Anzeige

SAP

In Unternehmen wird eine Vielzahl an Lösungen eingesetzt, viele davon sind von SAP. Das Thema SAP-Sicherheit findet dabei in der IT-(Sicherheits-) Abteilung oftmals noch zu wenig Beachtung. Mittels Automatisierung lässt sich das Thema jedoch umfassend angehen.

Die IT-Landschaft in Unternehmen wird zunehmend komplexer, da unterschiedliche Systeme und Tools verschiedener Anbieter eingesetzt werden. Haupt-Pain-Point ist vor allem die Anzahl der Systeme, die nicht integriert sind – und sich damit meist auch schlecht schützen lassen. Ganz vorne mit dabei: SAP. Immer wieder werden Sicherheitslücken innerhalb von SAP bekannt, die von SAP regelmäßig gepatcht werden. Zum letzten Patch Day im Dezember 2020 stellte SAP Patches für drei kritische Sicherheitslücken in ‚NetWeaver Application Server for Java‘, der ‚BusinessObjects‘ BI-Plattform und ‚Business Warehouse‘ zur Verfügung, bei denen es sich um fehlende Authentifizierungsüberprüfungen, XML-Validierungsmechanismen und um die Möglichkeit einer Code-Injektion gehandelt hatte. Die Ausnutzung dieser Schwachstellen wäre für Unternehmen fatal gewesen – und für Cyberkriminelle besonders lukrativ, immerhin setzt eine halbe Million Unternehmen auf SAP-Anwendungen. 

SAP-Sicherheit: Die Krux der hybriden Systeme

Der IT-Sicherheit der SAP-Landschaft in Unternehmen kommt also eine besondere Rolle zu, dennoch wird das Thema SAP-Sicherheit seitens Führungskräfte und IT-Abteilung noch allzu oft unterschätzt. Dies hat unterschiedliche Gründe: Einerseits werden sicherheitsrelevante Aspekte in SAP-Anwendungen nicht unbedingt an die IT-Abteilungen weitergegeben und somit nicht als Risikofaktor erfasst. Andererseits verfügen die Verantwortlichen in den IT-Abteilungen oft nur über unzureichendes SAP-Wissen und deuten damit Warnhinweise von Kontrollsystemen möglicherweise falsch. Die Kombination aus Private Cloud, Hyper-Scaler, R3 Business Suite und S/4HANA on premise erschwert dies noch zusätzlich. Viele Unternehmen, die intern nicht über die notwendige Expertise verfügen, setzten daher auf Drittanbieter, die die Systeme verwalten und diese auf Probleme hin prüfen – jedoch nicht beheben. So werden Schwachstellen und Risiken zwar an das jeweilige Team im Unternehmen zurückgespielt, allerdings weiß dieses nicht, was es mit den erhaltenen Informationen anfangen soll, so dass keine Maßnahmen zur Behebung ergriffen werden.

Ungepatchte Sicherheitslücken: Transparenz und Automatisierung sind der Schlüssel

Wird eine Schwachstelle innerhalb von SAP identifiziert, für die noch kein Patch bereitsteht, besteht die einzige Möglichkeit darin abzuwarten, bis SAP diese beim nächsten Patch Day schließt und das entsprechende Sicherheitsupdate einspielt. Unternehmen und Organisationen benötigen daher ein tiefgreifendes Verständnis für aktuelle SAP-Risiken, die sich aus ihren Anwendungen ergeben. Im Rahmen einer tiefgehenden Analyse und Bewertung von Codes, Berechtigungen und Systemkonfigurationen kann ein umfassender Überblick über potenzielle und existierende Risiken gewährleistet werden. Darauf basierend kann dann eine ganzheitliche SAP-Sicherheitsstrategie entwickelt werden. Bei vielen Unternehmen geht diese Analyse noch manuell vonstatten, was zeitaufwendig und kostenintensiv ist. 

Unternehmen müssen weg vom manuellen Scannen hin zu einer automatisierten Echtzeit-Erkennung, die Risiken und Probleme identifiziert und daraufhin entsprechende Maßnahmen ergreift. Eine Automatisierungslösung, die im Idealfall bereits von Anfang an in die SAP-Entwicklungsprozesse einbezogen wird, ist der Schlüssel zu mehr Sicherheit. Denn damit können Unternehmen grundlegende Sicherheits-Maßnahmen umsetzen, wie zum Beispiel das automatische Einspielen von Updates und Patches, die aufgrund der Komplexität der heutigen SAP-Landschaft manuell nicht durchgeführt werden können. Unternehmen sollten einen eigenen, monatlichen Patch-Tag einführen, bei dem beispielsweise Bewertungen und Aktionen für SAP-Kernel-Updates ein einem bestimmten Tag im Monat automatisiert durchgeführt werden. Durch eine solche planmäßige und fortlaufende Wartung und Überwachung von Tausenden von Systemen sind umfassende Einblicke möglich, so dass sich das Sicherheitslevel im gesamten Unternehmen erhöhen lässt.

Die eingesetzte Automatisierungslösung erkennt dabei alle Probleme und behebt diese automatisch. Unternehmen bekommen dabei Zugriff auf vollständige Protokolle und Berichte, die helfen, Betriebs-Situationen weiter zu verstehen und zu überwachen. Damit können auch technisch nicht-versierte Manager einen ganzheitlichen Blick auf ihre Systemlandschaft und deren Sicherheitsstatus erhalten.

Egal ob Einkauf, Lager, Produktion oder Abrechnung, das SAP-System in einem Unternehmen gehört heute zu den wichtigsten Anwendungen in einem Unternehmen – dementsprechend muss es auch geschützt werden. Unternehmen sollten daher bereits von Anfang an auf geeignete Lösungen setzen. 

Bernd Engist, CTO bei Avantra, www.avantra.com


Artikel zu diesem Thema

SAP
Mär 23, 2021

6 Tipps für effizienteres SAP-Testing

Die Digitalisierung nimmt Fahrt auf. Auch Software wird in immer kürzeren Release-Zyklen…
SAP
Mär 15, 2021

COVID-19 – Digitale Zusammenarbeit als Chance für SAP S/4HANA Transformationen

S/4HANA Programme sind nicht nur entscheidende Katalysatoren zur Vereinfachung komplexer…
digitales Workforce Management
Nov 14, 2020

Warum Unternehmen ein digitales Workforce Management benötigen

Immer mehr Unternehmen greifen auf intelligente Automatisierungslösungen zurück, um…

Weitere Artikel

Lieferengpässe: ERP-Systeme werden zunehmend wichtiger

Der Mittelstand sei stark von Lieferengpässen betroffen - das zeigt eine aktuelle KfW Untersuchung unter 2.400 kleineren und mittleren Unternehmen des Mittelstandspanels. Das betrifft vor allem Branchen des Verarbeitenden Gewerbes, das Baugewerbe sowie den…
Binäre Skyline einer Stadt, rotes Herz

Stammdaten-Management – das Herz Ihres Unternehmens

Akkurate Stammdaten von Kunden bzw. Interessenten sind für Unternehmen in vielerlei Hinsicht essenziell – sei es, um bestellte Produkte schnell zuzustellen, Kontakte zu pflegen, erfolgreiche Marketingaktionen zu initiieren oder Datenschutzvorgaben einfacher…
Digitalisierung von Prozessen

Risikominimierung dank CLM-Lösungen

Es ist erst wenige Monate her, da stimmten die Parlamentarier des deutschen Bundestags für die Einführung eines Lieferkettengesetzes. Durch dieses neue Gesetz werden deutsche Unternehmen verpflichtet, ihrer sozialen und ökologischen Verantwortung in der…
Webdesign

Warum WordPress den Webdesign Markt verändert hat?

Die klassische “Erstellung” einer Webseite, wie wir sie schon seit zwei Jahrzehnten kennen, hat sich seit der Einführung von freien Content-Management-Systemen (CMS), wie zum Beispiel WordPress, stark verändert. Sei es nun das schnelle Erstellen von Webseiten…
CRM

Mobile CRM bleibt weiterhin eine Schwachstelle

Knapp 650 Teilnehmer stellen ihrer CRM-Lösung und ihrem -Anbieter ein gutes Zeugnis aus. Das ist das Ergebnis aus der Studie „CRM in Praxis“.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.