Onapsis: Fünf-Punkte-Plan für eine effektive SAP-Sicherheitspolitik

SAP-Sicherheit als Teil der gesamten IT-Sicherheit

Global-2000-Unternehmen stehen unter Druck: Ihre geschäftskritischen SAP-Implementierungen geraten zunehmend ins Visier externer und interner Angreifer. Unternehmen stehen daher vor der Aufgabe, zum einen Technologien zur Sicherung von SAP-Systemen einzusetzen, zum anderen aber auch diese Werkzeuge in eine allgemeine Strategie zur Informationssicherheit einzubinden. Onapsis, globaler Experte für die Sicherheit dieser Unternehmensanwendungen, gibt auf Basis seiner langjährigen Erfahrung in der SAP-Cybersicherheit fünf Tipps, wie Unternehmen ihre Sicherheitsprozesse effektiv gestalten können.

Eine Schlüsselkomponente für eine wirksame SAP-Sicherheitsstrategie ist der Einsatz kontextsensitiver Lösungen zur präventiven Kontrolle und Überwachung von Schwachstellen sowie zur Erkennung und sofortigen Reaktion auf ungewöhnliche Ereignisse und Zugriffe.

Solche Lösungen ermöglichen zudem den Aufbau eines SAP-Sicherheitsprozesses, der über Zuständigkeits- und Abteilungsgrenzen hinweg agiert und in die allgemeine IT-Sicherheitspolitik eingebunden ist. Mit den folgenden fünf Schritten können Unternehmen eine wirkungsvolle Strategie für ihre SAP-Sicherheit etablieren:

• 1. SAP-Umgebung und -Topologie aufschlüsseln: Sicherheit beginnt mit der Analyse der gesamten Struktur der SAP-Infrastruktur. Dies verschafft einen Überblick über die Art und Anzahl der einzelnen SAP-Systeme – einschließlich der Systeme für Entwicklung und Qualitätsmanagement. Eine Topologie der SAP-Infrastruktur und aller Instanzen verbessert das Verständnis dafür, welche Geschäftsprozesse ein System unterstützt und welche Informationen jedes einzelne System speichert und verarbeitet. Risiken lassen sich erst dann abschätzen, wenn man die im eigenen Unternehmen eingesetzten SAP-Systeme und ihre Interaktion vollständig kennt. Nur eine automatisierte Lösung zur Erfassung einer solchen Topologie bietet hinreichend schnelle Ergebnisse.
• 2. Potenzielle Risiken erkennen und bewerten: Der nächste Schritt ist die Bewertung von Schwachstellen und Risiken, die aus Fehlkonfigurationen in der Infrastruktur resultieren. Dazu benötigen die Verantwortlichen Informationen darüber, welche Auswirkungen eine Fehlkonfiguration in der Transaktionsschicht – die unter anderem für die Datenübertragung und die Vergabe von Zugriffsrechten zuständig ist – auf unternehmenskritische Geschäftsprozesse und Informationen haben kann. Die Bewertung der Risiken erfolgt dabei in Abhängigkeit von den Anforderungen einer Branche oder einer individuellen Sicherheitspolitik. Im nächsten Schritt lassen sich die notwendigen Abwehrmaßnahmen priorisieren.
• 3. Beteiligte identifizieren: Für eine SAP-Infrastruktur sind meist mehrere Akteure zuständig. CIO und CFO treffen in der Regel Grundsatzentscheidungen über das Management der SAP-Infrastruktur, einschließlich IT-Sicherheitsinitiativen. Die Verwaltung und Absicherung der SAP-Umgebung übernehmen die IT- und SAP-Basis-Teams. Die Abteilung für Informationssicherheit ist hingegen selten involviert. Damit ein effizienter Sicherheitsprozess in Gang gesetzt werden kann, ist es jedoch wichtig, alle Beteiligten zu identifizieren, zu informieren und die jeweiligen Verantwortlichkeiten für die SAP-Sicherheit zu definieren.
• 4. Einen übergreifenden Aktionsplan definieren: Ein gemeinsamer, auf diesen Vorarbeiten basierender Aktionsplan nutzt das vorhandene IT-Sicherheits-Framework und integriert die SAP-Sicherheit in bestehende Sicherheitsinitiativen. Hierfür bietet sich ein flexibler Ansatz an, der präventive, aufdeckende und reaktive Maßnahmen vereint. Der Plan basiert dabei auf den „Top 20 CIS Critical Security Controls“ von sans.org. Darüber hinaus sollten Unternehmen Dienste implementieren, die stets über aktuelle allgemeine sowie SAP-spezifische IT-Sicherheitsrisiken informieren. Ein wichtiger Bestandteil des Aktionsplans ist die Aktualisierung von SAP-Systemen durch die Patches des Herstellers. Das Abgleichen von Schwachstellen mit den eigenen Sicherheitsanforderungen hilft, die gefährlichsten Risiken für das eigene Geschäft zu erkennen und geeignete IT-Sicherheitsmaßnahmen einzuleiten.
• 5. Fortschritte messen und kommunizieren: Im nächsten Schritt definieren die CISOs die gemeinsamen Ziele der unternehmensinternen SAP-Sicherheitsrichtlinie und messen sowie kommunizieren die Fortschritte auf dem Weg dorthin. Aussagekräftige Berichte unterstützen die Teammitglieder dabei. Moderne Technologien können beispielsweise jederzeit Delta-Berichte bereitstellen, die die Änderungen an der Sicherheitskonfiguration dokumentieren.

Durch die Umsetzung dieser Schritte sorgen Unternehmen für eine effiziente SAP-Sicherheit, um der sich verschärfenden Bedrohungslage vorausschauend zu begegnen.

Derzeit sieht Onapsis bei Unternehmen einen großen Nachholbedarf, der bereits bei der umstrittenen oder fehlenden Zuweisung von Zuständigkeiten beginnt: „SAP-Fachabteilungen, Informationssicherheitsteams sowie CISOs und CDOs handeln oft nicht aufeinander abgestimmt. Fachabteilungen konzentrieren sich mehr auf die Produktivität der SAP-Systeme“, sagt Mariano Nunez, CEO und Mitbegründer von Onapsis. „Die Führungsebene erkennt bisweilen nicht, dass SAP-Sicherheit ein Bestandteil der übergreifenden IT-Sicherheitsstrategie sein muss. IT-Sicherheitsadministratoren fehlt oft der Überblick über die Geschäftsanwendungen und den Datenaustausch. Eine unklare Verteilung von Zuständigkeiten und ein geringer Informationsaustausch sind oft die Ursache für Mängel in der SAP-Sicherheit. Eine konsequente SAP-Sicherheitspolitik beginnt daher zunächst mit der Schaffung einer Diskussionsgrundlage durch kontinuierliche Bewertung und Einschätzung von Risiken für alle Beteiligten. Doch diese Ergebnisse müssen auch in die allgemeine IT-Sicherheitspolitik eingebunden werden.“

München/Boston, 6.6.2016 Onapsis,

Über Onapsis

Onapsis bietet die umfassendste Sicherheitslösung für den Schutz geschäftskritischer SAP- und Oracle-Anwendungen. Als führender Experte für SAP- und Oracle-Cybersicherheit verschafft Onapsis IT-Sicherheits- und Audit-Teams Transparenz, Sicherheit und Kontrolle über komplexe Bedrohungen, Cyberrisiken und Compliance-Lücken, die ihre Unternehmensanwendungen gefährden.

Onapsis hat seinen Hauptsitz in Boston, Massachusetts (USA), und unterstützt mit seinen Lösungen 180 der Global-2000-Unternehmen, darunter 10 führende Handelsunternehmen, 20 führende Energiekonzerne und 20 führende produzierende Unternehmen. Die Lösungen von Onapsis sind darüber hinaus der De-facto-Standard für führende Beratungs- und Wirtschaftsprüfungsgesellschaften wie Accenture, IBM, Deloitte, Ernest & Young, KPMG und PwC.

Zu den Lösungen von Onapsis gehört die Onapsis Security Platform (OSP) – die am häufigsten genutzte SAP-zertifizierte Cybersicherheitslösung auf dem Markt. Im Gegensatz zu generischen Sicherheitsprodukten bieten die kontextsensitiven Lösungen von Onapsis sowohl präventive Kontrollen zur Überwachung von Schwachstellen und Compliance-Anforderungen als auch Echtzeitfunktionen zur Erkennung und sofortigen Reaktion auf ungewöhnliche Ereignisse, die geschäftskritische Prozesse und Daten gefährden.

Über offene Schnittstellen lässt sich die Plattform mit SIEM-, GRC- und Netzwerksicherheitsprodukten kombinieren. Dies ermöglicht eine nahtlose Integration von Unternehmensanwendungen in bestehende Programme für Schwachstellen-, Risiko- und Response-Management.

Die Lösungen Onapsis Research Labs auf das Onapsis Research Labs , das mithilfe intelligenter Analyseverfahren kontinuierlich Sicherheitsbedrohungen aufdeckt, die SAP-Systeme betreffen. Die Experten des Onapsis Research Labs die ersten, die über Cyberangriffe auf SAP-Systeme berichteten. Sie haben inzwischen Hunderte von Sicherheitslücken aufgedeckt und Unternehmen dabei unterstützt, diese zu beheben. Schwachstellen können die SAP Business Suite, SAP HANA, SAP Cloud SAP Mobile-Installationen sowie Oracle JD Edwards und Plattformen der Oracle E-Business Suite betreffen.

Weitere Informationen finden Sie unter www.onapsis.com sowie auf Twitter, Google+ oder LinkedIn.

„Onapsis“ und Onapsis Research Labs eingetragene Marken von Onapsis Inc. Alle anderen genannten Unternehmen und Produkte sind möglicherweise eingetragene Marken ihrer jeweiligen Eigentümer.