SAP Sicherheit: Investitionen steigen geringer als die Sensibilität | Umfrageergebnisse

3
Posted 1. Juni 2015 by Redaktion IT-Onlinemagazin in IT-Leiter

Bei der SAP Sicherheit wird die Handlungsschwelle in den Unternehmen nur schwer übersprungen. Die Sensibilität in den Unternehmen steigt – die Investitionen in die Verbesserung der SAP-Sicherheit steigen jedoch nicht gleichermaßen mit. Die Ergebnisse einer Onlineumfrage des IT-Onlinemagazins zur „SAP-Sicherheit“ beschreiben die aktuelle Situation bei den SAP-Anwenderunternehmen. 103 Mitglieder der SAP-Community nahmen teil:

 SAP Sicherheit Infografik

Sensibilität und Investitionen in SAP-Sicherheit

Bei 51 Prozent der Teilnehmer ist die Sensibilität bezüglich der SAP-Sicherheit im Vergleich zum Vorjahr gestiegen, bei 48 Prozent unverändert und bei nur 3 Prozent ist sie gesunken. Die Investitionen zur Verbesserung der SAP-Sicherheit sind nach eigenen Angaben bei 34 Prozent der Unternehmen gestiegen, bei 57 Prozent unverändert und bei 9 Prozent gesunken. Erfreulich, dass in den Unternehmen die Wichtigkeit für die Sicherung des geistigen Eigentums steigt. Ein Drittel der SAP-Anwenderunternehmen setzt die Erkenntnis offenbar auch in Aktivitäten zur Erhöhung der Sicherheit ein.

 

Maßnahmen zur Verbesserung der SAP-Sicherheit

SAP Sicherheit MaßnahmenBei den Maßnahmen zur Verbesserung der SAP-Sicherheit stehen mit „Rollen- und Berechtigungssystem / GRC“ mit 80 Prozent und „Einspielen von SAP-Security Patches“ mit 78 Prozent wenig überraschend zwei Pflichtübungen an der Spitze, die für einen Grundschutz Voraussetzung sind. Eine „Überprüfung der SAP-Systemkonfiguration“, beispielsweise Passwortvorgaben und Verschlüsselung, führen nur 60 Prozent der Unternehmen regelmäßig durch.

„Identity Management / Single Sign-on“ wird bei gut der Hälfte der Unternehmen genutzt. Monitoring von kritischen Ereignissen (Threat Detection), Sicherheitsaudits in Projekten und Sicherheitstests bei Eigenentwicklungen werden nur von jedem dritten Unternehmen ernst genommen und durchgeführt. Sicherheitstrainings für SAP-Anwender (19%) und Penetrationstests (11%) bilden das Schlusslicht der Aktivitäten.

Zusammenfassend fällt auf, dass offenbar viele Unternehmen nur einige der Pflichtaufgaben zur Basisabsicherung tatsächlich umsetzen und sich dadurch unnötig angreifbar machen.

 

SAP-Security Patches werden mit großer zeitlicher Verzögerung eingespielt

SAP Security Patches Reaktionszeit UnternehmenDie meisten Unternehmen spielen SAP-Security Patches innerhalb von drei Monaten ein. Wenn man bedenkt, dass in diesem Zeitraum allgemein bekannte Sicherheitslücken ausgenutzt werden könnten, ist die Reaktionsgeschwindigkeit bei vielen Unternehmen vergleichsweise langsam.

SAP Security Patches werden bei 30 Prozent der Unternehmen spätestens innerhalb eines Monats eingespielt, nach drei Monaten sind noch 30 Prozent, nach sechs Monaten noch 15 Prozent der Unternehmen ungeschützt gegen bekannte Sicherheitslücken und erfolgversprechende Angriffsmöglichkeiten.

 

Überprüfung von Drittprodukten und Dienstleitern auf Sicherheitsrisiken

Etwa 30 Prozent der Unternehmen überprüft kontinuierlich externe Entwicklungen, Drittprodukte und SAP Add-On auf Sicherheitsrisiken. 38 Prozent prüfen das zumindest stichprobenartig, weitere 30 Prozent der Unternehmen prüfen diesen Aspekt eher nicht. Wenn man sich vor Augen führt, dass der Anteil an Fremdleistungen im SAP-Umfeld bei vielen Unternehmen sehr hoch ist, hat offenbar (nur) jedes dritte Unternehmen auch begleitende Routinemaßnahmen zur Überprüfung der Sicherheit etabliert.

 

Sicherheitsaspekte bei der SAP HANA Entscheidung

Abschließend wollten wir wissen, inwieweit Sicherheitsaspekte bei der Entscheidungsfindung für oder gegen den SAP HANA Einsatz eine Rolle spielen. Für 33 Prozent der Befragten spielt dieser Aspekt eine wichtige Rolle, für 7 Prozent sogar eine sehr wichtige Rolle. Für 36 Prozent spielt die SAP-HANA-Sicherheit nur eine untergeordnete und für 24 Prozent gar keine Rolle.

 

Ausgewählte Kommentare von Teilnehmern

Wir haben einige Kommentare von Teilnehmern zur SAP-Sicherheit ausgewählt:

  • „Wird komplett unterschätzt!“
  • „Spielt bei uns leider nur eine geringe Rolle und wird daher nicht mit Budget versehen.“
  • „Das Security Thema bei SAP wird immer komplexer, weil sich die Anwendungen mehr und mehr von der GUI Oberfläche auf Web, Cloud und Devices verlagern. Das Risikomanagement steigt dadurch im Aufwand extrem.“
  • „Spannend ist vor allem die Sicherheit im Mobility-Bereich im SAP-Umfeld, damit kommt eine zusätzliche Dimension ins Spiel.“
  • „Viele Unternehmen sind sich des Gefahrenpotentials von historisch gewachsenen Berechtigungskonzepten überhaupt nicht bewusst. Das will auch keiner hören oder sehen.“
  • „Am schlimmsten sind SAP Standard-Rollen, die Sicherheit suggerieren aber überall Sternchen besitzen.“
  • „Die Log-Möglichkeiten im SAP Standard sind erweiterungswürdig.“

 

Bewertung der Ergebnisse

Markus Schumacher, Geschäftsführer vom SAP-Sicherheitsspezialisten Virtual Forge, bewertet die Umfrageergebnisse zur SAP-Sicherheit folgendermaßen: „Mich freut das Ergebnis in vielerlei Hinsicht. Es zeigt, dass nicht nur die Sensibilität für Sicherheitsthemen zugenommen hat, sondern auch entsprechende Maßnahmen ergriffen werden – auch wenn hier bei vielen Unternehmen noch Luft nach oben ist.

Wir beobachten ebenfalls eine zunehmende Nachfrage nach Lösungen, die SAP-Verantwortliche bei der regelmäßigen Überprüfung ihrer SAP-Systemkonfigurationen unterstützen und dabei helfen, diese Aufgaben zu vereinfachen und zu automatisieren. Mit dem SystemProfiler hat Virtual Forge ein Angebot, das genau diesen Bedarf abdeckt.

Sorge bereitet mir hingegen, dass nur knapp ein Drittel der Befragten Sicherheitstests bei SAP-Eigenentwicklungen durchführt. Hier herrscht dringend Handlungsbedarf. Bei der Analyse von kundeneigenen Entwicklungen finden wir stets gravierende Sicherheitslücken.“ Virtual Forge hat die IT-Onlinemagazin Umfrage fachlich unterstützt und gesponsert.

 

Helge Sanden, IT-Onlinemagazin Chefredakteur, fasst zusammen: „Unsere SAP-Community Umfrage zur SAP Sicherheit hat gezeigt, dass zwar die Sensibilität für das Thema steigt, die angemessenen Maßnahmen aber noch nicht von der Mehrzahl der Unternehmen umgesetzt werden. Im SAP-Betrieb und Alltag ist die SAP Sicherheit noch nicht nachhaltig verankert. Durchgängige und kontinuierliche Sicherheitsmaßnahmen zum Schutz des geistigen Eigentums sind demnach eher die Ausnahme als die Regel. Hier gilt es, nach der Bewusstseinsschwelle auch die Handlungsschwelle zu überwinden.“

 

Weiterführende Informationen:

SAP Systeme optimieren und schützen

Für den IT-Onlinemagazin Newsletter anmelden und etwa vierzehntägig kompakte SAP-Community News erhalten.

 

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:


Das IT-Onlinemagazin ist Medienpartner der DSAG Technologietage 2017:

Newsletter-Abo


Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter.   Etwa zweimal pro Monat werden Sie kompakt und unterhaltsam mit wichtigen Nachrichten aus der SAP- und ERP-Community versorgt.