Umsetzung der SAP-Cybersicherheit

Von:

20. Januar 2016

Geschäftskritische Anwendungen, die auf SAP-Systemen laufen, wie beispielsweise Enterprise Resource Planning (ERP), Customer Relationship Management (CRM), Human Capital Management (HCM), Business Intelligence (BI) und Supply Chain Management (SCM), beherbergen die wertvollsten Daten eines Unternehmens und unterstützen geschäftskritische Prozesse. Zu Beginn des Jahres 2016 ist es keine Überraschung, dass diese Systeme zu Hauptzielen für Angriffe durch Nationalstaaten, Diebstahl geistigen Eigentums, Finanzbetrug und Sabotage geworden sind.

Da SAP-Anwendungen weiterhin Zielscheibe heimlicher Angriffe sind, ist es unerlässlich, dass Unternehmen nicht nur die richtigen Sicherheitsprodukte einsetzen, sondern auch hinsichtlich einer SAP-Cybersicherheitsstrategie an einem Strang ziehen. Dies ist wahrscheinlich der wichtigste Schwerpunkt für die G2000-Unternehmen, den mein Team und ich bei unseren Kundenbesuchen vor Ort festgestellt haben – es herrscht große Verwirrung hinsichtlich der Aufgabenteilung, wer für die SAP-Sicherheit verantwortlich sein sollte und wie die SAP-Sicherheit innerhalb des Unternehmens umgesetzt wird. SAP-Sicherheits- und Infosec-Teams neigen dazu, in einer von den Fachleuten getrennten Welt zu agieren. Wir stellen fest, dass sich SAP-BASIS- und Infosec-Teams in der Regel auf taktische administrative SAP-Aufgaben konzentrieren und oft ausschließlich darauf bedacht sind, die Systeme am Laufen zu halten und die Compliance zu gewährleisten. Auf der anderen Seite stehen die Fachleute aus dem Geschäftsbereich, die noch nicht erkennen, dass die SAP-Cybersicherheit ein zentraler Schwerpunkt der gesamten Cybersicherheitsstrategie des Unternehmens ist.

Um Unternehmen dabei zu helfen, den Wald vor lauter Bäumen zu sehen, habe ich meine Gedanken zu den fünf wichtigsten Maßnahmen zusammengestellt, mit denen ein Unternehmen eine Transformation der SAP-Cybersicherheit in Angriff nehmen kann. Die Zusammenarbeit mit einem funktionsübergreifenden Team sowie dessen Stärkung und Einbindung sind entscheidend für die Entwicklung einer wirksamen SAP-Cybersicherheitsstrategie, da so alle Beteiligten auf dem gleichen Stand bleiben – insbesondere im Falle eines Sicherheitsvorfalls. Im Folgenden habe ich einige grundlegende Schritte skizziert, mit denen Unternehmen die Transformation einleiten können:

  • 1. Erfassen Sie Ihre SAP-Landschaft und deren Struktur: Mithilfe der Bestandsaufnahme können Sie feststellen, ob Sie über ein oder 100 Systeme verfügen, welche Arten von Systemen es gibt (z. B. Entwicklungs-, Produktions- und Staging-Systeme), welche Geschäftsprozesse die einzelnen Systeme unterstützen und welche Informationen die einzelnen Systeme verarbeiten oder speichern.
  • 2. Mögliche Risiken erkennen: Anhand Ihres Unternehmens, Ihrer Branche und der in Ihrem Unternehmen eingesetzten SAP-Systeme lassen sich die Risiken im Kontext Ihres Geschäfts leichter verstehen und priorisieren. So können Sie abschätzen, welche wirtschaftlichen Folgen ein Angriff auf ein SAP-System für Ihr Unternehmen haben könnte. Prüfen Sie, ob Lücken in Ihrer Compliance-Struktur oder in Ihren Richtlinien das Unternehmen beeinträchtigen könnten.
  • 3. Identifizieren Sie die Akteure: Im Rahmen der ersten beiden Schritte werden Sie beginnen, die verschiedenen Verantwortlichen innerhalb der SAP-Infrastruktur zu verstehen. Diese erstrecken sich über verschiedene Ebenen und Funktionen. In der Regel habe ich beobachtet, dass CIOs und CFOs wichtige Entscheidungen zum Management der SAP-Infrastruktur (einschließlich Sicherheitsinitiativen) treffen und die Verwaltung und Sicherheit der SAP-Umgebung an die IT- und SAP-Basis-Teams delegieren. Selten beziehen sie die Informationssicherheitsorganisation mit ein. Wenn Sie wissen, wer die Akteure sind, können Sie den Kommunikationsprozess in Gang setzen.
  • 4. Erstellen Sie einen allgemeinen Aktionsplan: Sie müssen nun damit beginnen, einen Aktionsplan zu erstellen, der bestehende Sicherheitsrahmen nutzt und SAP in bestehende Sicherheitsinitiativen einbindet. Verwenden Sie einen adaptiven Sicherheitsansatz, um präventive, detektive und reaktive Maßnahmen miteinander zu verbinden. Ordnen Sie diesen den SANS Top 20 zu. Binden Sie zudem eine threat intelligence ein, um Sicherheitsrisiken in Ihrer Branche und in SAP-Umgebungen im Blick zu behalten. Implementieren Sie einen Ansatz zur kontinuierlichen Überwachung, um Exploits immer einen Schritt voraus zu sein. Patchen Sie außerdem Ihre Systeme und integrieren Sie Sicherheitshinweise in Ihren Prozess zur Priorisierung und Überprüfung von Patches und Konfigurationen. Korrelieren Sie die Schwachstellen mit Ihrem Nutzungs-, Informations- und Risikoprofil, um die größten Risiken für das Unternehmen zu ermitteln und Empfehlungen für den Sicherheitsschutz zu geben.
  • 5. Fortschritte messen und kommunizieren: Der einzige Weg, funktionsübergreifende Teams auf einen gemeinsamen Kurs zu halten, besteht darin, gemeinsame Ziele zu definieren und die Fortschritte anhand dieser Ziele zu messen. Außerdem müssen Sie die Beteiligten mit Informationen und Berichten sowie durch die Klassifizierung von Vermögenswerten und Beständen unterstützen – und schließlich sollten Sie sich nicht nur auf Technologie beschränken oder hauptsächlich damit beschäftigen. Sprechen Sie mit den Beteiligten, stärken Sie Ihre Kollegen, nutzen Sie die Führungsrolle und die verfügbaren Ressourcen.

Da Unternehmen zunehmend erkennen, dass SAP in ihre Informationssicherheitsstrategie integriert werden muss, ist zu beachten, dass hierfür mehr als nur Technologie erforderlich ist. Wie bei jeder Sicherheitsinitiative sind Menschen, Prozesse und Technologie gefragt. Ich hoffe, dass die oben beschriebenen fünf wichtigsten Schritte Ihnen verdeutlichen, wie ein Unternehmen seine SAP-Cybersicherheitsmaßnahmen vollständig umsetzen kann. Da Bedrohungen zweifellos weiter zunehmen werden, ist es von entscheidender Bedeutung, dass SAP-Cybersicherheitsprogramme und -prozesse unternehmensweit aufeinander abgestimmt werden.

Weitere Ressourcen:

Vor kurzem habe ich gemeinsam mit Scott Crawford, Forschungsleiter für Informationssicherheit bei 451 Research, und Troy Grubb, Manager für Informationssicherheit, Governance, Risiko und Compliance – CISSP, The Hershey’s Company einen Webcast veranstaltet, um dieses Thema ausführlicher zu erörtern. Eine Aufzeichnung des Webcasts finden Sie hier: https://onapsis.com/news-and-events/webcasts/CISO-imperative-operationalizing-SAP-cybersecurity.

Stichworte, , ,
Über den Autor
Mariano Núñez

Mariano Núñez

Geschäftsführer und Mitbegründer

Als CEO und Mitbegründer von Onapsis bestimmt Mariano die strategische Ausrichtung des Unternehmens. Unter seiner Führung hat sich Onapsis zu einem der am schnellsten wachsenden Technologie- und Cybersicherheitsunternehmen weltweit entwickelt. Mit über 20 Jahren Erfahrung in der Cybersicherheitsbranche, sowohl als Führungskraft als auch als Cybersicherheitsexperte, war Mariano der Erste, der auf großen Konferenzen wie RSA, Black Hat und SANS öffentlich über Cybersicherheitsrisiken für ERP-Plattformen und deren Minderung referierte. Zu Marianos Beiträgen zur Cybersicherheits-Community zählen die Entwicklung der ersten Open-Source-Frameworks für SAP- und ERP-Penetrationstests sowie die Aufdeckung kritischer Zero-Day-Schwachstellen in Anwendungen von SAP, Oracle, IBM und Microsoft. Marianos Erkenntnisse werden regelmäßig in großen Medien wie CNN, Reuters, dem Wall Street Journal, Nasdaq, Fortune und der New York Times veröffentlicht.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen