Das SAP-Modell der geteilten Verantwortung: Wer sorgt im Cloud der Cloud für die Sicherheit?

Cloud in SAP-Umgebungen

SAP hat einen regelmäßigen „SAP Security Patch Day“ eingeführt, der jeweils am zweiten Dienstag des Monats stattfindet – dieser Termin wurde auf Grundlage von Kundenfeedback mit dem „Security Patch Day“ anderer großer Softwareanbieter abgestimmt.

An diesen SAP-Patch-Tagen veröffentlicht SAP Softwarekorrekturen in Form von SAP-Sicherheitshinweisen, die sich ausschließlich auf die Sicherheit konzentrieren und zum Schutz vor potenziellen Schwachstellen oder Angriffen dienen. SAP empfiehlt Unternehmen, diese Korrekturen vorrangig zu implementieren, um eine hohe SAP-Sicherheit zu gewährleisten.

Der Aufstieg der Cloud SAP-Lösungen

Die weitverbreitete Einführung cloud SAP-Lösungen, darunter S/4HANA Cloud, RISE with SAP und SAP BTP, stellt eine deutliche Abkehr vom bisherigen Modell dar, bei dem ERP-Systeme vollständig im eigenen Rechenzentrum des Unternehmens verwaltet wurden. Diese Umstellung ermöglicht es Unternehmen, die Vorteile des cloud zu nutzen, das Infrastrukturmanagement auszulagern und Zugang zu modernsten Funktionen zu erhalten. Diese Entwicklung bringt jedoch neue Herausforderungen mit sich, insbesondere im Hinblick auf die Sicherheit.

Warum Sicherheit in der Cloud komplexer ist Cloud im Vergleich zu herkömmlichen lokalen Lösungen)

Die cloud zwar unbestreitbare Vorteile, führt jedoch zu einer neuen Komplexitätsebene, wenn es um die SAP-Sicherheit geht. Im Gegensatz zu herkömmlichen On-Premise-Lösungen, bei denen der Kunde fast die gesamte Sicherheitslast trug, führen cloud ein verteiltes Verantwortungsmodell ein. Die Grenzen zwischen dem, was der cloud sichert, und dem, was in den Zuständigkeitsbereich des Kunden fällt, verschwimmen zunehmend. Diese Komplexität bedeutet, dass der gewohnte Ansatz für ERP-Sicherheit einer grundlegenden Überarbeitung bedarf. Zu verstehen, wer für was verantwortlich ist, ist nicht mehr nur ein Nischenanliegen, sondern ein grundlegendes Element einer sicheren cloud . Die durchcloud und hybride Umgebungen verursachten Komplexitäten verstärken diese Herausforderung noch weiter und erfordern ein klares Verständnis darüber, wo die Sicherheitsverantwortlichkeiten liegen.

Das Modell der geteilten Verantwortung: Ein grundlegendes Konzept für Cloud

Dies führt uns zu dem entscheidenden Konzept des Shared-Responsibility-Modells. Es handelt sich um ein Rahmenwerk, das dazu dient, die Sicherheitsverantwortlichkeiten zwischen dem cloud (wie SAP oder einem Hyperscaler wie AWS, Azure oder GCP) und dem Kunden zu klären. Für Unternehmen, die SAP in der cloud betreiben, ist die Beherrschung dieses Modells von entscheidender Bedeutung, um kritische Sicherheitslücken zu vermeiden, die Compliance sicherzustellen und letztlich ihre wertvollsten Geschäftsdaten und -prozesse zu schützen. Ein umfassendes Verständnis des Shared-Responsibility-Modells ist der erste Schritt zum Aufbau einer robusten SAP-Cybersicherheitsstrategie im cloud . Es hilft dabei, die Grenzen der Cloud zu definieren und zwischen der Sicherheit der cloud der Sicherheit in der cloud zu unterscheiden.

Was ist das SAP-Modell der geteilten Verantwortung?

Die Umstellung auf cloud , insbesondere bei geschäftskritischen Unternehmensanwendungen wie SAP, erfordert ein klares Verständnis der Sicherheitspflichten. Genau hier kommt das Modell der geteilten Verantwortung ins Spiel. Es handelt sich dabei um ein grundlegendes Konzept der cloud , das die Aufteilung der Sicherheitsaufgaben zwischen dem cloud (in diesem Fall SAP oder dem zugrunde liegenden Hyperscaler) und dem Kunden festlegt.

Definition und Kernkonzept: Unterscheidung zwischen „Sicherheit der Cloudund „Sicherheit in der Cloud

Im Kern lässt sich das Modell der geteilten Verantwortung anhand zweier wesentlicher Aspekte verstehen: „Sicherheit der Cloudund „Sicherheit in der Cloud“.

  • Cloud die Aufgaben, für die SAP (oder der von SAP genutzte Hyperscaler) verantwortlich ist. Dazu gehören in der Regel die zugrunde liegende Infrastruktur, wie beispielsweise die physischen Rechenzentren, die Netzwerkinfrastruktur, die Hardware sowie das Basisbetriebssystem und die Virtualisierungsschichten, die die cloud unterstützen. Es geht darum, die Grundlage zu sichern, auf der Ihre SAP-Anwendungen laufen.
  • Cloud „Sicherheit in der Cloud die Verantwortlichkeiten Cloud , die beim Kunden verbleiben. Dies umfasst alles von den Daten, die Sie in die cloud einspeisen, über die Konfiguration Ihrer SAP-Anwendungen, die Benutzerzugriffsverwaltung und benutzerdefinierten Code bis hin zu allen von Ihnen erstellten Integrationen. Im Wesentlichen geht es darum, wie Sie die bereitgestellten cloud nutzen und sichern.

Diese Unterscheidung ist entscheidend, denn während SAPplatform derplatform , ist der Kunde für die Sicherheit bei der Nutzung dieser platform verantwortlich.

Warum das wichtig ist: Vermeidung kritischer Sicherheitslücken

Ein häufiges Missverständnis des Modells der geteilten Verantwortung kann zu erheblichen Sicherheitslücken und Compliance-Problemen führen. Die gefährliche Annahme, dass „der cloud sich um die gesamte Sicherheit kümmert“, macht Unternehmen angreifbar. Wenn Kunden davon ausgehen, dass SAP oder ein Hyperscaler wie AWS, Azure oder GCP allein für alle Sicherheitsaspekte verantwortlich ist, entstehen ungewollt kritische Lücken in ihrer Sicherheitsstrategie. Diese Lücken können ausgenutzt werden und zu Datenlecks, unbefugtem Zugriff, Systemausfällen und der Nichteinhaltung gesetzlicher Vorschriften führen. Wenn ein Kunde beispielsweise versäumt, die Sicherheitseinstellungen auf Anwendungsebene ordnungsgemäß zu konfigurieren oder Benutzerberechtigungen zu verwalten, werden diese zu bevorzugten Zielen für Angreifer – unabhängig davon, wie sicher die zugrunde liegende cloud ist.

Entwicklung des Modells: Von traditionellen Rechenzentren zu Hyperscalern

Das Konzept der geteilten Verantwortung hat sich erheblich weiterentwickelt. In herkömmlichen lokalen Rechenzentren war der Kunde für praktisch alles verantwortlich: physische Sicherheit, Netzwerk, Server, Betriebssysteme, Anwendungen und Daten. Mit dem Aufkommen des cloud , insbesondere durch Infrastructure-as-a-Service- (IaaS) und Platform(PaaS) Angebote, verlagerte sich ein Großteil der Sicherheit der zugrunde liegenden Infrastruktur auf den cloud .

Mit Angeboten wie SAP RISE, bei denen SAP einen größeren Teil des Lösungsstacks verwaltet, werden die genauen Abgrenzungen noch differenzierter. Das Grundprinzip bleibt jedoch bestehen: eine geteilte Verantwortung. Selbst wenn SAP bestimmte Ebenen verwaltet, trägt der Kunde stets die Verantwortung für seine Daten, Anwendungskonfigurationen und Benutzerzugriffe. Das Verständnis dieser Entwicklung ist entscheidend für die Anpassung von Sicherheitsstrategien an moderne cloud .

Kunde vs. Anbieter: Abgrenzung der Verantwortlichkeiten in Cloud SAP Cloud

Ein genauer Blick auf das Shared-Responsibility-Modell verdeutlicht die unterschiedlichen Rollen, die SAP und der Kunde bei der Aufrechterhaltung einer sicheren cloud spielen. Es handelt sich dabei nicht um eine pauschale Sicherheitsgarantie durch eine der beiden Parteien, sondern um eine klare Abgrenzung – oft bildlich als „Linie im Sand“ dargestellt –, die festlegt, wer für welche Sicherheitsaspekte verantwortlich ist.

Verantwortlichkeiten von SAP (Sicherheit der Cloud)

Wenn es um die „Sicherheit der Cloud geht, übernimmt SAP die Verantwortung für die grundlegenden Elemente, die die Verfügbarkeit und Integrität der cloud und der damit verbundenen Dienste gewährleisten. Dazu gehören in der Regel:

SAP sorgt für die Sicherheit der physischen Einrichtungen, in denen seine cloud gehostet werden, darunter Server, Speichergeräte und Netzwerkhardware. Dazu gehören Umgebungskontrollen, physische Zugangssicherheit und die Ausfallsicherheit der Infrastruktur.

SAP ist für die Absicherung seiner eigenen globalen Netzwerkinfrastruktur verantwortlich, einschließlich Netzwerkgeräten, Firewalls und Load Balancern, um sich vor Angriffen auf Netzwerkebene zu schützen und die Konnektivität für seine cloud sicherzustellen.

Bei Managed cloud übernimmt SAP die Verwaltung und Absicherung der zugrunde liegenden Betriebssysteme, Virtualisierungsschichten und Datenbanken, auf denen die cloud basieren. Dazu gehören die Installation von Patches, die Konfiguration sowie die Überwachung dieser Kernkomponenten.

In Szenarien wie „RISE with SAP“, in denen SAP als Hauptauftragnehmer fungiert und häufig den technischen Betrieb auf einer Hyperscaler-Plattform (wie AWS, Azure oder GCP) verwaltet, übernimmt SAP die Verantwortung für bestimmte verwaltete Ebenen, beispielsweise die Installation von Patches für das Betriebssystem oder die Datenbank des Hyperscalers, und festigt so die sichere cloud .

Verantwortlichkeiten des Kunden (Sicherheit in der Cloud)

Während SAP für die „Sicherheit der Cloud“ zuständig ist, trägt der Kunde weiterhin erhebliche Verantwortung für die „Sicherheit in der Cloud“. In diesem Kundenbereich findet der Großteil der Sicherheitsmaßnahmen auf Anwendungsebene, des Datenschutzes und der Benutzerverwaltung statt. Diese Verantwortlichkeiten sind für eine solide SAP-Cybersicherheitsstrategie von entscheidender Bedeutung:

Der Kunde ist dafür verantwortlich, seine spezifischen SAP-Anwendungen (z. B. S/4HANA-Konfigurationen) sicher zu konfigurieren, kundenspezifische Entwicklungen zu verwalten und sicherzustellen, dass alle Anwendungseinstellungen den bewährten Sicherheitsverfahren entsprechen.

Dies ist eine entscheidende Aufgabe des Kunden. Dazu gehören die Definition und Verwaltung von Benutzerrollen, die Sicherstellung angemessener Berechtigungen, die Umsetzung des Prinzips der geringsten Privilegien sowie die sichere Verwaltung privilegierter Benutzerzugriffe innerhalb der SAP-Anwendungen. Ein effektives SAP Identity & Access Management (IAM) ist von entscheidender Bedeutung, und Onapsis kann dabei helfen, diese Zugriffskontrollen kontinuierlich zu überwachen und zu validieren, um Konflikte bei der Aufgabentrennung (SoD) und kritische Zugriffsrisiken zu vermeiden.

Die Kunden sind dafür verantwortlich, ihre Daten zu klassifizieren, eine Verschlüsselung auf Anwendungsebene zu implementieren und Strategien zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) einzusetzen, um sensible Informationen zu schützen, die in ihren SAP-Systemen gespeichert und verarbeitet werden.

Während SAP sein eigenes Netzwerk absichert, sind die Kunden für die Sicherung ihrer Verbindung zu cloud verantwortlich. Dazu gehören die Konfiguration von kundenverwalteten VPNs, die Absicherung der Einstellungen ihrer Virtual Private Cloud VPC) oder ihres Virtual Network (VNet) sowie die Verwaltung der Netzwerkzugriffskontrollen für ihre SAP-Instanzen.

Jegliche Integrationen mit Systemen von Drittanbietern oder die Nutzung von APIs (Application Programming Interfaces) fallen vollständig in den Sicherheitsverantwortungsbereich des Kunden. Dies erfordert eine sorgfältige Bewertung der Sicherheit der verbundenen Systeme und die Absicherung der Datenflüsse zwischen ihnen. Onapsis erweitert die Transparenz und die Erkennung von Bedrohungen auf diese kritischen Integrationspunkte.

Jeder vom Kunden oder von Dritten für ihre SAP-Anwendungen entwickelte benutzerdefinierte Code muss den Richtlinien für sicheres Programmieren entsprechen. Durch die Einbeziehung der SAP DevSecOps-Prinzipien wird sichergestellt, dass Sicherheit von Anfang an in den Entwicklungslebenszyklus integriert wird – ein Prozess, den Onapsis durch die Einbindung von Sicherheitsmaßnahmen in die CI/CD-Pipeline für benutzerdefinierte SAP-Entwicklungen unterstützt.

Während SAP seine Infrastruktur überwacht, sind die Kunden dafür verantwortlich, ihre SAP-Anwendungsschicht auf verdächtige Aktivitäten, Sicherheitsabweichungen und potenzielle Bedrohungen zu überwachen. Dazu gehört die Einrichtung einer robusten SAP-Sicherheitsüberwachung sowie die Erstellung eines Plans zur Reaktion auf Sicherheitsvorfälle auf Anwendungsebene, wobei häufig Lösungen zur Erkennung von Unternehmensbedrohungen von Onapsis genutzt werden, um in Echtzeit Einblicke in Angriffe und Schwachstellen zu erhalten, die SAP-Anwendungen betreffen.

Die letztendliche Verantwortung für den Nachweis der Einhaltung von Branchenvorschriften (wie DSGVO, SOX, NIST) und internen Governance-Richtlinien für die SAP-Anwendungen und -Daten liegt beim Kunden. Dies umfasst häufig Prozesse für die automatisierte SAP-Compliance – ein Schlüsselbereich, in dem Onapsis durch die Automatisierung control und die Vorbereitung auf Audits seine Stärken ausspielt.

Geteilte Verantwortung in wichtigen SAP Cloud

Das Modell der geteilten Verantwortung ist kein Einheitskonzept. Seine konkrete Anwendung kann je nach dem jeweiligen cloud , das Ihr Unternehmen nutzt, variieren. Das Verständnis dieser Feinheiten ist entscheidend, um Ihre genauen Sicherheitsverpflichtungen genau zu bestimmen.

RISE with SAP und das Shared-Modell

RISE with SAP stellt einen bedeutenden Wandel in der Art und Weise dar, wie Unternehmen SAP nutzen. Es handelt sich um ein gebündeltes Angebot, das häufig S/4HANA Cloud, technische Managed Services und den Zugang zur SAP Business Technology Platform umfasst. Auch wenn RISE darauf abzielt, den cloud zu vereinfachen, ist es unerlässlich, die Sicherheitsrollen klar zu definieren.

Klärung der Rollen in RISE with SAP

Auch wenn SAP wesentliche Teile der Infrastruktur verwaltet, bleibt der Kunde für die Sicherheit der Anwendungsschicht seiner S/4HANA-Instanz verantwortlich. Dazu gehören wichtige Aufgaben wie:

Besondere Pflichten des Kunden

Auch wenn SAP wesentliche Teile der Infrastruktur verwaltet, bleibt der Kunde für die Sicherheit der Anwendungsschicht seiner S/4HANA-Instanz verantwortlich. Dazu gehören wichtige Aufgaben wie:

  • S/4HANA-Anwendungen richtig konfigurieren
  • Verwaltung von Benutzerzugriffen, Rollen und Berechtigungen
  • Sicherheit bei kundenspezifischen Entwicklungen und Integrationen
  • Datenschutz in der S/4HANA-Anwendung
  • Überwachung auf Bedrohungen und Schwachstellen auf Anwendungsebene

Nutzung von Tools für die RISE-Sicherheit

Angesichts dieser anhaltenden Kundenverantwortlichkeiten benötigen Unternehmen, die RISE with SAP einführen, robuste Lösungen, um Transparenz und control ihren Teil des gemeinsamen Modells zu erlangen. Hier erweist sich eine platform Onapsis als unschätzbar wertvoll. Onapsis unterstützt Kunden gezielt dabei, ihre Konfigurationen zu sichern, Schwachstellen zu verwalten, Bedrohungen auf Anwendungsebene zu erkennen und die Compliance innerhalb ihrer S/4HANA- und SAP RISE-Sicherheitslandschaften sicherzustellen, wodurch die durch das Shared Model entstandenen control in Bezug auf Transparenz und control effektiv geschlossen werden. Onapsis verfügt in diesem Bereich über eine starke Position und spezielle Angebote.

Sicherheit Platform SAP Business Technology Platform BTP)

Platform SAP Business Technology Platform BTP) bietet eine Platform( PaaS)-Umgebung für die Erweiterung und Integration von SAP-Anwendungen sowie für die Entwicklung neuer Anwendungen. Das Modell der geteilten Verantwortung verschiebt sich hier aufgrund des PaaS-Charakters leicht.

PaaS-spezifische Aufgaben

Bei BTP sorgt SAP für die Sicherheit der zugrunde liegenden platform, einschließlich der Laufzeitumgebung, der Datenbankdienste und der Konnektivitätsdienste. Der Kunde trägt jedoch die volle Verantwortung für:

Daten und Benutzerzugriff in BTP-Anwendungen

Die Kunden tragen die volle Verantwortung für die Daten, die sie in ihren BTP-Anwendungen speichern und verarbeiten. Dies umfasst die Datenverschlüsselung, die Klassifizierung sowie control. Ebenso liegt die Verwaltung der Benutzerzugriffe auf kundenspezifische BTP-Anwendungen und die ihnen zugrunde liegenden Daten weiterhin in der Verantwortung des Kunden, was die Notwendigkeit strenger SAP Identity & Access Management (IAM)-Verfahren unterstreicht.

SAP S/4HANA Cloud Public Edition vs. Private Edition)

Die geteilte Verantwortung weist zudem Unterschiede zwischen der öffentlichen und der privaten Version von SAP S/4HANA Cloud auf.

  • Unterschiede bei der Verantwortungszuweisung je nach Bereitstellungsmodell
    Die konkrete Aufteilung der Verantwortlichkeiten zwischen SAP und dem Kunden hängt maßgeblich vom gewählten Bereitstellungsmodell ab, was sich unmittelbar auf den Grad der control damit auf die Sicherheitsaufgaben auswirkt, die dem Kunden obliegen.
  • S/4HANA Cloud Public Edition):
    Hierbei handelt es sich um ein stark standardisiertes, mandantenfähiges SaaS-Angebot. SAP übernimmt einen größeren Teil der Verwaltung der Infrastruktur, und die Anpassungsmöglichkeiten für Kunden sind begrenzt. Folglich trägt SAP einen größeren Teil der Verantwortung für die Sicherheit. Der Fokus des Kunden liegt in erster Linie auf der Benutzerzugriffskontrolle, den Daten innerhalb der Anwendung und der Integrationssicherheit.
  • S/4HANA Cloud Private Edition):
    Dieses Angebot bietet mehr Flexibilität und control und wird häufig auf einer Hyperscaler-Plattform innerhalb einer dedizierten Kundenumgebung betrieben. Während SAP weiterhin die Kernanwendung verwaltet, trägt der Kunde mehr Verantwortung für Netzwerkkonfigurationen, Integrationen und detailliertere Sicherheitseinstellungen auf Anwendungsebene. Dieses Modell ähnelt in seiner Aufgabenteilung eher dem Modell von „RISE with SAP“.
  • Fokus auf Sicherheit auf Anwendungsebene
    Unabhängig von der S/4HANA Cloud liegt der Schwerpunkt der Sicherheitsmaßnahmen beim Kunden weiterhin auf der Anwendungsebene. Dazu gehören Konfigurationen, Benutzerverwaltung, benutzerdefinierter Code und Datenschutz. Tools, die umfassende Transparenz und control die SAP-Anwendungsebene bieten, sind unerlässlich für die Risikominimierung, insbesondere im Zusammenhang mit der Transformation auf S/4HANA.

Häufige Irrtümer und ihre Folgen

Trotz der klaren Definitionen des Modells der geteilten Verantwortung bestehen nach wie vor einige hartnäckige Missverständnisse. Diese Missverständnisse führen oft zu kritischen Sicherheitslücken und schwerwiegenden Folgen für Unternehmen.

„SAP kümmert sich um die gesamte Sicherheit.“ (Warum das falsch und gefährlich ist)

Das vielleicht am weitesten verbreitete und gefährlichste Missverständnis ist die Annahme, dass der cloud – sei es SAP selbst oder ein Hyperscaler – die volle Verantwortung für die gesamte Sicherheit übernimmt, sobald ein Unternehmen seine SAP-Systeme in die cloud verlagert. Das könnte nicht weiter von der Wahrheit entfernt sein. Während SAP die zugrunde liegende Infrastruktur und die Dienste sichert (Sicherheit der cloud), ist der Kunde stets für die Sicherung seiner Daten, Konfigurationen, Zugriffskontrollen und kundenspezifischen Entwicklungen verantwortlich (Sicherheit in der cloud). Die falsche Annahme, dass „SAP sich um die gesamte Sicherheit kümmert“, schafft ein falsches Sicherheitsgefühl und lässt weite Teile der cloud des Kunden ungeschützt.

Folgen von Missverständnissen: Datenschutzverletzungen, Verstöße gegen Vorschriften, Betriebsstörungen

Die Folgen von Missverständnissen und einer unzureichenden Umsetzung des Modells der geteilten Verantwortung können schwerwiegend und weitreichend sein:

  • Datenschutzverletzungen: Falsche Konfigurationen, unzureichende Zugriffskontrollen oder nicht behobene Sicherheitslücken in Anwendungen auf Kundenseite können unmittelbar zu unbefugtem Zugriff auf sensible Geschäftsdaten führen, was kostspielige und rufschädigende Datenschutzverletzungen zur Folge hat.
  • Verstöße gegen Compliance-Vorschriften: Unternehmen unterliegen verschiedenen regulatorischen Rahmenbedingungen (z. B. DSGVO, SOX, NIST, HIPAA). Wenn der Kundenbereich der cloud nicht ausreichend gesichert wird, kann dies zu Compliance-Verstößen, hohen Geldstrafen, rechtlichen Konsequenzen und einem Vertrauensverlust seitens der Kunden führen. Der Nachweis der automatisierten SAP-Compliance erfordert eine aktive Einbindung der Kunden.
  • Betriebsstörungen: Sicherheitsvorfälle, die auf mangelhaft wahrgenommene Kundenpflichten zurückzuführen sind – wie beispielsweise nicht behobene kritische Sicherheitslücken oder erfolgreiche Ransomware-Angriffe auf die SAP-Anwendungsschicht –, können zu erheblichen Betriebsausfällen führen und sich auf zentrale Geschäftsprozesse wie Lieferkette, Finanzen und Personalwesen auswirken.
  • Finanzielle Verluste: Abgesehen von Geldstrafen und Wiederherstellungskosten können Sicherheitsvorfälle aufgrund von Diebstahl geistigen Eigentums, Betrug und längerer Betriebsunterbrechung erhebliche finanzielle Verluste nach sich ziehen.

Beispiele aus der Praxis für Lücken

Auch wenn konkrete Kundenfälle selten öffentlich gemacht werden, verdeutlichen allgemeine Muster die Auswirkungen von Lücken bei der geteilten Verantwortung:

  • Falsch konfigurierte S/4HANA-Systeme: Viele Vorfälle sind auf grundlegende Fehlkonfigurationen auf der SAP-Anwendungsebene zurückzuführen, die durch angemessene Absicherung und kontinuierliche Überwachung hätten verhindert werden können – Bereiche, in denen die Hauptverantwortung beim Kunden liegt.
  • Rechteausweitung durch unzureichende Zugriffskontrollen: Die Ausnutzung übermäßig freizügiger Benutzerrollen oder unüberwachter Konten mit privilegierten Zugriffsrechten innerhalb der SAP-Anwendungsumgebung verdeutlicht ein klares Versagen des Kunden bei der Erfüllung seiner Pflichten im Bereich SAP Identity & Access Management (IAM).
  • Ausnutzung ungepatchter Anwendungsschwachstellen: Obwohl SAP Sicherheitshinweise veröffentlicht (beispielsweise am SAP Patch Day), sind Kunden weiterhin bekannten Exploits ausgesetzt, wenn sie diese Patches nicht rechtzeitig auf ihrer Anwendungsebene installieren. Dies unterstreicht die entscheidende Rolle des Kunden beim SAP-Schwachstellenmanagement.

Diese Beispiele machen deutlich, dass selbst bei der sichersten cloud von SAP die aktive Mitwirkung des Kunden bei der Sicherung seines Teils des Modells für echte Unternehmenssicherheit unverzichtbar ist.

Bewährte Verfahren zur Absicherung von Cloud im Rahmen der geteilten Verantwortung

Um das SAP-Modell der geteilten Verantwortung effektiv umzusetzen, ist seitens des Kunden ein proaktiver und strategischer Ansatz erforderlich. Die Umsetzung einer umfassenden Sicherheitsstrategie, die speziell auf den Aspekt „Sicherheit in der cloudausgerichtet ist, ist von entscheidender Bedeutung. Hier sind die wichtigsten Best Practices:

Umfassende Transparenz: Einheitliche Übersicht über Cloud Hybrid-SAP-Umgebungen

Eine der grundlegenden Herausforderungen im cloud ist der Verlust der umfassenden Transparenz, über die Unternehmen früher bei rein lokalen Systemen verfügten. Um dem entgegenzuwirken, ist es entscheidend, eine umfassende Transparenz über alle Ihre SAP-Landschaften hinweg zu schaffen – unabhängig davon, ob diese vollständig cloud oder in Hybridumgebungen betrieben werden. Dies setzt den Einsatz von Tools und Prozessen voraus, die einen einheitlichen Überblick über den Sicherheitsstatus, die Konfigurationen, Schwachstellen und Bedrohungen auf der Ebene der SAP-Anwendungen bieten und damit die von Hyperscalern bereitgestellte Transparenz für die Infrastruktur ergänzen.

Proaktives Konfigurationsmanagement: Vermeidung von Fehlkonfigurationen in großem Maßstab

Fehlerhafte Konfigurationen sind eine der Hauptursachen für cloud . Bei SAP-Systemen kann dies unter anderem falsch eingestellte Benutzerberechtigungen, ungeschützte Schnittstellen oder unsichere Systemparameter umfassen. Die Umsetzung eines proaktiven Konfigurationsmanagements umfasst:

  • Festlegung sicherer baseline für alle SAP cloud .
  • Kontinuierliche Überwachung der Konfigurationen auf Abweichungen von diesen Referenzwerten.
  • Die Identifizierung und Behebung von Fehlkonfigurationen in großem Maßstab automatisieren.

Robuste Identitäts- und Zugriffsverwaltung: Umsetzung von „Least Privilege“, MFA und RBAC

Das Identitäts- und Zugriffsmanagement (IAM) ist wohl die wichtigste Sicherheitsaufgabe des Kunden in der cloud. Zu den bewährten Verfahren gehören:

  • Umsetzung des Prinzips der geringsten Berechtigungen: Benutzer und Anwendungen sollten nur über die für die Erfüllung ihrer Aufgaben unbedingt erforderlichen Zugriffsrechte verfügen.
  • Multi-Faktor-Authentifizierung (MFA): Die obligatorische Einführung der MFA für alle SAP-Benutzer, insbesondere für privilegierte Konten, bietet einen entscheidenden zusätzlichen Schutz vor dem Diebstahl von Zugangsdaten.

Rollenbasierte Control RBAC): Die Definition klarer Rollen und die Vergabe von Berechtigungen auf der Grundlage dieser Rollen vereinfacht die Verwaltung und verringert das Risiko von unberechtigtem Zugriff. Dies ist ein grundlegender Bestandteil des SAP Identity & Access Management (IAM).

Kontinuierliche Erkennung und Überwachung von Bedrohungen: Echtzeit-Warnmeldungen bei Anomalien

Sich ausschließlich auf die Überwachung auf Infrastrukturebene durch cloud zu verlassen, reicht für SAP-Anwendungen nicht aus. Kunden benötigen Funktionen für eine kontinuierliche SAP-Sicherheitsüberwachung, die Folgendes leisten können:

  • Erkennen Sie böswillige Aktivitäten, verdächtiges Benutzerverhalten und Anomalien innerhalb der SAP-Anwendungsschicht in Echtzeit.
  • SAP-Protokolle und Systemereignisse auf Anzeichen für Sicherheitsverletzungen analysieren.
  • Integration in umfassendere SIEM-Systeme (Security Information and Event Management) für einen ganzheitlichen Überblick über die Unternehmenssicherheit. Solche Funktionen sind für eine effektive Erkennung von Bedrohungen im Unternehmen unerlässlich.

Schwachstellen- und Patch-Management: Sicherstellen, dass Sicherheitshinweise auf Anwendungsebene umgesetzt werden

Während cloud die zugrunde liegende Infrastruktur patchen, sind Sie weiterhin dafür verantwortlich, Schwachstellen in Ihren SAP-Anwendungen selbst zu identifizieren und zu beheben. Dazu gehören die Umsetzung von SAP-Sicherheitshinweisen, die Behebung von Fehlkonfigurationen und die Überprüfung von benutzerdefiniertem Code. Ein effektives Schwachstellen- und Patch-Management auf Anwendungsebene erfordert Funktionen, die Folgendes leisten können:

  • SAP-Systeme (einschließlich ABAP-, Java-, HANA- und cloud wie BTP und SuccessFactors) kontinuierlich auf bekannte Sicherheitslücken und fehlende Sicherheitspatches überprüfen.
  • Assess Systemkonfigurationen anhand von Best Practices für die Sicherheit und Compliance-Rahmenwerken (wie SOX oder NIST) Assess .
  • Benutzerdefinierten Code (z. B. ABAP) auf Sicherheitslücken untersuchen, die während der Entwicklung entstanden sind.
  • Priorisieren Sie die Maßnahmen zur Behebung von Problemenanhand des Risikos und der Auswirkungen auf das Geschäft und geben Sie klare Anweisungen zur Behebung der festgestellten Probleme.

Sichere Integrationen: Bewertung von Risiken durch Drittanbieter

Moderne SAP-Umgebungen sind selten isoliert; sie sind mit zahlreichen Anwendungen und Diensten von Drittanbietern integriert. Kunden müssen:

  • Überprüfen Sie die Sicherheitslage aller integrierten Lösungen von Drittanbietern gründlich.
  • Sichere Kommunikationskanäle und APIs für Integrationen.
  • Überwachen Sie kontinuierlich die Datenflüsse und Zugriffsberechtigungen für integrierte Systeme.

Automatisierte Compliance-Prüfung: Die Lücke zwischen Richtlinie und Praxis schließen

Die kontinuierliche Einhaltung interner Richtlinien und externer Vorschriften (wie SOX, DSGVO, NIST für SAP-Compliance) ist eine wesentliche Aufgabe des Kunden. Manuelle Compliance-Prüfungen sind in dynamischen cloud oft unzureichend und fehleranfällig. Die Implementierung von SAP- Lösungen für automatisierte Compliance kann:

  • Automatisieren Sie control und die Erfassung von Nachweisen.
  • Bieten Sie Echtzeit-Einblick in den Compliance-Status.
  • Optimieren Sie die Prüfungsvorbereitung und Berichterstattung.

Sicherheit durch Design: Integration von Sicherheit in DevOps/DevSecOps für SAP

Bei kundenspezifischen Entwicklungen und Erweiterungen in cloud (z. B. SAP BTP) ist es entscheidend, Sicherheitsaspekte frühzeitig in den Entwicklungszyklus einzubeziehen. Die SAP DevSecOps-Prinzipien stellen sicher, dass Sicherheitsaspekte von der Entwurfsphase über die Entwicklung und das Testen bis hin zur Bereitstellung berücksichtigt werden, wodurch Schwachstellen reduziert werden, bevor sie in die Produktion gelangen.

Wie Onapsis zur Umsetzung des Modells der geteilten Verantwortung beiträgt

Während SAP und Hyperscaler für die Sicherheit cloud sorgen, liegt es weiterhin in der Verantwortung des Kunden, seine geschäftskritischen Anwendungen und Daten in der cloud zu schützen. Genau hier werden Lösungen, die speziell für die Sicherheit von Unternehmensanwendungen entwickelt wurden, unverzichtbar. Onapsis spielt eine zentrale Rolle dabei, Unternehmen in die Lage zu versetzen, ihren Teil des Shared-Responsibility-Modells für SAP-Umgebungen effektiv umzusetzen, indem es die erforderliche Transparenz, Automatisierung und threat intelligence bereitstellt.

Eine der größten Herausforderungen für Kunden in cloud hybriden SAP-Umgebungen besteht darin, einen umfassenden Überblick über ihre Anwendungsebene zu gewinnen. Herkömmlichen Sicherheitstools fehlt es oft an einem tiefgreifenden Verständnis der einzigartigen Architektur von SAP. Onapsis bietet einen beispiellosen Einblick in die Konfigurationen, Schwachstellen und Benutzerzugriffe innerhalb von SAP-Anwendungen, unabhängig davon, ob diese vor Ort, bei einem Hyperscaler oder als Teil von RISE with SAP ausgeführt werden. Diese einheitliche Übersicht ermöglicht es Kunden, ihre tatsächliche Angriffsfläche und potenzielle Risiken innerhalb ihres Zuständigkeitsbereichs zu erfassen.

Manuelle Prozesse zur Erkennung und Behebung von SAP-Sicherheitslücken und Fehlkonfigurationen sind im großen Maßstab nicht tragbar, insbesondere in dynamischen cloud . Onapsis automatisiert das SAP-Schwachstellenmanagement, indem es kontinuierlich nach fehlenden Patches (einschließlich der am SAP Patch Day hervorgehobenen), unsicheren Konfigurationen und Schwachstellen im benutzerdefinierten Code sucht. Es liefert umsetzbare Erkenntnisse, die dabei helfen, diese Befunde zu priorisieren und zu beheben, wodurch das Risiko des Kunden durch bekannte Exploits erheblich verringert und seine allgemeine Sicherheitslage gestärkt wird. Dazu gehört auch ein proaktives Konfigurationsmanagement, um Fehlkonfigurationen in großem Maßstab zu verhindern.

Die Einhaltung gesetzlicher Vorschriften und interner Governance-Richtlinien für SAP-Systeme liegt in der ständigen Verantwortung des Kunden. Onapsis hilft dabei, die Lücke zwischen Richtlinie und Praxis zu schließen, indem es die automatisierte Compliance für SAP-Systeme ermöglicht. Die Lösung bietet automatisierte control , eine kontinuierliche Überwachung anhand von Compliance-Benchmarks (wie SOX, DSGVO, NIST) sowie eine vereinfachte Erfassung von Prüfungsnachweisen. Dadurch wird sichergestellt, dass Unternehmen jederzeit für Audits bereit sind, was den Aufwand für manuelle Compliance-Prüfungen verringert und das Risiko von Bußgeldern wegen Nichteinhaltung minimiert.

Selbst bei umfassenden Präventionsmaßnahmen verändert sich die Bedrohungslage ständig. Kunden benötigen die Möglichkeit, aktive Bedrohungen, die auf ihre SAP-Anwendungen abzielen, zu erkennen und darauf zu reagieren. Onapsis bietet spezialisierte Funktionen zur Überwachung der SAP-Sicherheit und zur Erkennung von Unternehmensbedrohungen, die über die Netzwerk- und Endpunktsicherheit hinausgehen. Die Lösung überwacht SAP-Anwendungsprotokolle und -aktivitäten in Echtzeit, identifiziert anomales Verhalten, Anzeichen für Kompromittierungen und aktive Angriffe, ermöglicht eine schnelle Reaktion auf Vorfälle und minimiert potenzielle Schäden.

Onapsis kennt die Besonderheiten verschiedener cloud . Das Unternehmen bietet maßgeschneiderten Support und Funktionen zur Absicherung verschiedener cloud , darunter:

  • RISE with SAP: Bietet die umfassende Sicherheit auf Anwendungsebene, die zur Ergänzung der SAP-Verantwortlichkeiten erforderlich ist, und gibt den Kunden control ihre SAP-RISE-Sicherheit.
  • SAP Business Technology Platform BTP): Unterstützung bei der Absicherung kundenspezifischer Anwendungen und Entwicklungen auf der PaaS-Ebene durch die Integration von Sicherheitsmaßnahmen in die SAP DevSecOps-Pipeline.
  • SAP S/4HANA Cloud: Liefert wichtige Einblicke in Anwendungskonfigurationen und Schwachstellen – unerlässlich für eine erfolgreiche Transformation mit S/4HANA und für die kontinuierliche Sicherheit sowohl in der Public- als auch in der Private-Edition.

Durch eine Partnerschaft mit Onapsis können Unternehmen cloud SAP-Lösungen getrost nutzen, da sie wissen, dass sie über eine robuste Lösung verfügen, um ihren Sicherheitspflichten im Rahmen des Shared-Responsibility-Modells nachzukommen.

Fazit: Übernehmen Sie die Verantwortung für Ihre Cloud

Der Umstieg cloud SAP-Systemen cloud die cloud bringt unbestreitbare Vorteile in Bezug auf Agilität und Innovation mit sich, verändert jedoch die Sicherheitslandschaft grundlegend. Das SAP-Modell der geteilten Verantwortung ist nicht nur ein theoretisches Konzept, sondern ein entscheidender operativer Rahmen, der von jedem Unternehmen ein aktives Engagement erfordert.

Zusammenfassung der wichtigsten Erkenntnisse: Geteilte Verantwortung ist nicht verhandelbar

Wie wir bereits gesehen haben, ist die Unterscheidung zwischen „Sicherheit der cloud(im Zuständigkeitsbereich des Anbieters) und „Sicherheit in der cloud(im Zuständigkeitsbereich des Kunden) der Grundstein für das Verständnis moderner SAP-Sicherheit. Missverständnisse bezüglich dieses Modells können direkt zu erheblichen Sicherheitslücken führen, die sich auf die Datenintegrität, die Systemverfügbarkeit und die Einhaltung gesetzlicher Vorschriften auswirken. Unabhängig davon, ob Sie SAP S/4HANA Cloud einsetzen, RISE with SAP nutzen oder auf SAP BTP aufbauen, trägt Ihr Unternehmen weiterhin erhebliche Sicherheitsverantwortung, insbesondere auf der Anwendungs-, Daten- und Zugriffsebene.

Die Bedeutung eines proaktiven und strategischen Ansatzes

Eine wirksame cloud S cloud erfordert einen Wandel von einer reaktiven zu einer proaktiven und strategischen Herangehensweise. Das bedeutet:

  • Gewinnen Sie einen umfassenden Überblick über Ihre gesamte SAP-Landschaft.
  • Einführung einer soliden Identitäts- und Zugriffssteuerung.
  • Kontinuierliche Verwaltung von Sicherheitslücken und Konfigurationen.
  • Einrichtung von Funktionen zur Erkennung und Bekämpfung von Bedrohungen in Echtzeit für Ihre kritischen SAP-Anwendungen.
  • Integrieren Sie Sicherheitsmaßnahmen frühzeitig in Ihre Entwicklungszyklen und befolgen Sie dabei die SAP DevSecOps- Grundsätze.
  • Automatisierung der Compliance-Prüfung zur Gewährleistung einer kontinuierlichen Prüfungsbereitschaft.

Diese Pflichten auf Kundenseite zu ignorieren, ist so, als würde man die Haustür unverschlossen lassen, auch wenn das Haus selbst stabil ist.

Ausblick: Cloud sich wandelnde Cloud und Herausforderungen im Bereich Sicherheit

Die cloud für SAP wird sich weiterentwickeln, wobei neue Dienste, Bereitstellungsmodelle und Integrationsmuster entstehen. Da Unternehmen zunehmend auf ihre cloud setzen, werden auch die Bedrohungen, die auf diese Umgebungen abzielen, immer raffinierter. Dies erfordert ständige Wachsamkeit und eine anpassungsfähige Sicherheitsstrategie. Sich über sich weiterentwickelnde Best Practices auf dem Laufenden zu halten, spezialisierte SAP-Sicherheitsprodukte zu nutzen und mit Experten zusammenzuarbeiten, die die besonderen Feinheiten der SAP-Anwendungssicherheit in der cloud verstehen, cloud entscheidend sein, um angesichts künftiger Herausforderungen eine starke Sicherheitslage aufrechtzuerhalten. Letztendlich ist die Übernahme der vollen Verantwortung Ihres Unternehmens im Rahmen des SAP Shared Responsibility Model der einzige Weg zu cloud wirklich sicheren cloud .

Häufig gestellte Fragen

Das Grundprinzip lautet, dass die Sicherheit eine gemeinsame Verpflichtung von SAP (bzw. dem cloud ) und dem Kunden ist. SAP ist für die „Sicherheit der cloud“ verantwortlich, d. h. für die zugrunde liegende Infrastruktur und die Dienste. Der Kunde ist für die „Sicherheit in der cloud“ verantwortlich, wozu seine Daten, Anwendungskonfigurationen, die Zugriffsverwaltung und kundenspezifische Entwicklungen gehören.

cloud bieten zwar eine äußerst sichere Infrastruktur, haben jedoch weder Zugriff auf noch control Ihre spezifischen Daten, Anwendungskonfigurationen, Benutzereinstellungen oder benutzerdefinierten Code. Diese Elemente sind spezifisch für Ihre Geschäftsabläufe, und ihre Absicherung erfordert Ihr aktives Management und Ihre Wachsamkeit.

Zu den wichtigsten Aufgaben im Kundenbereich gehören die Verwaltung von Benutzeridentitäten und Zugriffsrechten, die Sicherung von Anwendungskonfigurationen, der Schutz sensibler Daten, die Gewährleistung der Sicherheit von benutzerdefiniertem Code, die Verwaltung von Integrationen sowie die Sicherheitsüberwachung auf Anwendungsebene und die Reaktion auf Sicherheitsvorfälle.

Bei „RISE with SAP“ übernimmt SAP in der Regel einen größeren Teil des technischen Betriebs und der zugrunde liegenden Infrastruktur. Der Kunde bleibt jedoch weiterhin verantwortlich für Anwendungskonfigurationen, Benutzerzugriffe, Datenschutz sowie für jeglichen benutzerdefinierten Code oder Integrationen innerhalb seiner S/4HANA-Instanz. Dadurch wird die Sicherheit von SAP RISE zu einer gemeinsamen Aufgabe.

In S/4HANA Cloud Public Edition) übernimmt SAP aufgrund des standardisierten SaaS-Charakters einen größeren Teil der Infrastruktur. Dies kann den Betriebsaufwand für den Kunden in Bezug auf bestimmte Sicherheitsaspekte verringern. Der Kunde trägt jedoch weiterhin die Verantwortung für den Benutzerzugriff, die Datenverwaltung innerhalb der Anwendung sowie die Sicherung bestimmter Konfigurationen und Integrationen.

Onapsis unterstützt Kunden dabei, ihren Teil der Sicherheitsverantwortung umzusetzen, indem es umfassende Einblicke in SAP-Anwendungen bietet, das SAP-Schwachstellenmanagement und die Konfigurationsabsicherung automatisiert, eine kontinuierliche Überwachung der SAP-Sicherheit auf Bedrohungen ermöglicht und bei der automatisierten SAP-Compliance-Validierung in verschiedenen cloud hilft.

Missverständnisse können zu kritischen Sicherheitslücken führen, die potenzielle Datenlecks, die Nichteinhaltung gesetzlicher Vorschriften, Betriebsstörungen und erhebliche finanzielle Verluste zur Folge haben können. Oft beruhen sie auf der falschen Annahme, dass der cloud für die gesamte Sicherheit zuständig ist.

Die Umsetzung strenger Verfahren für das SAP Identity & Access Management (IAM) ist von entscheidender Bedeutung. Dazu gehören die Durchsetzung des Prinzips der geringsten Berechtigungen, der Einsatz der Multi-Faktor-Authentifizierung (MFA), die Einrichtung Control rollenbasierten Control RBAC) sowie die regelmäßige Überprüfung der Benutzerberechtigungen, um unbefugten Zugriff zu verhindern.

Onapsis bietet einheitliche Sicherheitslösungen sowohl für cloud für lokale ERP-Umgebungen. Da Unternehmen häufig hybride SAP-Landschaften betreiben, Platform die Platform ein zentralisiertes Schwachstellenmanagement, eine kontinuierliche Erkennung von Bedrohungen und eine automatisierte Überwachung der Compliance über die gesamte Architektur hinweg, wodurch geschäftskritische Daten geschützt werden, unabhängig davon, wo die jeweilige Anwendung gehostet wird.

Onapsis unterstützt sichere Entwicklungspraktiken für cloud SAP-Systeme, indem automatisierte Anwendungssicherheitstests direkt in die Entwicklungspipelines integriert werden. Sicherheitsteams nutzen Onapsis Control, um benutzerdefinierten ABAP-Code und cloud vor der Bereitstellung automatisch auf Schwachstellen zu überprüfen. So wird sichergestellt, dass neue Anwendungen den „Secure-by-Design“-Prinzipien entsprechen und keine Risiken in die Produktionsumgebungen einbringen.

Ja, das Modell der geteilten Verantwortung gilt allgemein für alle Branchen, die cloud einsetzen. Für Branchen wie die Versorgungswirtschaft, die häufig mit besonderen regulatorischen Anforderungen und Sicherheitsanforderungen im Bereich der Betriebstechnik (OT) konfrontiert sind, ist es umso wichtiger, die Sicherheitspflichten des Kunden zu verstehen und zu erfüllen, um branchenspezifische Compliance-Anforderungen zu erfüllen und kritische Infrastrukturen zu schützen.

Kunden benötigen einen soliden Prozess, um die am SAP Patch Day veröffentlichten SAP-Sicherheitshinweise zu verfolgen, deren Relevanz für ihre cloud zu bewerten, kritische Patches zu priorisieren und diese effizient auf ihre SAP-Anwendungen anzuwenden. Automatisierte Tools können bei diesem fortlaufenden SAP-Schwachstellenmanagementprozess eine große Hilfe sein.

Handeln Sie jetzt: Sichern Sie Ihre SAP-Umgebung mit Onapsis

Eine Demo vereinbaren

um zu erfahren, wie Onapsis Ihre SAP-Patching-Strategie optimieren kann

Anfrage senden

Kontaktieren Sie uns

um zu besprechen, wie Onapsis-Lösungen Ihre SAP-Sicherheit verbessern können

Ein Gespräch beginnen