SAP-Sicherheit: SAP Anwender führen mehr Penetrationstests durch

1
Posted 27. Mai 2016 by Redaktion IT-Onlinemagazin in IT-Leiter

Die Sensibilität für SAP Sicherheit steigt bei den SAP Anwenderunternehmen im Vergleich zum Vorjahr und die Investitionen zur Verbesserung der Sicherheit steigen bei jedem Dritten. Insbesondere die Bereitschaft für Penetrationstests hat sich signifikant erhöht. Gaben bei der gleichen Umfrage im letzten Jahr nur rund 10 Prozent der Teilnehmer an Penetrationstests durchzuführen, waren es in diesem Jahr rund 33 Prozent der Unternehmen. Alle anderen Maßnahmen liegen auf Vorjahresniveau.

Hauptverantwortlich für die SAP-Sicherheit in den Unternehmen ist bei 73 Prozent der Befragten die SAP-Basisadministration. Die Prüfung von Drittprodukten, Eigenentwicklung und SAP Add-On findet bei der Mehrzahl der Unternehmen nur stichprobenartig (43 Prozent) oder eher nicht (30 Prozent) statt – hier ist keine Veränderung zum Vorjahr festzustellen.

Erfreulich aus Sicherheitssicht: Bei der Einführung neuer Technologie sind Sicherheit und Nutzen- oder Kostenvorteile für 43 Prozent der Unternehmen gleichermaßen wichtig, bei rund 30 Prozent sind die Sicherheitsaspekte sogar wichtiger als die Vorteile. Die Ergebnisse der diesjährigen Onlineumfrage des IT-Onlinemagazins zur „SAP-Sicherheit“ im Mai 2016 bringen neue Erkenntnisse. 120 Mitglieder aus der SAP-Community nahmen daran teil. Virtual Forge hat die IT-Onlinemagazin Umfrage wieder fachlich unterstützt und gesponsert.

 

SAP Sicherheit Penetrationstest 2016

 

Sensibilität und Investitionsbereitschaft in SAP Sicherheit steigen weiter

In 53% der Unternehmen ist die Sensibiliät für SAP-Sicherheit gestiegen, bei 47 Prozent bleibt sie gleich – kein Teilnehmer sagte, sie wäre gesunken! Die Investitionen zur Verbesserung sind bei 63 Prozent der Unternehmen unverändert und bei 33 Prozent im Vergleich zum Vorjahr gestiegen. Bei der Befragung im letzten Jahr waren die Zahlen fast identisch. Der Trend ist also nachhaltig positiv.

 

Maßnahmen: Penetrationstests verdreifacht

Auch bei den Maßnahmen zur Verbesserung der SAP Sicherheit zeigen die Unternehmen Kontinuität und die Zahlen liegen in fast allen Bereichen auf dem Vorjahresniveau: Einspielen von SAP Security Patches (70 Prozent der Teilnehmer führen es durch), kontinuierliche Überprüfung Benutzer-Rollen und –Berechtigung (53 Prozent), regelmäßige Überprüfung der SAP-Systemkonfiguration (Passwortvorgaben, Verschlüsselung, …) (51 Prozent), Identity Management (45 Prozent), Sicherheitsaudits in Projekten (31 Prozent), Monitoring von kritischen Ereignissen (Threat Detection) (30 Prozent), Sicherheitstests bei Eigenentwicklungen (28 Prozent) und Sicherheitstrainings für SAP-Anwender.

Lediglich die Penetrationstests legen einen signifikanten Sprung von 10 Prozent im Vorjahr auf 33 Prozent in 2016 hin. Penetrationstests sind oft der Einstieg, um eine Ist-Aufnahme des Gefährdungspotenzials durchzuführen, was diesen Anstieg erklären könnte.

 

Maßnahmen SAP Sicherheit 2016

 

SAP Basisadministration maßgeblich für SAP-Sicherheit verantwortlich

Wir fragten erstmalig, wer in den Unternehmen maßgeblich für den stabilen und sicheren Betrieb der SAP-Systeme und Anwendungen verantwortlich ist. Hier gaben die Teilnehmer folgende Antworten, Mehrfachnennungen waren möglich:

Bei 73 Prozent der Unternehmen liegt die Hauptverantwortung in der SAP Basisadministration, bei 43 Prozent bei SAP-Security Verantwortlichen, bei 23 Prozent in der Fachabteilung und bei 22 Prozent beim externen Systembetreiber. 18 Prozent sehen SAP als Hersteller in der Verantwortung, bei 3 Prozent der Unternehmen gibt es keinen Verantwortlichen.

Diese Zahlen könnte man so interpretieren, dass SAP Sicherheit bei vielen SAP-Kunden eher eine operative als eine strategische Bedeutung hat.

 

Keine durchgängige Sicherheitsprüfung bei ABAP-Code und externer Software

Externe Entwicklungen, Drittprodukte und SAP Add-On werden nur bei 27 Prozent der Unternehmen kontinuierlich auf mögliche Risiken überprüft. 40 Prozent machen das immerhin stichprobenartig, 33 Prozent eher nicht. Die Zahlen liegen durchgängig auf Vorjahresniveau.

Es zeigt sich, dass die Unternehmen weiterhin dieses bekannte Sicherheitsrisiko in Kauf nehmen und sich auf externe Partner verlassen – das könnte ein blinder Fleck auf der Risikolandkarte sein und sich als Bumerang erweisen.

 

Sicherheit spielt bei Einführung neuer SAP Technologie große Rolle

Bei der Einführung neuer Technologien im SAP-Umfeld, wie z. B. Cloud-Anwendungen, HANA oder S/4HANA spielen Sicherheitsaspekte eine wichtige Rolle: 43 Prozent der Unternehmen gaben an, Sicherheit und Nutzen- oder Kostenvorteile seien gleich wichtig bei der Beurteilung, 30 Prozent sagen, Sicherheit ginge ihnen vor Nutzen- oder Kostenvorteilen und bei 27 Prozent stehe die Sicherheit im Hintergrund.

 

Kommentare zur SAP-Sicherheit in der Praxis

Wir haben einige Kommentare der Teilnehmer zur SAP-Sicherheit ausgewählt:

„ERP Daten unterliegen dem Datenschutz in EU und Deutschland, daher ist bei allen personenbezogenen Transaktionen und den daraus entstehenden Daten die rechtliche Einhaltung ein Muss und auch zukünftig keine optionale Ergänzung.“

„Grundsätzlich sollte die Sicherheit immer vor einem Kosten-/ Nutzenvorteil liegen. Denn was nützen die tollsten Systeme / Applikationen, wenn sie nach Belieben gehackt werden können?“

„Sicherheit wird bei uns zwar immer hochgehalten, aber wenn’s schnell gehen muss, drückt man bei uns auch mal beide Augen zu.“

„Leider ist das Bedürfnis an Sicherheit immer noch bei zu wenig CEO’s, CFO’s etc. in deren Köpfen angekommen. Dies spiegelt sich immer noch bei der Planung von SAP Projekten wieder. Irgendwann zum Schluss bemerkt einer, „ach Berechtigungen brauchen wir ja auch noch…“. Gleiches gilt für die Verantwortung und Akzeptanz in den Fachabteilungen. Auch hier wird sich viel zu wenig über die System- und Datensicherheit Gedanken gemacht. Es heißt dann immer: „Das macht die IT.““

 

Bewertung der Ergebnisse

Markus Schumacher, Geschäftsführer vom SAP-Sicherheitsspezialisten Virtual Forge, bewertet die Umfrageergebnisse zur SAP-Sicherheit folgendermaßen: „Die Umfrageergebnisse und Kommentare zeigen, dass der Trend in die richtige Richtung geht: Die Sicherheit rückt stärker in den Fokus. Wir beobachten zudem eine steigende Nachfrage nach Services und Lösungen, die Verantwortlichen nicht nur dabei helfen, eine umfängliche Sicht auf die Risikosituation zu erhalten, sondern auch effektive Maßnahmen schnell und unkompliziert umzusetzen.

Security-as-a-Service lautet hier das Stichwort: Virtual Forge gehört zu den ersten Anbietern, die SAP-Kunden eine Überprüfung von Dritt- oder selbstentwickelten SAP-Anwendungen sowie von Transporten bequem in der Cloud ermöglicht, oder die Schwachstellen-Analyse und -Korrektur als Service durch unsere Experten vornehmen zu lassen. Wir liefern damit nicht nur Fragen, sondern vor allem die Antworten zur sofortigen Verbesserung der SAP Sicherheit: schnell, ohne viel Aufwand und günstig.“

 

Helge Sanden, IT-Onlinemagazin Chefredakteur, fasst zusammen: „Die Bedeutung von SAP Sicherheit und auch die Investitionsbereitschaft steigen. Interessant war für mich, dass beim Großteil der SAP-Kunden die Verantwortung für die Sicherheit offenbar nicht im Management, sondern beim Basisadministrator liegt. Es ist zu hoffen, dass hier ein Umdenken stattfindet: das Thema hat aus meiner Sicht eine strategische Betrachtung verdient, damit das geistige Eigentum der Unternehmen wirkungsvoll geschützt werden kann.“

 

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:


Das IT-Onlinemagazin ist Medienpartner der DSAG Technologietage 2017:

Newsletter-Abo


Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter.   Etwa zweimal pro Monat werden Sie kompakt und unterhaltsam mit wichtigen Nachrichten aus der SAP- und ERP-Community versorgt.