Anzeige

SAP

In Unternehmen wird eine Vielzahl an Lösungen eingesetzt, viele davon sind von SAP. Das Thema SAP-Sicherheit findet dabei in der IT-(Sicherheits-) Abteilung oftmals noch zu wenig Beachtung. Mittels Automatisierung lässt sich das Thema jedoch umfassend angehen.

Die IT-Landschaft in Unternehmen wird zunehmend komplexer, da unterschiedliche Systeme und Tools verschiedener Anbieter eingesetzt werden. Haupt-Pain-Point ist vor allem die Anzahl der Systeme, die nicht integriert sind – und sich damit meist auch schlecht schützen lassen. Ganz vorne mit dabei: SAP. Immer wieder werden Sicherheitslücken innerhalb von SAP bekannt, die von SAP regelmäßig gepatcht werden. Zum letzten Patch Day im Dezember 2020 stellte SAP Patches für drei kritische Sicherheitslücken in ‚NetWeaver Application Server for Java‘, der ‚BusinessObjects‘ BI-Plattform und ‚Business Warehouse‘ zur Verfügung, bei denen es sich um fehlende Authentifizierungsüberprüfungen, XML-Validierungsmechanismen und um die Möglichkeit einer Code-Injektion gehandelt hatte. Die Ausnutzung dieser Schwachstellen wäre für Unternehmen fatal gewesen – und für Cyberkriminelle besonders lukrativ, immerhin setzt eine halbe Million Unternehmen auf SAP-Anwendungen. 

SAP-Sicherheit: Die Krux der hybriden Systeme

Der IT-Sicherheit der SAP-Landschaft in Unternehmen kommt also eine besondere Rolle zu, dennoch wird das Thema SAP-Sicherheit seitens Führungskräfte und IT-Abteilung noch allzu oft unterschätzt. Dies hat unterschiedliche Gründe: Einerseits werden sicherheitsrelevante Aspekte in SAP-Anwendungen nicht unbedingt an die IT-Abteilungen weitergegeben und somit nicht als Risikofaktor erfasst. Andererseits verfügen die Verantwortlichen in den IT-Abteilungen oft nur über unzureichendes SAP-Wissen und deuten damit Warnhinweise von Kontrollsystemen möglicherweise falsch. Die Kombination aus Private Cloud, Hyper-Scaler, R3 Business Suite und S/4HANA on premise erschwert dies noch zusätzlich. Viele Unternehmen, die intern nicht über die notwendige Expertise verfügen, setzten daher auf Drittanbieter, die die Systeme verwalten und diese auf Probleme hin prüfen – jedoch nicht beheben. So werden Schwachstellen und Risiken zwar an das jeweilige Team im Unternehmen zurückgespielt, allerdings weiß dieses nicht, was es mit den erhaltenen Informationen anfangen soll, so dass keine Maßnahmen zur Behebung ergriffen werden.

Ungepatchte Sicherheitslücken: Transparenz und Automatisierung sind der Schlüssel

Wird eine Schwachstelle innerhalb von SAP identifiziert, für die noch kein Patch bereitsteht, besteht die einzige Möglichkeit darin abzuwarten, bis SAP diese beim nächsten Patch Day schließt und das entsprechende Sicherheitsupdate einspielt. Unternehmen und Organisationen benötigen daher ein tiefgreifendes Verständnis für aktuelle SAP-Risiken, die sich aus ihren Anwendungen ergeben. Im Rahmen einer tiefgehenden Analyse und Bewertung von Codes, Berechtigungen und Systemkonfigurationen kann ein umfassender Überblick über potenzielle und existierende Risiken gewährleistet werden. Darauf basierend kann dann eine ganzheitliche SAP-Sicherheitsstrategie entwickelt werden. Bei vielen Unternehmen geht diese Analyse noch manuell vonstatten, was zeitaufwendig und kostenintensiv ist. 

Unternehmen müssen weg vom manuellen Scannen hin zu einer automatisierten Echtzeit-Erkennung, die Risiken und Probleme identifiziert und daraufhin entsprechende Maßnahmen ergreift. Eine Automatisierungslösung, die im Idealfall bereits von Anfang an in die SAP-Entwicklungsprozesse einbezogen wird, ist der Schlüssel zu mehr Sicherheit. Denn damit können Unternehmen grundlegende Sicherheits-Maßnahmen umsetzen, wie zum Beispiel das automatische Einspielen von Updates und Patches, die aufgrund der Komplexität der heutigen SAP-Landschaft manuell nicht durchgeführt werden können. Unternehmen sollten einen eigenen, monatlichen Patch-Tag einführen, bei dem beispielsweise Bewertungen und Aktionen für SAP-Kernel-Updates ein einem bestimmten Tag im Monat automatisiert durchgeführt werden. Durch eine solche planmäßige und fortlaufende Wartung und Überwachung von Tausenden von Systemen sind umfassende Einblicke möglich, so dass sich das Sicherheitslevel im gesamten Unternehmen erhöhen lässt.

Die eingesetzte Automatisierungslösung erkennt dabei alle Probleme und behebt diese automatisch. Unternehmen bekommen dabei Zugriff auf vollständige Protokolle und Berichte, die helfen, Betriebs-Situationen weiter zu verstehen und zu überwachen. Damit können auch technisch nicht-versierte Manager einen ganzheitlichen Blick auf ihre Systemlandschaft und deren Sicherheitsstatus erhalten.

Egal ob Einkauf, Lager, Produktion oder Abrechnung, das SAP-System in einem Unternehmen gehört heute zu den wichtigsten Anwendungen in einem Unternehmen – dementsprechend muss es auch geschützt werden. Unternehmen sollten daher bereits von Anfang an auf geeignete Lösungen setzen. 

Bernd Engist, CTO bei Avantra, www.avantra.com


Artikel zu diesem Thema

SAP
Mär 23, 2021

6 Tipps für effizienteres SAP-Testing

Die Digitalisierung nimmt Fahrt auf. Auch Software wird in immer kürzeren Release-Zyklen…
SAP
Mär 15, 2021

COVID-19 – Digitale Zusammenarbeit als Chance für SAP S/4HANA Transformationen

S/4HANA Programme sind nicht nur entscheidende Katalysatoren zur Vereinfachung komplexer…
digitales Workforce Management
Nov 14, 2020

Warum Unternehmen ein digitales Workforce Management benötigen

Immer mehr Unternehmen greifen auf intelligente Automatisierungslösungen zurück, um…

Weitere Artikel

SAP

SAP S/4HANA-Transformation: ungenutztes Potenzial von Enterprise Architekten

Für die weltweit geschätzten 35.000 ERP-Kunden von SAP geht es nicht darum, ob sie auf S/4HANA migrieren – sondern wann und wie. Eine aktuelle Studie des IT-Unternehmens LeanIX zeigt, dass sich die meisten Unternehmen erst in der Anfangsphase dieses…

xSuite baut SAP-basierte Workflowsuite aus

Ihre SAP-only-Lösungen im On-Premises-Betrieb hat die xSuite Group unter dem Label „xSuite Cube“ zusammengefasst. Jetzt ist die neue Version 5.2.6 der Business Solutions erschienen, mit erweiterten Fiori-Funktionen und einem barrierearmen GUI,…
Business Intelligence

e.bootis ergänzt ERP-System um Qlik Sense

e.bootis, deutscher ERP-Hersteller für mittelständische Unternehmen, erweitert sein Angebot im Bereich Business Intelligence um die Datenanalyseplattform von Qlik.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.