Thought Leadership
In Unternehmen wird eine Vielzahl an Lösungen eingesetzt, viele davon sind von SAP. Das Thema SAP-Sicherheit findet dabei in der IT-(Sicherheits-) Abteilung oftmals noch zu wenig Beachtung. Mittels Automatisierung lässt sich das Thema jedoch umfassend angehen.
Die IT-Landschaft in Unternehmen wird zunehmend komplexer, da unterschiedliche Systeme und Tools verschiedener Anbieter eingesetzt werden. Haupt-Pain-Point ist vor allem die Anzahl der Systeme, die nicht integriert sind – und sich damit meist auch schlecht schützen lassen. Ganz vorne mit dabei: SAP. Immer wieder werden Sicherheitslücken innerhalb von SAP bekannt, die von SAP regelmäßig gepatcht werden. Zum letzten Patch Day im Dezember 2020 stellte SAP Patches für drei kritische Sicherheitslücken in ‚NetWeaver Application Server for Java‘, der ‚BusinessObjects‘ BI-Plattform und ‚Business Warehouse‘ zur Verfügung, bei denen es sich um fehlende Authentifizierungsüberprüfungen, XML-Validierungsmechanismen und um die Möglichkeit einer Code-Injektion gehandelt hatte. Die Ausnutzung dieser Schwachstellen wäre für Unternehmen fatal gewesen – und für Cyberkriminelle besonders lukrativ, immerhin setzt eine halbe Million Unternehmen auf SAP-Anwendungen.
SAP-Sicherheit: Die Krux der hybriden Systeme
Der IT-Sicherheit der SAP-Landschaft in Unternehmen kommt also eine besondere Rolle zu, dennoch wird das Thema SAP-Sicherheit seitens Führungskräfte und IT-Abteilung noch allzu oft unterschätzt. Dies hat unterschiedliche Gründe: Einerseits werden sicherheitsrelevante Aspekte in SAP-Anwendungen nicht unbedingt an die IT-Abteilungen weitergegeben und somit nicht als Risikofaktor erfasst. Andererseits verfügen die Verantwortlichen in den IT-Abteilungen oft nur über unzureichendes SAP-Wissen und deuten damit Warnhinweise von Kontrollsystemen möglicherweise falsch. Die Kombination aus Private Cloud, Hyper-Scaler, R3 Business Suite und S/4HANA on premise erschwert dies noch zusätzlich. Viele Unternehmen, die intern nicht über die notwendige Expertise verfügen, setzten daher auf Drittanbieter, die die Systeme verwalten und diese auf Probleme hin prüfen – jedoch nicht beheben. So werden Schwachstellen und Risiken zwar an das jeweilige Team im Unternehmen zurückgespielt, allerdings weiß dieses nicht, was es mit den erhaltenen Informationen anfangen soll, so dass keine Maßnahmen zur Behebung ergriffen werden.
Ungepatchte Sicherheitslücken: Transparenz und Automatisierung sind der Schlüssel
Wird eine Schwachstelle innerhalb von SAP identifiziert, für die noch kein Patch bereitsteht, besteht die einzige Möglichkeit darin abzuwarten, bis SAP diese beim nächsten Patch Day schließt und das entsprechende Sicherheitsupdate einspielt. Unternehmen und Organisationen benötigen daher ein tiefgreifendes Verständnis für aktuelle SAP-Risiken, die sich aus ihren Anwendungen ergeben. Im Rahmen einer tiefgehenden Analyse und Bewertung von Codes, Berechtigungen und Systemkonfigurationen kann ein umfassender Überblick über potenzielle und existierende Risiken gewährleistet werden. Darauf basierend kann dann eine ganzheitliche SAP-Sicherheitsstrategie entwickelt werden. Bei vielen Unternehmen geht diese Analyse noch manuell vonstatten, was zeitaufwendig und kostenintensiv ist.
Unternehmen müssen weg vom manuellen Scannen hin zu einer automatisierten Echtzeit-Erkennung, die Risiken und Probleme identifiziert und daraufhin entsprechende Maßnahmen ergreift. Eine Automatisierungslösung, die im Idealfall bereits von Anfang an in die SAP-Entwicklungsprozesse einbezogen wird, ist der Schlüssel zu mehr Sicherheit. Denn damit können Unternehmen grundlegende Sicherheits-Maßnahmen umsetzen, wie zum Beispiel das automatische Einspielen von Updates und Patches, die aufgrund der Komplexität der heutigen SAP-Landschaft manuell nicht durchgeführt werden können. Unternehmen sollten einen eigenen, monatlichen Patch-Tag einführen, bei dem beispielsweise Bewertungen und Aktionen für SAP-Kernel-Updates ein einem bestimmten Tag im Monat automatisiert durchgeführt werden. Durch eine solche planmäßige und fortlaufende Wartung und Überwachung von Tausenden von Systemen sind umfassende Einblicke möglich, so dass sich das Sicherheitslevel im gesamten Unternehmen erhöhen lässt.
Die eingesetzte Automatisierungslösung erkennt dabei alle Probleme und behebt diese automatisch. Unternehmen bekommen dabei Zugriff auf vollständige Protokolle und Berichte, die helfen, Betriebs-Situationen weiter zu verstehen und zu überwachen. Damit können auch technisch nicht-versierte Manager einen ganzheitlichen Blick auf ihre Systemlandschaft und deren Sicherheitsstatus erhalten.
Egal ob Einkauf, Lager, Produktion oder Abrechnung, das SAP-System in einem Unternehmen gehört heute zu den wichtigsten Anwendungen in einem Unternehmen – dementsprechend muss es auch geschützt werden. Unternehmen sollten daher bereits von Anfang an auf geeignete Lösungen setzen.
Bernd Engist, CTO bei Avantra, www.avantra.com
