Thought Leadership
Mit der Übernahme von Virtual Forge durch Onapsis gibt es marktführende ERP-Sicherheitstechnologien künftig aus einer Hand. Welche Vorteile damit verbunden sind, erläutert Dr. Markus Schumacher, der als Mitgründer und CEO von Virtual Forge heute bei Onapsis die Position als General Manager Europe verantwortet.
Durch den Zusammenschluss Ihrer beiden Unternehmen entsteht nach eigenen Angaben der weltweit größte Anbieter von ERP-Sicherheitslösungen. Wie profitieren die Kunden davon?
Markus Schumacher (Foto, Quelle Onapsis): Unsere Unternehmen haben beide jeweils die Strategie verfolgt, den Kunden ganzheitliche Sicherheitskonzepte anzubieten – jedoch mit unterschiedlichem Schwerpunkt. So fokussiert sich Virtual Forge auf SAP und bietet Lösungen zum Schutz vor Cybersicherheits- und Compliance-Risiken, die sich bei Anpassungen und Erweiterungen von SAP-Systemen ergeben. Als globaler Security-Marktführer mit Sitz in Boston konzentriert sich Onapsis mehr auf die Sicherheit von Oracle-Geschäftsanwendungen, die ja im US-amerikanischen Raum den größten Marktanteil haben.
Durch die Zusammenführung entsteht eine zentrale ERP-Plattform für Security und Compliance, die von allen Zielgruppen gleichermaßen genutzt werden kann – auch über SAP und Oracle hinaus. Den Kunden bietet dies den Vorteil, dass sie nur eine einzige Sicherheitslösung „aus einem Guss“ und einen Sicherheitspartner brauchen, selbst wenn mehrere ERP-Anwendungen im Einsatz sind. Unternehmen können damit die Komplexität sowie den Installations- und Betriebsaufwand ihrer ERP-Sicherheitsinfrastruktur minimieren.
Wie ergänzen sich die Sicherheitslösungen von Onapsis und Virtual Forge in technologischer Hinsicht?
Markus Schumacher: Virtual Forge stellt für die SAP-Anwender eine integrierte Lösung zur automatischen Erkennung, Behebung und Vermeidung von Cyber-Gefahren bereit, die von Sicherheitslücken im Bereich von Systemeinstellungen, kundeneigenem Code und Transporten ausgehen. So erhalten die einzelnen Rollen im Unternehmen – ob Basisadministration, Entwicklung oder Qualitätssicherung – das nötige Rüstzeug, um in ihrem Segment für eine Reduzierung der Cyber-Risiken zu sorgen.
Um das Thema IT-Sicherheit allerdings nachhaltig in einem Unternehmen zu etablieren, muss es noch viel stärker als bisher zur Chefsache gemacht werden. Denn nur die Entscheider verfügen über die notwendige Macht und können die angemessenen finanziellen, personellen und zeitlichen Ressourcen bereitstellen, um ein funktionierendes IT-Risiko- und IT-Security-Management einzurichten, zu kontrollieren und notfalls zu korrigieren. Jedoch hat eine von Virtual Forge fachlich begleitete und gesponserte SAP Community-Umfrage unter 158 Unternehmen jüngst gezeigt, dass in 29 Prozent der Fälle ausschließlich die SAP-Basisadministration für Sicherheitsfragen verantwortlich ist.
Hier bieten die Onapsis-Tools eine ideale Ergänzung zu Virtual Forge, denn sie stellen zahlreiche rollenspezifische Überwachungs- und Reporting-Funktionen zur Verfügung. Damit können alle definierten Prüfbereiche wirksam gemessen und die Messergebnisse – zusammen mit entsprechenden Bewertungen und Handlungsempfehlungen – an zentrale Dashboards gesendet werden.
Und damit lässt sich die IT-Sicherheit in der Verantwortung der Firmen-Manager verankern?
Markus Schumacher: Richtig! Nehmen wir zunächst die IT-Sicherheitsbeauftragten. Diese Rollen können mit einem auf sie zugeschnittenen Reporting auf einen Blick die Sicherheitslevel und -Trendverläufe der ERP-Systeme erfassen und erkennen, welche Folgen bestimmte Anpassungen und Erweiterungen auf die IT-Sicherheit haben. Erfolgt ein Angriff, werden sie zeitnah alarmiert und können geeignete Gegenmaßnahmen ergreifen, um Störungen und Ausfälle des Systembetriebs zu verhindern.
Eine weitere wichtige Zielgruppe sind die Innenrevisoren, Datenschutzbeauftragten und IT-Auditoren eines Unternehmens. Ihnen bietet ein individuelles Monitoring die Möglichkeit, die Einhaltung externer Regularien, wie EU-DSGVO oder Sarbanes-Oxley Act (SOA), automatisiert zu kontrollieren und revisionssicher zu dokumentieren. Die Geschäftsleitungen, Vorstände und CIOs wiederum erhalten mit den Reports ein wichtiges Instrumentarium an die Hand, um ihrer Verantwortung für die IT-Sicherheit ihres Unternehmens gerecht zu werden. Sie sind damit jederzeit über mögliche ERP-Risiken informiert und können Kurskorrekturen der Sicherheitsstrategie veranlassen. Wie diese Beispiele zeigen, sind die Monitoring- und Reporting-Funktionen von Onapsis und die Virtual Forge-Analysetools also eine perfekte Kombination zur Umsetzung einer wirksamen ERP-Sicherheitsstrategie.
Stichwort Support – wie wirkt sich Ihr Zusammenschluss auf die Betreuung Ihrer Kunden aus?
Markus Schumacher: Ein ganz klarer Vorteil ist, dass wir den Unternehmen künftig einen weltweiten Support bieten können. Durch unsere starke regionale Präsenz in allen Zeitzonen haben die Kunden rund um den Globus nun die Möglichkeit, bei Fragen und Problemen direkt auf unsere Service-Teams zuzugreifen. Die lokalen Service-Experten sorgen für eine schnelle und kompetente Behebung auftretender Störungen und damit für einen möglichst reibungslosen Betrieb unserer Sicherheitslösungen. Dieser globale Support ist umso wichtiger, als dass die meisten unserer Kunden weit über die Ländergrenzen hinaus tätig sind – unabhängig von Unternehmensgröße und Branche. Die einzelnen Niederlassungen profitieren davon, dass wir ihnen zeitnah mit Rat und Tat zur Seite stehen können.
Onapsis gilt nicht nur als Technologie-, sondern auch als Meinungsführer im Bereich ERP-Sicherheit. Wie konnte dieser Wettbewerbsvorsprung erreicht werden?
Markus Schumacher: Ein wesentlicher Treiber für diese Entwicklung sind sicher die Onapsis Research Labs, in denen erfahrene ERP-Sicherheitsexperten eng mit Security-Teams von SAP und Oracle zusammenarbeiten. Ziel ist es, die wachsenden Cyber-Bedrohungen zu erforschen und auszuwerten, welche Gefahren davon für die geschäftskritischen ERP-Systeme ausgehen. Die Ergebnisse werden in regelmäßigen Analysen und Berichten veröffentlicht und bieten den Kunden eine wichtige Grundlage, um Bedrohungslagen frühzeitig erkennen und entsprechende Cyber-Sicherheitsstrategien entwickeln zu können. Bis heute haben die Sicherheitsforscher von Onapsis über 150 Warnungen herausgegeben.
Aktuelles Beispiel ist eine Sicherheitsmeldung, in der vor verstärkten Gefahren durch Angriffe auf bekannte Sicherheitslücken und Fehlkonfigurationen in SAP-Systemen gewarnt wird. Den Anstoß dazu gab die Veröffentlichung eines Exploit-Baukastens namens 10KBLAZE, der die Entwicklung individueller Schadsoftware ermöglicht und es Hackern damit sehr leicht macht, die entsprechenden Systeme zu kompromittieren. Onapsis schätzt, dass davon weltweit 90 Prozent der SAP-Systeme mit zusammen über 50.000 Kunden betroffen sind.
Mit welchen speziellen Sicherheitsanforderungen konfrontiert der digitale Wandel die Unternehmen?
Markus Schumacher: Durch die zunehmende Vernetzung, hybride Prozess- und IT-Landschaften, Cloud Computing sowie das Internet of Things (IoT) werden die IT-Infrastrukturen in den nächsten Jahren immer anfälliger für Cyber-Bedrohungen aller Art werden. Hinzu kommt, dass die IT- und ERP-Systeme im Zuge der Globalisierung nicht mehr nur lokal, sondern erdumspannend betrieben werden. Damit entwickelt sich die IT-Sicherheit zu einem weltweiten Thema und ist gleichzeitig nicht mehr auf einzelne Anbieter, wie SAP oder Oracle, beschränkt. Diesen umfassenden Security-Anforderungen kommen Onapsis und Virtual Forge durch ihren Zusammenschluss zu einem Global Player und ganzheitlichen ERP-Sicherheitsanbieter in jeder Hinsicht entgegen.
Herr Dr. Schumacher, wir danken Ihnen für dieses Gespräch.
