Aktuelle Sicherheits- und Compliance-Trends: SAP-Community Erfahrungsaustausch

0
Posted 25. März 2019 by Redaktion IT-Onlinemagazin in IT-Leiter

Mitte März 2019 traf sich die Community für SAP-Sicherheit und Compliance auf Einladung von IBS Schreiber und SAP für drei Tage in Hamburg. Der Erfahrungsaustausch und aktuelle Fragestellungen wurden diskutiert. Fazit: Die Bedrohungslage und die Abhängigkeit von SAP-Systemen nehmen stetig zu. Wenn man seine Systeme absichern will, muss man vielfältige Aufgaben erledigen und die passenden Angebote auswählen.

 

Angriffe auf SAP-Systeme durchaus verbreitet

Augen öffnend dürfte der Vortrag von Stefan Becker (Bundesamt für Sicherheit in der Informationstechnologie) gewesen sein: Er legte dar, dass es durchaus verbreitet sei, SAP-Systeme als Einfallstor für Cyberangriffe zu nutzen. Hauptgrund dürfte seiner Meinung nach sein, dass man alles über ein Unternehmen weiß, sobald man mittels einer sogenannten „Backdoor“ — in der Regel unbemerkt — Zugriff auf sämtliche SAP-Daten habe. Diese Informationen ließen sich von Cyber-Kriminellen gut verkaufen, so Becker weiter.

IBS Schreiber Security Convention 2019Frank Buchholz (SAP) stellte vor, wie man SAP-Systeme härten kann. Beispielsweise dauere das Einspielen von Security-Patches oft zu lange und macht Angriffe leicht möglich, so Buchholz. Helge Sanden (IT-Onlinemagazin) brachte hierzu Umfrageergebnisse aus der SAP-Community mit. Demnach sind nach drei Monaten etwa 30 Prozent der SAP-Systeme ungeschützt gegen öffentlich bekannte Sicherheitslücken. Diskutiert wurde, dass Ursachen unter anderem darin liegen dürften, dass viele SAP-Organisationen nicht zeitnah Patches einspielen können, weil ihre Prozesse das nicht hergeben. Fehlende Testautomatisierung und Abhängigkeiten von Transport-Stops verzögern in der Praxis schnelle SAP-Releases.

Helge Sanden berichtete auch, dass laut Umfrage in über 80 Prozent der Unternehmen die SAP-Basisexperten für die SAP-Sicherheit verantwortlich seien — das werden sie aber nicht leisten können, weil in der Regel die Synchronisation mit der IT-Sicherheit und der Zugriff auf benötigte Ressourcen fehlen dürften.

 

Abwehr von Cyber-Angriffen auf SAP-Systeme

Mit dem SAP-Flaggschiffprodukt ETD (Enterprise Threat Detection) lassen sich Bedrohungslagen in Echtzeit erkennen. Hier wurde diskutiert, dass SAP-Anwenderunternehmen oft das notwendige Fachpersonal fehlt, um Beobachtungen auszuwerten, beispielsweise falschpositive Meldungen zu erkennen, und angemessen schnell auf Ereignisse abzuwehren. Anbieter (wie beispielsweise) IBS Schreiber reagieren hierauf mit Managed Service Angeboten, um die Anwenderunternehmen fachlich und personell so zu unterstützen, dass sie ihre SAP-Landschaften absichern können.

Der SAP-Anwender Jonas Haas, Hugo Kern und Liebers, berichtete über die Einführung von SAP Single Sign-on bei KERN-LIEBERS. Mit vergleichsweise überschaubarem Aufwand ist gemeinsam mit dem SAP-Partner XITING eine SSO-Lösung entstanden, die durch eine zentrale Anmeldung das Sicherheitslevel erhöhen soll.

 

SAP-Berechtigungswesen und DSGVO

Das SAP-Berechtigungswesen liefert auch einen wichtigen Beitrag zur SAP-Sicherheit. Wenn man die Berechtigungen hybrider SAP-Lösungen (Cloud und On-Premise) verwalten will, ist das mit SAP Cloud IAG Bridge (SAP Cloud Identity Access Governance) möglich.

Wie man die Korrektheit seines SAP-Berechtigungswesens nachweisen kann, berichtete der SAP-Anwender Sandeep Sheth von den JOST-Werken am Beispiel der eingesetzten Lösung CheckAud. Mittels Dashboards bekommt er Hinweise auf Sicherheitslücken bei der Vergabe von Rollen und Berechtigungen, sowie auf Fehler bei der Funktionstrennung (SoD). Alle Änderungen an Rollen und Berechtigungen werden automatisch dokumentiert. Er fasste es so zusammen: Nachdem er den automatisch erstellten Auditbericht abgegeben hatte, bekam er keine Rückfrage vom Wirtschaftsprüfer.

Auch Trends zur DSGVO wurden diskutiert: Michael Foth (IBS Dataprotection Service and Consulting) berichtete hierzu, dass die Einhaltung der Datenschutzbestimmungen durch die Androhung der Strafen in den betroffenen Unternehmen nun genauer beobachtet werden. Die EU überarbeitet aktuell die DSGVO-Bestimmungen und es ist davon auszugehen, dass DSGVO ein stetiger Prozess sein wird, mit dem man nie fertig werden dürfte.

Die Veranstaltung soll 2020 erneut stattfinden.

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:


Anzeige

Newsletter-Abo


Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter.   Etwa zweimal pro Monat werden Sie kompakt und unterhaltsam mit wichtigen Nachrichten aus der SAP- und ERP-Community versorgt.

Anzeige