Onapsis: Fünf-Punkte-Plan für eine effektive SAP-Sicherheitspolitik
SAP-Sicherheit als Teil der Gesamt-IT-Sicherheit
Global-2000-Unternehmen stehen unter Druck: Ihre geschäftskritischen SAP-Implementierungen rücken zunehmend in den Fokus externer und interner Angreifer. Unternehmen stehen daher vor der Aufgabe, zum einen Technologien zur Sicherung von SAP-Systemen einzusetzen, zum anderen aber auch diese Werkzeuge in eine allgemeine Strategie zur Informationssicherheit einzubeziehen. Onapsis, globaler Experte für die Sicherheit dieser Unternehmensanwendungen, gibt auf Basis seiner langjährigen Erfahrung in der SAP-Cyber-Sicherheit fünf Tipps, wie Unternehmen ihre Sicherheitsprozesse effektiv einrichten können.
Eine Schlüsselkomponente für eine wirksame SAP-Sicherheitsstrategie ist der Einsatz kontextsensitiver Lösungen zur präventiven Kontrolle und Überwachung von Schwachstellen sowie zum Erkennen und sofortigen Reagieren auf ungewöhnliche Ereignisse und Zugriffe.
Solche Lösungen ermöglichen auch den Aufbau eines über Zuständigkeits- und Abteilungsgrenzen hinweg agierenden SAP-Sicherheits-Prozesses, welcher in die allgemeine IT-Sicherheitspolitik eingebunden ist. Mit den folgenden fünf Schritten können Unternehmen eine schlagkräftige Strategie für ihre SAP-Sicherheit etablieren:
- 1. SAP-Umgebung und -Topologie aufschlüsseln: Sicherheit beginnt mit der Analyse des gesamten Aufbaus der SAP-Infrastruktur. Das verschafft einen Überblick über die Art und Anzahl der einzelnen SAP-Systeme – auch der Systeme für Entwicklung und Qualitätsmanagement. Eine Topologie der SAP-Infrastruktur und aller Instanzen verbessert das Verständnis, welche Geschäftsprozesse ein System unterstützt und welche Informationen jedes einzelne System speichert und verarbeitet. Risiken lassen sich erst dann abschätzen, wenn man die im eigenen Unternehmen eingesetzten SAP-Systeme und ihre Interaktion vollständig kennt. Nur eine automatisierte Lösung zur Erfassung einer solchen Topologie bietet hinreichend schnelle Ergebnisse.
- 2. Potenziellen Risiken erkennen und bewerten: Der nächste Schritt ist die Bewertung von Schwachstellen und Risiken, die aus Fehlkonfigurationen in der Infrastruktur resultieren. Dazu benötigen die Verantwortlichen Informationen, welche Auswirkungen eine Fehlkonfiguration im unter anderem für die Datenübertragung und für die Vergabe von Zugriffsrechten zuständigen Transaktionslayers auf unternehmenskritische Geschäftsprozesse und Informationen haben kann. Die Bewertung der Risiken erfolgt dabei abhängig von den Anforderungen einer Branche oder einer individuellen Sicherheitspolitik. Im nächsten Schritt lassen sich die notwendigen Abwehrmaßnahmen priorisieren.
- 3. Beteiligte identifizieren: Für eine SAP-Infrastruktur sind meist mehrere Akteure zuständig. CIO und CFO fällen in der Regel Grundsatzentscheidungen über das Management der SAP-Infrastruktur inklusive IT-Sicherheitsinitiativen. Das Verwalten und Absichern der SAP-Umgebung übernehmen die IT- und SAP-Basis-Teams. Die Abteilung für Informationssicherheit ist hingegen selten involviert. Damit ein effizienter Sicherheitsprozess in Gang gesetzt werden kann, ist es aber wichtig, alle Beteiligten zu identifizieren, zu informieren und die jeweiligen Verantwortlichkeiten für die SAP-Sicherheit zu definieren.
- 4. Übergreifenden Aktionsplan definieren: Ein gemeinsamer, auf diesen Vorarbeiten basierender Aktionsplan nutzt das vorhandene IT-Sicherheits-Framework und integriert die SAP-Sicherheit in bestehende Sicherheitsinitiativen. Dafür bietet sich ein flexibler Ansatz an, der präventive, aufdeckende und reaktive Maßnahmen vereint. Der Plan basiert dabei auf den Top 20 CIS Critical Security Controls von sans.org. Darüber hinaus sollten Unternehmen Dienste implementieren, die stets über aktuelle allgemeine als auch SAP-spezifische IT-Sicherheitsrisiken informieren. Ein wichtiger Bestandteil des Aktionsplans ist die Aktualisierung von SAP-Systemen durch die Patches des Herstellers. Das Korrelieren von Schwachstellen mit den eigenen Sicherheitsanforderungen hilft, die gefährlichsten Risiken für das eigene Geschäft zu erkennen und geeignete IT-Sicherheitsmaßnahmen zu initiieren.
- 5. Fortschritt messen und kommunizieren: CISOs definieren im nächsten Schritt die gemeinsame Ziele der unternehmenseigenen SAP-Sicherheitspolitik und messen sowie kommunizieren die Fortschritte auf dem Weg dorthin. Aussagekräftige Berichte unterstützen die Teammitglieder dabei. Moderne Technologien können etwa Delta-Berichte jederzeit bereitstellen, welche die Veränderungen der Sicherheitskonfiguration dokumentieren.
Durch das Umsetzen dieser Schritte implementieren Unternehmen eine effiziente SAP-Sicherheit, um sich der sich verschärfenden Bedrohungssituation vorausschauend zu stellen.
Aktuell sieht Onapsis einen großen Nachholbedarf bei Unternehmen, der schon bei der strittigen oder nicht vorhandenen Zuteilung der Verantwortlichkeiten anfängt: „SAP-Fachabteilungen, Informationssicherheitsteams sowie CISOs und CDOs gehen oft nicht miteinander abgestimmt vor. Fachabteilungen konzentrieren sich mehr auf die Produktivität der SAP-Systeme“, sagt Mariano Nunez, CEO und Mitbegründer von Onapsis. „Der C-Level sieht bisweilen nicht, dass SAP-Sicherheit ein Bestandteil der übergreifenden IT-Sicherheitsstrategie sein muss. IT-Security-Administratoren fehlt oft der Überblick über die Geschäftsanwendungen und den Datenaustauch. Eine unklare Verteilung von Zuständigkeiten und geringer Informationsaustausch sind oft die Ursache für Mängel in der SAP-Sicherheit. Konsequente SAP-Sicherheitspolitik beginnt daher erst einmal mit der Schaffung einer Diskussionsgrundlage durch kontinuierliches Assessment und Bewertung von Risiken für alle Beteiligten. Doch diese Ergebnisse müssen auch in die allgemeine IT-Sicherheitspolitik eingebunden werden.“
München/Boston, 6.6.2016 Onapsis,
Über Onapsis
Onapsis liefert die vollständigste Security-Lösung für das Absichern von geschäftskritischen SAP- und Oracle-Applikationen. Als führender Experte für SAP- und Oracle-Cyber-Security bietet Onapsis IT-Sicherheits- und Audit-Teams Transparenz, Sicherheit und Kontrolle über komplexe Bedrohungen, CyberRisiken und Compliance-Lücken, die ihre Unternehmensanwendungen bedrohen.
Onapsis hat seine Hauptniederlassung in Boston, Massachuchettes (USA) und unterstützt mit seinen Lösungen 180 der Global 2000 Unternehmen, darunter 10 führende Handelsunternehmen, 20 führende Energiekonzerne und 20 führende herstellende Unternehmen. Onapsis Lösungen sind darüber hinaus der De-factoStandard für führende Beratungs- und Audit-Firmen wie Accenture, IBM, Deloitte, Ernest & Young, KPMG und PwC.
Zu den Lösungen von Onapsis zählt die Onapsis Security Plattform (OSP) – die meistgenutzte SAP-zertifizierte Cyber-Security-Lösung im Markt. Anders als generische Sicherheitsprodukte ermöglichen Onapsis kontextsensitive Lösungen sowohl präventive Kontrollen für das Überwachen von Schwachstellen und Compliance-Anforderungen als auch Echtzeitfunktionen für das Erkennen und sofortige Reagieren auf ungewöhnliche Ereignisse, die geschäftskritische Prozesse und Daten bedrohen.
Über offene Schnittstellen lässt sich die Plattform mit SIEM-, GRC- und Netzwerksicherheitsprodukten kombinieren. Dies ermöglicht eine nahtlose Integration Unternehmensanwendungen in bestehende Schwachstellen-, Risikound Response-Managementprogramme.
Die Lösungen greifen auf das Onapsis Research Labs zurück, das mit intelligenten Analyseverfahren kontinuierlich Sicherheitsbedrohungen aufdeckt, die SAPSysteme betreffen. Die Experten des Onapsis Research Labs waren die ersten, die über SAP-betreffende Cyber-Attacken berichtet haben. Sie haben mittlerweile hunderte Sicherheitslücken aufgedeckt und Unternehmen dabei unterstützt, diese zu beheben. Schwachstellen können die SAP Business Suite, SAP HANA, SAP Cloud und SAP Mobile-Installationen sowie Oracle JD Edwards und Plattformen der Oracle E-Business Suite betreffen.
Weitere Informationen sind unter www.onapsis.com, sowie über Twitter, Google+ oder LinkedIn erhältlich..
Onapsis und Onapsis Research Labs sind eingetragene Markenzeichen von, Onapsis Inc. Alle anderen genannten Unternehmen und Produkte sind möglicherweise eingetragene Markenzeichen ihrer jeweiligen Eigentümer.