Anzeige

Anzeige

VERANSTALTUNGEN

TechWeek Frankfurt
13.11.19 - 14.11.19
In Messe Frankfurt

Bitkom | Digital Health Conference
26.11.19 - 26.11.19
In dbb Forum Berlin

IT & Information Security
26.11.19 - 27.11.19
In Titanic Chaussee Hotel, Berlin

Integriertes IT Demand und Portfolio Management
02.12.19 - 04.12.19
In Sofitel Berlin Kurfürstendamm, Germany

IT-Tage 2019
09.12.19 - 12.12.19
In Frankfurt

Anzeige

Anzeige

SAST Regenschirm 1612 700

Quelle: SAST

Vielen Unternehmen ist heute nicht bewusst, dass sie zwar Technik und Datenbanken bei einem Hosting-Provider ausgelagert haben, sie aber nach wie vor selber für die Daten und die Sicherheit ihrer SAP-Systeme verantwortlich sind. Welche Fragen Sie sich vor der Zusammenarbeit stellen sollten, erläutert  Herr Patrick Boch, Produktmanager Sast Solutions von Akquinet AG.

Ein von uns im Kundenauftrag vor einiger Zeit durchgeführter Penetrationstest brachte es an den Tag: Nach kürzester Zeit konnte sich unser Team Zugriff auf den (SAP) Solution Manager verschaffen, den der Hoster unseres Kunden betreibt. Wir erweiterten daraufhin in Abstimmung mit dem Kunden den Test und konnten innerhalb kürzester Zeit auf die SAP-Systeme von 40 Kunden zugreifen! Dieses Beispiel, das zugegebenermaßen schon etwas zurückliegt, verdeutlicht aber ganz klar ein Problem, das nach wie vor Bestand hat: dass die Verträge zwischen Kunde und Hosting-Dienstleister, die sogenannten Service Level Agreements (SLAs), das Thema Sicherheit oft ungenügend oder nur sehr dürftig behandeln.

Hosting Provider: Zwei Möglichkeiten der Zusammenarbeit

Um das zu verstehen, müssen wir die Modelle, die Hosting Provider bieten, näher betrachten. Legen wir den Fokus auf zwei mögliche Szenarien: Entweder betreibt der Hoster lediglich die Hardware, oder aber er übernimmt zusätzlich den Betrieb der SAP Basis. Beide Varianten haben ein hohes Potential für Unwägbarkeiten, was die Absicherung der Systeme angeht. 

Im ersten Fall liegt die Sicherheit von Server, Netzwerk und Betriebssystem eindeutig beim Provider. Aber es ergeben sich einige Fragestellungen: Was ist mit den Einstellungen im SAP-System, die auf eine dieser Komponenten zugreifen? Liegt der SAP-Gateway, um ein Beispiel zu nennen, in der Verantwortung des Unternehmens, obwohl hier ja – rein physisch gesehen – eine Datei direkt auf dem Betriebssystem liegt? Was ist mit der Absicherung der Datenbank bzw. des Datenbank-Users für das SAP-System auf Seiten des Hosters?

Wenn der Provider zusätzlich das SAP-System betreibt, wird es noch komplexer: Rollen und Berechtigungen sollten dann beispielsweise vom Unternehmen definiert, umgesetzt und regelmäßig überprüft werden. Und wie sieht es mit kritischen Berechtigungskombinationen aus, die theoretisch einen umfassenden Zugriff auf die SAP-Basis ermöglichen? Fallen diese in den Verantwortungsbereich des Kunden oder des Hosting Providers? Was ist mit vom Unternehmen entwickelten Anwendungen, die Zugriff auf das Dateisystem oder die Webservices erfordern? In Zeiten von UI5 und Browser-Access hochaktuelle Fragestellungen.

Basierend auf diesen zwei Szenarien ergeben sich fünf wichtige Schritte zur sicheren Zusammenarbeit mit einem Hosting-Provider. 

1. Sorgfältige Auswahl: Nicht nur auf den Preis schauen!

Bei der Auswahl des Hosting Providers sollte – vor allem in der heutigen Zeit – der Preis nicht der ausschlaggebende Faktor sein. Ganz andere Fragestellungen sollten im Vordergrund stehen: Wie ist es um die Ausfallsicherheit bestellt? Gibt es einen weiteren Standort, der bei einem Ausfall übernimmt? Wie ist die Klimatisierung und die Gebäudesicherheit, hier vor allem die physischen Zugangsregelungen? Und bezogen auf die Netzwerke sollten Unternehmen bei der Auswahl des Hosting-Providers vor allem auf getrennte Netzwerke sowie die Möglichkeit eines Paket-Monitorings achten.

2. Gute Vorbereitung: Mehr SAP-Sicherheit durch klare Verantwortlichkeiten

Um Sicherheitsrisiken durch unklare Verantwortlichkeiten zu vermeiden, sollten Kunde und Hoster im Vorfeld das Thema Sicherheit unbedingt mit einbeziehen. Ein guter Ansatzpunkt, um die Abgrenzung klar vornehmen zu können, sind immer die verfügbaren Standards und Leitlinien, entweder von der SAP selbst bereitgestellt oder in Form des Prüfleitfadens der DSAG. Ein weiterer Baustein sollte eine kontinuierliche Absicherung sein, die nicht nur die üblichen Infrastrukturkomponenten, sondern auch das SAP-System berücksichtigt.

3. Geregeltes Reporting: Immer auf dem Laufenden sein

Hier spielt natürlich das Überwachungssystem des Providers eine entscheidende Rolle: Was wird überwacht? Hat der Dienstleister ein SIEM-System, das nur auf die Infrastruktur beschränkt ist? Wichtig ist aber auch die Kontrolle der Anwendungen, wie zum Beispiel der SAP-Systeme. Sollte es zu einem Zwischenfall kommen, welche Reaktionen sind im Verdachtsfall geplant? Wie ist die Reaktionszeit und welche Maßnahmen werden in kritischen Situationen ergriffen? Sorgen Sie dafür, dass Sie auf dem Laufenden bleiben und wissen, wie es um Ihre Daten bestellt ist.

Checkliste

In fünf Schritten zu einer sicheren Zusammenarbeit: Bei Berücksichtigung dieser fünf Aspekte gehen Unternehmen in eine sichere Zusammenarbeit mit einem Hosting-Provider
Foto: SAST

 

4. Immer Herr der Lage bleiben: den Überblick behalten und in Echtzeit reagieren

Wir bieten mit unserem Security Radar innerhalb der SAST SUITE nicht nur eine solche Überwachung, sondern über die weiteren Module zusätzlich eine Analyse des aktuellen Sicherheitsstatus, die regelmäßig abgerufen werden kann. So können Unstimmigkeiten zwischen Provider und Kunde zeitnah geklärt und Handlungsempfehlungen abgeleitet werden, und das in Echtzeit. Für eine effiziente IT-Sicherheit ist es darüber hinaus unverzichtbar, sich in kürzester Zeit einen umfassenden Überblick zu verschaffen – das bietet ein Management Dashboard. Ein Dashboard ist laut DSAG-Arbeitskreis Security & Vulnerability übrigens die zentrale Voraussetzung, um zwingend erforderliche bessere Sicherheitskonzepte zu entwickeln.

5. Automatisierte Lösungen einsetzen wo möglich 

Der Kunde sollte auf seiner Seite automatisierte Lösungen einsetzen, um das Thema SAP-Sicherheit auch intern effizient und ressourcenschonend umzusetzen. Tausende von sicherheitsrelevanten Einstellungen in SAP-Systemen sowie Millionen Zeilen kundeneigenen Codes kann man nur dann sinnvoll bewältigen, wenn man auf Automatisierung setzt. Mit unserem Code Management-Ansatz oder auch unserem automatisierten Identity and User Management bieten wir innerhalb unserer Lösungen effiziente Möglichkeiten, um den Aufwand auf Unternehmensseite möglichst gering zu halten, aber gleichzeitig die bestmögliche Sicherheit der SAP-Systeme zu erreichen.

Insgesamt ist es also mehr als fahrlässig, die oben genannten Punkte bei der Auswahl eines Hosting-Providers nicht zu berücksichtigen. Unternehmen sollten die Chance nutzen, hierbei die Sicherheit der SAP-Systeme ganzheitlich zu überprüfen und wenn nötig neue automatisierte Lösungen zu implementieren, um die eigenen Daten vor Missbrauch und unerlaubtem Zugriff von außen zu schützen.


 

Patrick Boch, Produktmanager SAST SOLUTIONS
Patrick Boch
Produktmanager SAST SOLUTIONS, akquinet AG
Seit fast 20 Jahren ist er in verschiedenen Positionen sowohl mit der vertrieblichen als auch der technischen Seite von SAP-Anwendungen und -Systemen bestens vertraut.  Als Experte veröffentlicht  Patrick Boch regelmäßig Fachbeiträge zum Thema SAP-Sicherheit. Mit seinen  Kenntnissen und Erfahrungen in den Bereichen SAP Security & Compliance verantwortet er seit September 2018 als Produktmanager die SAST SUITE bei der akquinet AG. 
GRID LIST
Digitale Hand

ERP-Systeme als Datendrehscheiben

Die Digitalisierung vormals manueller und papierbasierter Geschäftsprozesse ist keine…
Call Center

4 Vorteile der Integration von CRM und Unified Communications

CRM-Lösungen gehören in vielen Unternehmen bereits zum Standard und bieten viele…
ERP System

Stolperfallen beim Aufbau multinationaler ERP-Architekturen

Niederlassungen im Ausland sind keine einsamen Inseln. Vertriebsbüros und…
ERP Cloud

ERP: Nur vier Schritte in die Cloud

Deutsche Firmen zieht es in die Wolke: Laut aktuellem Cloud-Monitor von Bitkom und KPMG…
LKW-Fahrer mit Tablet

Eine Logistik-Lösung für alle Partner

Bei igefa – der Interessensgemeinschaft des Fachgroßhandels – nutzen alle…
Tb W190 H80 Crop Int Df1d3c6999aa887f6099e98020f1f9b7

8-Punkte-Plan zum ERP-Umstieg in die Cloud

New Work braucht ein neues ERP. Ein Acht-Punkte-Plan hilft der Einführung einer…