mit Microsoft Azure

Bis 2025 soll die Transformation zu SAP S/4HANA beendet sein. Damit diese gelingt, bringt…
Made in Germany

Wie ERP-Systeme den Nachweis von „Made in Germany“ & Co. erleichtern

„Made in Germany“ ist seit Jahren ein Gütesiegel für Qualität auf Spitzenniveau, vom…
Tb W190 H80 Crop Int 8543def0cb74c33f4fcceff7723370c9

Daten-to-Go: Routenplan für die mobile ERP-Einführung

Wer im Netz surft, ist mittlerweile mobil via Smartphone oder Tablet unterwegs – der PC…
Tb W190 H80 Crop Int 71fe7429c647c85f12065545d13c660f

Wie SAP-Anwender von Echtzeit-Daten profitieren

Alle wichtigen Geschäftskennzahlen in Echtzeit übersichtlich auf dem Tablet für…
Tb W190 H80 Crop Int 9cc0f78c8e26d024ae4e442e61f01e6b

Neues Release: AP plus 6.4

Das neue APplus-Release, das exklusiv zur CeBIT vorgestellt wird, erweitert das bisherige…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security