GRC-Dienstage: Sicherheit und Minderung von IT-Risiken durch vorkonfigurierte automatisierte Kontrollen

Von:

24. Juni 2021

Dieser Blogbeitrag wurde vonThomas Frénéhard, Vice President für Go-To-Market im Bereich Finance & Risk Solutions bei SAP, verfasst und ursprünglich in der SAP Community veröffentlicht.

Vor einigen Monaten habe ich einen Blogbeitrag mit dem Titel „GRC Tuesdays: Integration von Cybersicherheit und Unternehmensrisikomanagement“ veröffentlicht, um das Positionspapier des National Institute of Standards and Technology (NIST) zum Thema „Integration von Cybersicherheit und Unternehmensrisikomanagement (ERM) “ vorzustellen. In dieser Veröffentlichung erläutert das NIST, wie Cybersicherheitsrisiken in das übergeordnete Unternehmensrisikomanagement-Programm eingebunden und somit in den gesamten Entscheidungsprozess einbezogen werden können.

Sicherheitsmaßnahmen als Strategie zur Risikobewältigung

Daraufhin wiesen mich Leser darauf hin, dass ich kaum Hinweise gegeben hatte, wie man diese Cybersicherheitsrisiken durch geeignete Maßnahmen in den Griff bekommen kann. Was zugegebenermaßen nach wie vor eines der Hauptziele des Risikomanagements ist. Interessanterweise schlägt das NIST auch verschiedene Arten von Reaktionsstrategien vor: Akzeptieren, Übertragen, Mindern und Vermeiden.

Sicherheitsmaßnahmen
Quelle: Tabelle 3: Reaktionsarten bei negativen Cybersicherheitsrisiken, „Integration von Cybersicherheit und Unternehmensrisikomanagement (ERM)“, NIST, Oktober 2020

In diesem Blogbeitrag möchte ich mich auf die Option „Mitigate“ konzentrieren, wobei ich insbesondere auf die vom NIST definierten Sicherheitskontrollen eingehe, die als „für ein Informationssystem oder eine Organisation vorgeschriebene Schutzmaßnahmen oder Gegenmaßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit des Systems und seiner Informationen“ beschrieben werden. Natürlich ist das NIST nicht das einzige Rahmenwerk, das control Sicherheit und control umfasst. Man denke beispielsweise an den Sarbanes-Oxley Act: Um Unternehmen bei der Verwaltung der allgemeinen IT-Kontrollen zu unterstützen, hat die ISACA ihr COBIT-Rahmenwerk und das IIA seine GAIT-Methodik für Geschäfts- und IT-Risiken veröffentlicht.

Und dann sind da natürlich noch Datenschutz und Datensicherheit, etwa mit der Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union, dem California Consumer Privacy Act (CCPA) in den USA oder den Australian Privacy Principles, um nur einige zu nennen, sowie dem Payment Card Industry Data Security Standard (PCI DSS), der den Informationssicherheitsstandard für Unternehmen festlegt, die beispielsweise Kreditkarten verwalten. Und wir alle wissen, dass es damit noch lange nicht getan ist. Die rasante Zunahme regulatorischer Anforderungen ist definitiv ein anhaltender Trend, ebenso wie die Anforderungen an die IT-Sicherheit!

Integration zwischen SAP Process Control Onapsis Comply: Die perfekte Kombination

Wenn Sie diesen Blog lesen, kennen Sie vielleicht bereits SAP Process Control. Dabei handelt es sich um die durchgängige Lösung von SAP für interne control die Einhaltung verschiedener gesetzlicher Vorschriften.

In letzter Zeit suchen Unternehmen neben control auch nach vorgefertigten Best-Practice-Inhalten, die direkt in solche Lösungen integriert werden können – insbesondere im Bereich Sicherheit und IT-Kontrollen, die in den gesetzlichen Vorschriften branchen- und länderübergreifend zunehmend an Bedeutung gewinnen. Um diesem Bedarf gerecht zu werden, hat sich SAP für eine Partnerschaft mit Onapsis entschieden.

Onapsis, ein langjähriger SAP-Partner, der kürzlich in das exklusive „SAP Endorsed Apps“-Programm aufgenommen wurde, ist ein spezialisiertes und anerkanntes Unternehmen im Bereich Cybersicherheit. Durch die Integration von SAP Process Control Onapsis können wir automatisierte, sofort einsatzbereite Prüfungen und Regeln bereitstellen, die ein breites Spektrum an Sicherheits- und allgemeinen IT-Kontrollen abdecken, die sich auf verschiedene Vorschriften und Standards wie SOX, PCI DSS, DSGVO, ISO 27001, NIST, NERC und mehr beziehen! 

Durch diese Integration werden die Ergebnisse aus dem Comply der Platform automatisch in das übergeordnete interne control von SAP Process Control integriert. Dadurch erhalten Unternehmen einen umfassenden Überblick über ihren Compliance-Status.

Um diesen gemeinsamen Ansatz etwas ausführlicher zu erörtern, habe ich heute einen Gastautor, Brian Tremblay, zu einer Frage-und-Antwort-Runde eingeladen.

Brian leitet den Bereich Compliance bei Onapsis, wo er Kunden dabei unterstützt, die Herausforderungen und Chancen zu verstehen und zu meistern, die sich aus der zunehmenden Überschneidung von Compliance, Cybersicherheit und Geschäftskontinuität im Zusammenhang mit allgemeinen IT-Kontrollen sowie regulatorischen und Compliance-Anforderungen ergeben. Vor seiner Tätigkeit bei Onapsis hatte Brian verschiedene Positionen im Bereich Audit inne, darunter die des Chief Audit Executive. Es versteht sich von selbst, dass er auf diesem Gebiet mehr als nur ein Experte ist – er ist ein Vordenker!

Thomas (SAP): Brian, kannst du mir zunächst einmal etwas über Onapsis erzählen und darüber, wie ihr diese erstklassigen Inhalte erstellt?

Brian (Onapsis):Onapsis schützt die geschäftskritischen Anwendungen, die die Weltwirtschaft am Laufen halten – vom Kernsystem bis zur cloud. Die Platform bietet Platform umsetzbare Erkenntnisse, sichere Änderungen, automatisierte Governance und kontinuierliche Überwachung für kritische Systeme – Anwendungen in den Bereichen Enterprise Resource Planning (ERP), Customer Relationship Management (CRM), Product Lifecycle Management (PLM), Human Capital Management (HCM), Supply Chain Management (SCM) und Business Intelligence (BI) – von führenden Anbietern wie SAP, Oracle, Salesforce und anderen.

Onapsis hat seinen Hauptsitz in Boston, Massachusetts, und unterhält Niederlassungen in Heidelberg (Deutschland) und Buenos Aires (Argentinien). Wir sind stolz darauf, mehr als 300 der weltweit führenden Marken zu betreuen, darunter 20 % der Fortune-100-Unternehmen, 6 der 10 größten Automobilhersteller, 5 der 10 größten Chemieunternehmen, 4 der 10 größten Technologieunternehmen und 3 der 10 größten Öl- und Gasunternehmen.

Die Platform von den Onapsis Research Labs unterstützt, dem Team, das für die Aufdeckung und Behebung von mehr als 800 Zero-Day-Schwachstellen in geschäftskritischen Anwendungen verantwortlich ist. Die Reichweite unserer threat research platform durch führende Beratungs- und Wirtschaftsprüfungsgesellschaften wie Accenture, Deloitte, IBM und PwC erweitert – damit sind Onapsis-Lösungen der Standard, wenn es darum geht, Unternehmen beim Schutz ihrer geschäftskritischen Informationen und Prozesse cloud, in Hybridumgebungen und vor Ort zu unterstützen.

Thomas (SAP): Welche Art von Inhalten bietet Onapsis Comply wie können diese den Compliance- und Audit-Teams helfen?

Brian (Onapsis): 

  • Vorkonfigurierte Compliance-Rahmenwerke: SOX, DSGVO, NIST, PCI DSS, ISACA, ISO 27001, NERC CIP, SAP-Sicherheitsrichtlinien und mehr!
  • Beschleunigung von IT-Sicherheits-Compliance-Programmen: Jedes Compliance-Framework stellt eine detaillierte Zuordnung zwischen anwendungsspezifischen Prüfungen und den verschiedenen Risiken sowie Kontrollzielen dar, die durch unterschiedliche Compliance-Vorschriften oder -Standards definiert sind. Der Hauptvorteil für Kunden besteht darin, dank dieser sofort einsatzbereiten Inhalte einen unmittelbaren Mehrwert zu erzielen: Sie können schnell mit der Durchführung eines Compliance-Programms beginnen, ohne dass weitere Anpassungen oder Beratungskosten anfallen. Darüber hinaus sorgt unsere überarbeitete Benutzeroberfläche für eine reibungslose Benutzererfahrung, sodass Kunden die sofort einsatzbereiten Inhalte problemlos erweitern oder ändern können, falls sie eigene spezifische Anforderungen haben.
  • Stellen Sie eine lückenlose Abdeckung von Sicherheitsrisiken durch sorgfältig ausgewählte Inhalte aus einem erstklassigen Forschungslabor sicher: Die Onapsis Research Labs aktualisieren Compliance-Rahmenwerke Onapsis Research Labs und erstellen neue, basierend auf Änderungen bestehender Vorschriften, neuen Vorschriften oder Kundenanfragen. Außerdem pflegen sie bestehende und erstellen neue Prüfungen für verschiedene Anwendungen und halten sich dabei über neue Risiken und neue Kontrollmaßnahmen aus internen Forschungsprojekten (z. B. die über 800 identifizierten Schwachstellen) sowie aus dem Markt (z. B. die Anfrage eines bestimmten Kunden zur Abdeckung eines spezifischen Risikos, von dem die meisten Kunden betroffen sind) auf dem Laufenden.

All diese Updates werden Comply zwei Wochen automatisch in Onapsis Comply übernommen.

Thomas (SAP): Warum halten Sie dies für eine gute Kombination für Unternehmen, die ihre Cyberrisiken bewältigen wollen? 

Brian (Onapsis): 

  • Cyberrisiken treten nicht isoliert auf
    • Es herrscht die weit verbreitete Auffassung, dass Cyberrisiken in die Zuständigkeit von Personen wie dem CISO fallen. Zwar würde ich durchaus empfehlen, einen alleinigen Verantwortlichen für Cybersicherheitsrisiken zu benennen, da mehrere Verantwortliche zu eigenen Problemen führen, doch liegt es letztlich in der Verantwortung jeder Führungskraft, dieses Programm zu verstehen und entsprechend ihren individuellen Anforderungen mitzugestalten.  Beispielsweise muss der Leiter der Lieferkette seine kritischsten Prozesse und Ergebnisse klar verstehen und artikulieren, damit er (zum Beispiel) mit dem CISO bei der Priorisierung und Risikominderung zusammenarbeiten kann.  Das Gleiche gilt für den CFO. Wenn der Schutz der Integrität der Lieferantenstammdatei (oder anderer Stammdaten, die für die Compliance relevant sind) ein zentrales Ziel ist, control entscheidend zu verstehen, wie Cyberrisiken zu einer Veränderung der Lieferantenstammdatei führen und control rollenbasierte control umgehen können – was der CFO wahrscheinlich nicht vollständig versteht. Vor diesem Hintergrund ist es unerlässlich, dass alle Führungskräfte und ihre Teams gemeinsam die Priorisierung geschäftskritischer Abläufe und Transaktionen, die Risikobewertung dieser Vorgänge (einschließlich des Verständnisses von Cyberrisiken) sowie die Frage erörtern, welche Kontrollen bereits vorhanden sind oder wahrscheinlich eingerichtet werden müssen, um diese Risiken zu mindern.
  • Erhebliche Auswirkungen von Sicherheitsrisiken auf Compliance-Programme
    • Ich gebe zu, dass ich insgesamt den Eindruck habe, dass GRC-Fachleute in dieser Frage noch einen Schritt hinter dem zurückliegen, wo sie eigentlich sein müssten. Und ich werde noch einmal genauer auf das Beispiel der Lieferantenstammdaten eingehen und auch ein wenig über den Datenschutz sprechen.  Wir konzentrieren uns auf Ansätze wie control rollenbasierte control RBAC), um das angemessene Zugriffsniveau auf die Lieferantenstammdatei zu verwalten. Wir prüfen eingehend, wer darauf zugreifen darf und was die jeweiligen Benutzer darin tun können, und beziehen dabei auch die Aufgabentrennung mit ein.  Was wir überhaupt nicht bewerten, sind die Sicherheitsrisiken, die zu denselben unerwünschten Ergebnissen führen können, die wir mit RBAC zu verhindern versuchen. Wer kann durch eine Fehlkonfiguration oder eine Software-Schwachstelle auf die Lieferantenstammdaten zugreifen und diese ändern? Wer kann eine Zeile Code schreiben, die die bestehenden Autorisierungsprüfungen umgeht? GRC-Fachleute stellen diese Fragen nicht, und das hat erhebliche Folgewirkungen.  Wenn wir das Risiko nicht kennen, können wir assess nicht assess , und folglich können wir auch keine geeigneten Kontrollen entwerfen und implementieren. Im Bereich Datenschutz, wo Vorschriften wie die DSGVO sogar das Anzeigen von betroffenen Daten verbieten, gilt derselbe Gedankengang. RBAC mag dabei helfen, sicherzustellen, dass Ihr ERP- oder HRM-System die richtigen Kontrollen durchsetzt, aber was wäre, wenn dieser Zugriff durch eben diese Fehlkonfigurationen und Schwachstellen eingesehen oder – schlimmer noch – extrahiert bzw. verändert würde?  
  • Sicherheitsrisiken in control gesamte interne control integrieren
    • Was tun Sie also? Sie setzen modernste Technologien ein, die sich miteinander kombinieren lassen, um die Erkennung und Minderung dieser Risiken zu erleichtern. Keine einzelne Technologie kann das leisten, aber wenn Sie Comply Onapsis mit Control Process Control SAP kombinieren, erhalten Sie einen besseren Überblick über diese Risiken – nicht nur aus Sicherheitsperspektive, sondern auch im Hinblick darauf, wie sie sich auf Compliance-Anforderungen auswirken können. Sie erhalten diese Informationen schnell und sofort dank vorkonfigurierter Bewertungen, die zahlreiche verschiedene Vorschriften abdecken und sich leicht an Ihre eigenen Anforderungen anpassen lassen. Kurz gesagt: Sie erhalten einen besseren Überblick über potenzielle Risiken und die Möglichkeit, sofort zu ermitteln, welche Risiken tatsächlich bestehen.

Das war’s für diesen kurzen Blogbeitrag, und ich möchte mich bei Brian dafür bedanken, dass er sich bereit erklärt hat, diesen Beitrag gemeinsam mit mir zu verfassen. Angesichts des Umfangs und der Natur dieses Themas bin ich mir sicher, dass noch weitere Blogbeiträge folgen werden – also behaltet die „GRC Tuesdays“ im Auge. 

Und wie sieht es bei Ihnen aus? Wie handhabt Ihr Unternehmen seine Sicherheits- und IT-Kontrollen? Sollten Sie mehr darüber erfahren möchten, können Sie sich gerne anBrianoder mich wenden. 

Über den Autor

SAP®

SAP ist der führende Anbieter von Unternehmensanwendungen und Business-KI. Das Unternehmen steht an der Schnittstelle zwischen Wirtschaft und Technologie, wo seine Innovationen darauf ausgerichtet sind, konkrete geschäftliche Herausforderungen direkt anzugehen und praktische Ergebnisse zu erzielen. SAP-Lösungen bilden das Rückgrat der komplexesten und anspruchsvollsten Prozesse weltweit. Das integrierte Portfolio von SAP vereint die Elemente moderner Unternehmen – von Mitarbeitern und Finanzen bis hin zu Kunden und Lieferketten – in einem einheitlichen Ökosystem, das den Fortschritt vorantreibt.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen