Pressemitteilung

Ein Fünf-Punkte-Plan für eine wirklich wirksame SAP-Sicherheitspolitik

6. Juni 2016

Die Sicherheit der SAP-Systeme in die Sicherheit der gesamten IT-Infrastruktur integrieren

Paris, 6. Juni 2016 – Angesichts der zunehmenden Zahl externer und interner Cyberangriffe auf ihre SAP-Systeme stehen große internationale Unternehmen unter Druck. Sie müssen einerseits auf technologische Lösungen zurückgreifen, um ihre SAP-Systeme zu sichern, und diese Lösungen andererseits in eine umfassende IT-Sicherheitsstrategie integrieren. Auf der Grundlage seiner langjährigen Erfahrung im Schutz von SAP-Systemen bietet Onapsis, der weltweit führende Spezialist für die Sicherheit von Unternehmensanwendungen, einen Fünf-Punkte-Plan zur Einrichtung wirksamer Sicherheitsprozesse an.

Eines der Kernelemente einer SAP-Sicherheitsstrategie ist die Implementierung maßgeschneiderter Lösungen, um Sicherheitslücken präventiv zu erkennen und zu überwachen sowie ungewöhnliche Ereignisse und Zugriffsversuche zu identifizieren und sofort darauf zu reagieren.

Diese Lösungen ermöglichen die Einrichtung eines SAP-Sicherheitsprozesses, der über die Zuständigkeiten der einzelnen Mitarbeiter und Abteilungen des Unternehmens hinausgeht und sich in die allgemeine IT-Sicherheitspolitik des Unternehmens einfügt. Onapsis empfiehlt Unternehmen, die folgenden fünf Schritte zu befolgen, um eine wirksame Strategie zur Gewährleistung der Sicherheit ihrer SAP-Systeme zu entwickeln.

  • 1. Analyse der SAP-Umgebung und ihrer Topologie: Der erste Schritt in Richtung Sicherheit besteht darin, die Gesamtstruktur der SAP-Infrastruktur zu analysieren. Diese Analyse vermittelt einen Überblick über Art und Anzahl der eingesetzten SAP-Systeme, einschließlich der Systeme für Prozessoptimierung und Qualitätsmanagement sowie der Entwicklungssysteme. Anhand der Topologie seiner SAP-Infrastruktur kann das Unternehmen besser nachvollziehen, welche Geschäftsprozesse von seinen SAP-Systemen unterstützt werden, und die von jedem einzelnen System gespeicherten und verarbeiteten Informationen identifizieren. Erst nachdem die vorhandenen SAP-Systeme und ihre Interaktionen genau identifiziert wurden, ist es möglich, die Risiken zu bewerten. In diesem Zusammenhang liefert nur eine Lösung, die eine automatische Definition der SAP-Systemtopologie ermöglicht, schnelle Ergebnisse.
  • 2. Potenzielle Risiken identifizieren und bewerten: Der zweite Schritt besteht darin, Schwachstellen und Risiken zu identifizieren, die sich aus einer fehlerhaften Konfiguration der Infrastruktur ergeben. Dazu muss man wissen, welche Auswirkungen eine fehlerhafte Konfiguration der Transaktionsschicht, die die Datenübertragung und die Benutzerrechte sicherstellt, auf die Geschäftsprozesse und die strategischen Daten des Unternehmens haben kann. Die Risikobewertung erfolgt daher unabhängig von den Anforderungen einer bestimmten Branche oder einer spezifischen Sicherheitsrichtlinie. Anschließend gilt es, die Maßnahmen zur Abwehr dieser Risiken nach Priorität zu ordnen.
  • 3. Identifizierung der Beteiligten: An der Betriebsführung einer SAP-Infrastruktur sind verschiedene Akteure beteiligt. In der Regel sind dies der Leiter der IT-Abteilung (CIO) und der Finanzvorstand, die die wichtigsten Entscheidungen hinsichtlich der Verwaltung der SAP-Infrastruktur und der IT-Sicherheit treffen. Die Verwaltung und Sicherung der SAP-Umgebung obliegt hingegen den IT- und SAP-Basis-Teams. Die für die IT-Sicherheit zuständige Abteilung wird selten hinzugezogen, obwohl sie eine wesentliche Rolle bei der Einrichtung eines wirksamen Sicherheitsprozesses spielt, alle Beteiligten identifizieren und mit ihnen kommunizieren sowie die jeweiligen Zuständigkeiten im Bereich der SAP-Systemsicherheit festlegen muss.
  • 4. Einen umfassenden Aktionsplan festlegen: Auf der Grundlage der oben beschriebenen Vorbereitungsarbeiten muss ein gemeinsamer Aktionsplan festgelegt werden, der die bereits vorhandene IT-Sicherheitsinfrastruktur nutzt und die Sicherheit der SAP-Systeme in die bestehende Sicherheitsrichtlinie integriert. Es empfiehlt sich daher ein flexibler Ansatz, der präventive Maßnahmen, regelmäßige Kontrollen und reaktive Maßnahmen miteinander verbindet. Der hier vorgestellte Plan orientiert sich an den 20 wesentlichen IT-Sicherheitskontrollen, die vom SANS-Institut empfohlen werden. Darüber hinaus müssen Unternehmen sich mit Diensten ausstatten, die sie kontinuierlich nicht nur über allgemeine IT-Sicherheitsrisiken, sondern auch über die spezifischen Risiken für SAP-Systeme informieren. Die Anwendung der neuesten von SAP veröffentlichten Sicherheitspatches ist ebenfalls ein Schlüsselelement des Aktionsplans. Schließlich ist das Unternehmen durch die Verknüpfung der Schwachstellen seiner Systeme mit seinen Sicherheitsanforderungen besser in der Lage, die schwerwiegendsten Risiken zu identifizieren und geeignete Maßnahmen zu ergreifen.
  • 5. Fortschritte messen und kommunizieren: In diesem Schritt legen die IT-Sicherheitsverantwortlichen die gemeinsamen Ziele der SAP-Sicherheitsrichtlinie des Unternehmens fest und messen die erzielten Fortschritte, um diese intern kommunizieren zu können. Relevante Berichte tragen nämlich dazu bei, die Teams zu motivieren, die angestrebten Ziele zu erreichen. Mit Hilfe moderner Technologien ist es beispielsweise möglich, jederzeit Delta-Berichte zu erstellen, die Änderungen an der Sicherheitskonfiguration dokumentieren.

Über Onapsis

Onapsis bietet die umfassendsten Lösungen für die Absicherung geschäftskritischer SAP- und Oracle-Anwendungen. Als führender Experte für SAP- und Oracle-Cybersicherheit verschafft Onapsis Sicherheits- und Audit-Teams Transparenz, Vertrauen und Kontrolle über komplexe Bedrohungen, Cyberrisiken und Compliance-Verstöße, die ihre Unternehmensanwendungen betreffen.

Onapsis mit Sitz in Boston, Massachusetts, betreut über 200 Kunden, von denen viele zu den Global-2000-Unternehmen zählen. Die Lösungen von Onapsis sind zudem der De-facto-Standard für führende Beratungs- und Wirtschaftsprüfungsgesellschaften wie Accenture, Deloitte, E&Y, IBM, KPMG und PwC.

Zu den Lösungen von Onapsis gehört die Onapsis Security Platform (OSP), die am häufigsten eingesetzte SAP-zertifizierte Sicherheitslösung auf dem Markt. Im Gegensatz zu generischen Sicherheitsprodukten bieten die kontextbezogenen Lösungen von Onapsis präventive Schwachstellen- und Compliance-Prüfungen sowie Funktionen zur Erkennung und Reaktion auf Vorfälle in Echtzeit, um Risiken für geschäftskritische Prozesse und Daten zu minimieren. Dank ihrer offenen Schnittstellen lässt sich die Plattform in führende SIEM-, GRC- und Netzwerksicherheitsprodukte integrieren und bindet Unternehmensanwendungen nahtlos in bestehende Programme zur Reaktion auf Schwachstellen, Risiken und Vorfälle ein.

Diese Lösungen basieren auf den Onapsis Research Labs™, die kontinuierlich wichtige Erkenntnisse zu Sicherheitsbedrohungen für SAP- und Oracle-Systeme liefern. Die Experten der Onapsis Research Labs die ersten, die einen Vortrag über SAP-Cyberangriffe hielten, und haben bis heute Hunderte von Sicherheitslücken entdeckt und bei deren Behebung geholfen, die Anwendungen der SAP Business Suite, SAP HANA, SAP Cloud SAP Mobile sowie die Plattformen Oracle JD Edwards und Oracle E-Business Suite betreffen.

Weitere Informationen finden Sie auf der Website www.onapsis.com oder folgen Sie Onapsis auf Twitter, Google+ oder LinkedIn

„Onapsis“ und Onapsis Research Labs eingetragene Marken von Onapsis, Inc. Alle anderen Firmen- oder Produktnamen sind möglicherweise eingetragene Marken ihrer jeweiligen Eigentümer.

Zurück zu den Pressemitteilungen

Weiterführende Literatur