Wer ist eigentlich für die Sicherheit von SAP-Systemen verantwortlich?

Vor nicht allzu langer Zeit habe ich einen Blogbeitrag veröffentlicht, in dem es um die operative Umsetzung Ihrer SAP-Cybersicherheitsstrategie ging. In diesem Beitrag habe ich die Unklarheiten hinsichtlich der Zuständigkeiten erörtert – wer für die SAP-Sicherheit verantwortlich sein sollte und wie die SAP-Sicherheit innerhalb des Unternehmens umgesetzt wird –, da dies ein häufiges Problem ist, das mein Team und ich in verschiedenen Unternehmen beobachtet haben.

Vor kurzem veröffentlichte das Ponemon Institute einen Bericht mit dem Titel „Uncovering the Risks of SAP Cyber Breaches“, der Aufschluss darüber gab, wie Führungskräfte die tatsächliche Verwaltung ihrer SAP-Systeme in ihren Unternehmen einschätzen. Interessanterweise stützen einige der wichtigsten Erkenntnisse aus dieser Studie das, was meine Teams und ich seit jeher beobachten: Unternehmen sind sich nicht einig, wenn es darum geht, eine wirksame SAP-Cybersicherheitsstrategie zu implementieren. Sowohl aufgrund unserer eigenen Erfahrungen als auch der Ergebnisse des Ponemon Institute scheint dies ein echtes Problem zu sein, von dem die Mehrheit der Unternehmen betroffen ist. Ein Problem, das formell angegangen und behoben werden muss.

Werfen wir einen Blick auf einige der wichtigsten Ergebnisse von Ponemon:

1.) Es gibt keine einzelne Funktion, die die Hauptverantwortung für die SAP-Sicherheit trägt. Auf die Frage, welche Funktion die Hauptverantwortung für die Gewährleistung der Sicherheit von SAP-Systemen, -Anwendungen und -Prozessen trägt, fielen die Antworten der Befragten sehr unterschiedlich aus:

Was ich an diesen Ergebnissen am interessantesten finde, ist, dass nur 19 % der Befragten der Meinung sind, dass SAP-Sicherheitsteams für die Absicherung von SAP-Systemen verantwortlich sind. Gerade SAP-Sicherheitsteams sollten wissen, wie Angreifer Schwachstellen in SAP-Systemen ausnutzen könnten, um Systeme zu kompromittieren. Deshalb müssen SAP-Sicherheitsteams mit anderen Bereichen des Unternehmens zusammenarbeiten, damit sie ihre Erkenntnisse mit dem notwendigen Wissen kombinieren können, um potenzielle Angriffe abzuwehren.

2.) In einem Unternehmen ist keine einzelne Person für einen SAP-Sicherheitsverstoß verantwortlich. Auf die Frage, wer in einem Unternehmen im Falle eines SAP-Sicherheitsverstoßes die größte Verantwortung trage, gab es eine sehr deutliche Meinungsverschiedenheit:

Auch diese Ergebnisse finde ich sehr interessant. 30 % der Befragten gaben an, dass niemand die Verantwortung trägt. Ohne Verantwortlichkeit wird nichts korrigiert, und das Problem wird sich weiterhin zeigen. Es ist unerlässlich, dass innerhalb einer Organisation so schnell wie möglich Zuständigkeiten und Verantwortlichkeiten zugewiesen werden. Vor allem, weil CIO und CISO in den meisten Fällen gar nicht wissen, dass sie SAP in ihre allgemeine Sicherheitsstrategie einbeziehen sollten. Aus Sicht der Führungskräfte bestehen die Aufgaben von CIOs und CISOs darin, Geschäftsrisiken und geschäftliche Prioritäten zu managen. Oft sind sie vom Management von SAP-Systemen genauso weit entfernt wie diejenigen, die ERP-Systeme wie SAP direkt verwalten. Es muss noch viel Aufklärungsarbeit geleistet werden, warum CIOs und CISOs Einblicke in SAP-Systeme benötigen, um die tatsächliche Risikosituation zu verstehen und letztendlich das Unternehmen zu schützen.

3.) Es würde bis zu einem Jahr dauern, einen Sicherheitsverstoß bei SAP aufzudecken. Auf die Frage, wie schnell ein Sicherheitsverstoß innerhalb der platform entdeckt würde, waren nur 25 % der Befragten zuversichtlich oder sehr zuversichtlich, dass ein solcher Verstoß sofort entdeckt würde: 

Nach einem ganzen Jahr waren nur 53 % der Befragten zuversichtlich oder sehr zuversichtlich, dass ein Sicherheitsverstoß entdeckt würde. Ein ganzes Jahr lang unkontrollierter Zugriff auf die wohl wichtigsten Informationsquellen eines Unternehmens. Der Schaden könnte katastrophal sein! Diese Ergebnisse überraschen mich allerdings nicht, da sie die Beobachtungen meines Teams in der gesamten Branche bestätigen. Da Angriffe immer raffinierter werden, ist es von entscheidender Bedeutung, dass Unternehmen der SAP-Sicherheit Priorität einräumen.

Insgesamt müssen Unternehmen noch viel tun, um ihre SAP-Sicherheitsmaßnahmen so umzugestalten, dass sie zu einer funktionsübergreifenden Aufgabe werden. SAP-Anwendungen gehören zu den wertvollsten Vermögenswerten eines Unternehmens. Diese Systeme dienen als Träger kritischer Geschäftsprozesse und Daten, auf die das Unternehmen angewiesen ist, darunter Sachanlagen, Kundendaten, Finanzunterlagen und personenbezogene Daten. Derzeit besteht eine Kluft zwischen denjenigen, die in erster Linie für SAP selbst verantwortlich sind, und denjenigen, die für die Gesamtsicherheit eines Unternehmens verantwortlich sind. Sicherheitsteams und Führungskräfte auf C-Level müssen zusammenarbeiten, um zu verstehen, dass eine angemessene Sicherheit von SAP-Systemen eine abgestimmte Anstrengung sein muss. SAP-Experten müssen Einblick in die Schwachstellen gewinnen, die sie vor realen Angriffen schützen müssen, während Führungskräfte auf C-Level Einblick in die tatsächliche Risikosituation der in SAP-Systemen gespeicherten Informationen benötigen.

Sobald Unternehmen beginnen, die Struktur ihrer SAP-Sicherheitsstrategie genau unter die Lupe zu nehmen, können sie Lücken in dieser Strategie aufdecken und Maßnahmen ergreifen, um diese zu schließen. Einige dieser Schritte habe ich in meinem vorherigen Blogbeitrag beschrieben, den Sie hier lesen können.