SAP und Security: Ab in die Cloud?

Thomas Wießflecker Portrait
Autor: Dr. Thomas Wießflecker, Portfolio Executive SAP
  • Beitrag vom: 15.10.2018

Bestehende SAP-Systeme sind Musterbeispiele für Bestandsanwendungen: über Jahre oder gar Jahrzehnte gewachsen. Mit immer neuen Systemen wie zum Beispiel Webanwendungen integriert. Und durch Eigenentwicklungen individualisiert. Für die IT-Sicherheit bedeutet ein derart historischer (Wild-)Wuchs nichts Gutes. Analysen in SAP-Migrationsprojekten der Deutschen Telekom ergaben: Auf durchschnittlich 1.100 Zeilen Software-Code kommt ein sicherheitsrelevanter Fehler. Typisch ist zum Beispiel, dass Anwender relativ ungehindert auf Stammverzeichnisse der Software zugreifen können oder durch sogenannte „SQL Injections“ über das Textfeld einer Website etwa ein Zugriff auf Datenbanken möglich ist – und somit auf Kundendaten und vertrauliche Unternehmensinformationen. Solche Schwachstellen sind nicht die Ausnahme, sondern die Regel in gewachsenen SAP-Systemen.

Sicherheit auf Basis von Apps

Nun, da der Umstieg auf SAP S/4HANA über kurz oder lang ansteht, drücken SAP-Anwender nicht nur in Sachen Funktionalität, Infrastruktur und IT-Betrieb auf viele Reset-Knöpfe. Auch in Sachen IT-Security bietet sich bei der Migration ein Großreinemachen an. Zumal durch das bei S/4HANA völlig veränderte Nutzerkonzept vor zum Teil ganz anderen Sicherheitsanforderungen steht. Vorher müssen sich Unternehmen in die App-Logik von der SAP-spezifischen Oberfläche insbesondere für mobile Anwendungen hineindenken und ihr Benutzer- und Berechtigungskonzept entsprechend anpassen.

Zwar wird mit Blick auf potenzielle Angriffe von außen viel Security-Verantwortung auf den jeweiligen Cloud-Anbieter übergehen, bei dem die SAP-Anwendungen dann laufen – in der Regel hochsichere Rechenzentren, welche nicht nur die europäischen und deutschen Sicherheits- und Datenschutzstandards erfüllen, sondern auch physisch hierzulande angesiedelt sind. Doch gegen Angriffe von innen können sich Unternehmen nur durch ein ausgetüfteltes Benutzerkonzept mit intelligent gestalteten Richtlinien und Zugriffsberechtigungen absichern. Zudem wird mit der HANA-Datenbank im Hauptspeicher eine neue Infrastruktur geschaffen, mit der sich auch die interne IT vertraut machen muss, um Angriffe abwehren zu können.

Bestandsaufnahme first

Die große Security-Inventur beim Umstieg auf S/4HANA folgt grundsätzlich drei Schritten – ganz gleich, welche Verfahren und Werkzeuge im Detail zum Einsatz kommen. Zunächst müssen sich die Verantwortlichen einen Überblick verschaffen: Wie sehen die bisherige SAP-Infrastruktur und das dazugehörige Berechtigungskonzept aus? Inwieweit sind „Feuerwehr“-Rollen für den Fall definiert, wenn sich ein Angreifer bereits in interne Systeme vorgearbeitet hat? Wie sind die Themen „Compliance“ und „Segregation of Duties“ (Funktionstrennung) aufgesetzt? Wo befinden sich Security-Fehler im Software-Code? Solche Analysen lassen sich durch Werkzeuge zum großen Teil automatisieren – sei es über Tools von SAP selbst oder von Fremdanbietern.

Der zweite Schritt besteht vor allem darin, Fehler zu beheben. Insbesondere im programmierten Code müssen die Unternehmen sicherstellen, dass die dort gefundenen Schwachstellen auch behoben werden. Der dritte Schritt schließlich sorgt dafür, dass keine neuen Schwachstellen entstehen, etwa in Form einer Code Firewall. Sie stellt sicher, dass eine Zeile Code erst dann produktiv geht, wenn sie nachhaltig auf Sicherheitslücken hin geprüft wurde. Entsprechende Security-Scanner stellt auch SAP selbst zur Verfügung.

Sicherheit aus dem Baukasten

Generell muss kein Unternehmen beim Übergang zu S/4HANA das Rad der IT-Security neu erfinden: Zum Aufbau der neuen Berechtigungskonzepte stehen zum Beispiel Templates zur Verfügung, die sich nach dem Baukastenprinzip zusammensetzen lassen. Auch für das im IT-Betrieb laufende kontinuierliche Sicherheits-Monitoring stehen vorgefertigte Reports zur Verfügung.

Viel wichtiger, als sich um Verfahrens- und Produktfragen zu kümmern, ist es für Unternehmen strategisch zu entscheiden, ob zum Beispiel das Sicherheits-Monitoring in eigenen Händen verbleiben soll oder ebenfalls an externe Dienstleister übergeht. Und sie benötigen Lösungsanbieter, die eine Ende-zu-Ende-Sicht gewährleisten können. Dazu gehören zum Beispiel auf jeden Fall auch Geräte und Anwendungen des Internet of Things (IoT), die das Einfallstor für potenzielle Angreifer noch ein Stück weiter aufstoßen.

Beiträge empfohlen von der Deutschen Telekom


https://www.heise.de/brandworlds/cloud-services/sap-und-security-ab-in-die-cloud/https://www.heise.de/brandworlds/cloud-services/sap-und-security-ab-in-die-cloud/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.