So sprechen Sie mit Ihrem Vorstand über SAP-Sicherheit: Drei Tipps vom ehemaligen CISO von Google

Von:

6. Januar 2023

Ich habe mich kürzlich mit Gerhard Eschelbeck zusammengesetzt, um drei Fragen zu beantworten: Wie spricht man mit dem Vorstand über die Bedeutung der Sicherheit von ERP-Anwendungen, und wie geht man auf Fragen ein, die dieser möglicherweise hinsichtlich der Bedeutung dieser Sicherheit und der eigenen Sicherheitslage hat? 

Gerhard ist der ehemalige CISO von Google und verfügt über umfangreiche Erfahrung in den Bereichen Cybersicherheit und Technologie. Er trat 2019 als unabhängiges Vorstandsmitglied bei Onapsis ein, nachdem er den weit verbreiteten Bedarf an einer Lösung erkannt hatte, die ERP-Systeme und andere Unternehmensanwendungen schützt. 

Wie schneidet unsere Sicherheitslage bzw. unsere Risikobewertung im Vergleich zu anderen Unternehmen unserer Branche ab?

Gerhard Eschelbeck: Ich habe diese Frage schon oft gehört und sie natürlich auch selbst als Vorstandsmitglied in bestimmten Organisationen gestellt. Eine weitere häufig gestellte Frage auf Führungsebene lautet: „Wie sicher sind wir?“ Als Sicherheitsexperte ist es besonders wichtig, sich bewusst zu machen, dass es eine Kluft zwischen dem Wissen und der Sprache des Vorstands und den Mitarbeitern im Sicherheitsbereich geben kann. Das NIST-Cybersicherheits-Framework kann hier hilfreich sein, da es ein gängiges Rahmenwerk ist, das von vielen Organisationen zur assess Sicherheitslage genutzt wird. Die Ausrichtung an einem Cybersicherheits-Framework kann Organisationen dabei helfen, ihre Fähigkeit zur Prävention, Erkennung und Reaktion auf Cyberangriffe assess zu verbessern. Das Ziel des NIST-Frameworks ist es, geschäftliche Treiber zur Steuerung von Cybersicherheitsaktivitäten zu nutzen sowie Cybersicherheitsrisiken als Teil des gesamten Risikomanagementprozesses der Organisation zu berücksichtigen und einzubeziehen.

Was ich außerdem sehr empfehle, ist die Zusammenarbeit mit anderen CISOs bei der Festlegung von Branchenkennzahlen. In meinen früheren Positionen habe ich mich stark auf den Austausch mit Kollegen gestützt und viel Zeit darauf verwendet, die Zusammenarbeit bei Herausforderungen und Kennzahlen im Bereich Cybersicherheitsprogramme zu pflegen und auszubauen. 

Wie kann ich das Unternehmen dazu bewegen, Sicherheitsinitiativen voranzutreiben, obwohl es im gesamten Unternehmen so viele andere Prioritäten gibt?

Eschelbeck: Sicherheitsteams und DevOps-Teams müssen eng zusammenarbeiten und hier für ihre eigenen Belange eintreten. Allerdings ist dies zweifellos eine weit verbreitete Herausforderung, insbesondere angesichts des wirtschaftlichen Klimas, in dem von den Teams verlangt wird, mit weniger mehr zu erreichen. Als besonders wertvoll empfand ich den regelmäßigen Austausch mit den anderen Teams, die an der Lösung der Probleme arbeiten. Eine monatliche Kommunikation über den Stand der Sicherheitsprojekte und Prioritäten – ob abgeschlossen, in Arbeit oder ohne Fortschritt – schafft unternehmensweite Transparenz, die dazu beiträgt, Sicherheitsprojekte im Blick zu behalten. 

Wie können wir unseren Vorstand für die Bedeutung des Schutzes von Unternehmensanwendungen sensibilisieren? Welche bewährten Verfahren oder Empfehlungen gibt es?

Eschelbeck: Aufklärung ist sehr wichtig. Um den Vorstand aufzuklären, gibt es einige persönliche Maßnahmen, die Sie selbst ergreifen können. Ich habe sogar schon erlebt, dass Unternehmen gegen Ende des Geschäftsjahres, wenn die Budgets überprüft werden, Cyberangriffssimulationen mit ihrem Vorstand durchführen. So bleibt das Thema Sicherheit bei der Genehmigung des Budgets für das kommende Jahr im Vordergrund. Die Auswirkungen real, quantifizierbar und persönlich darzustellen, ist der beste Weg, um dem Vorstand die Bedeutung der ERP-Sicherheit zu verdeutlichen. Entscheidend ist, die Auswirkungen aufzuzeigen und zu erklären, wie diese mit einer bestimmten Lösung behoben werden können. 

Das Übersetzen und Hervorheben relevanter, berichtenswerter Beispiele kann ebenfalls dazu beitragen, die Bedeutung des Schutzes Ihrer SAP- und Oracle-Anwendungen zu verdeutlichen. Es ist zudem von entscheidender Bedeutung, die Thematik auf eine persönliche Ebene zu bringen und aufzuzeigen, wie sie sich auf uns auswirkt.

Wenn Sie mehr über den Schutz von ERP-Anwendungen erfahren möchten, sehen Sie sich hier unser On-Demand-Webinar an.

Stichworte, , ,
Über den Autor
Mariano Núñez

Mariano Núñez

Geschäftsführer und Mitbegründer

Als CEO und Mitbegründer von Onapsis bestimmt Mariano die strategische Ausrichtung des Unternehmens. Unter seiner Führung hat sich Onapsis zu einem der am schnellsten wachsenden Technologie- und Cybersicherheitsunternehmen weltweit entwickelt. Mit über 20 Jahren Erfahrung in der Cybersicherheitsbranche, sowohl als Führungskraft als auch als Cybersicherheitsexperte, war Mariano der Erste, der auf großen Konferenzen wie RSA, Black Hat und SANS öffentlich über Cybersicherheitsrisiken für ERP-Plattformen und deren Minderung referierte. Zu Marianos Beiträgen zur Cybersicherheits-Community zählen die Entwicklung der ersten Open-Source-Frameworks für SAP- und ERP-Penetrationstests sowie die Aufdeckung kritischer Zero-Day-Schwachstellen in Anwendungen von SAP, Oracle, IBM und Microsoft. Marianos Erkenntnisse werden regelmäßig in großen Medien wie CNN, Reuters, dem Wall Street Journal, Nasdaq, Fortune und der New York Times veröffentlicht.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen