Braucht man ein zertifiziertes Security-Konzept für die SAP HANA Landschaft?

Zentralisierte Datenbank- und SAP-Systeme sind ein sehr interessantes Ziel für Cyber-Kriminelle, weil dort alle geschäftskritischen Daten und Prozesse zusammenlaufen. Der Umstieg auf SAP HANA mit HANA native, SAP S/4HANA oder SAP BW/4HANA bringt daher auch neue Anforderungen an das SAP-Sicherheitskonzept mit sich.

Von Florian Lüffe, HANA-Architekt und Security-Experte bei T-Systems, wollte ich wissen, welche Security-Herausforderungen es in HANA- und S/4HANA-Projekten gibt und wie man herausfindet, ob die eigene Sicherheitsarchitektur noch zu den Neuerungen von SAP HANA passt?

Gemeinsam mit einem Vertreter eines Anwenderunternehmens ist er Gast eines Expert-Talks zur IT-Onlinekonferenz 2020 „Wie machen es andere Unternehmen?“. Beide berichten über Beweggründe, Inhalte und Erkenntnisse aus dem gemeinsamen Security-HANA-Projekt.

 

Herr Lüffe, wie gut sind SAP-Systeme gegen Cyber-Angriffe abgesichert?

Florian_Lüffe_T-SystemsFlorian Lüffe: Im Allgemeinen bieten SAP-Systeme natürlich ein gewisses Maß an Grundsicherheit. Letztendlich ist dies vergleichbar mit Ihrem Desktop-Arbeitsrechner. Auch hier liefert der Hersteller das Basis-Paket an Sicherheit mit. Unternehmen benötigen jedoch meist mehr als diesen Basisschutz, da sich unterschiedliche Anwendergruppen auf den Systemen aufhalten, die ein Berechtigungskonzept brauchen.

Jüngste Sicherheitslücken, die sich mit dem 10KBlaze-Toolset einfach ausnutzen lassen, zeigen deutlich, dass erweiterte Sicherheitskonzepte für SAP-Systeme Pflicht sind. Insbesondere dadurch, dass im SAP-System so ziemlich alle geschäftskritischen Daten zusammenkommen, sind diese ein sehr beliebtes Ziel von Kriminellen.

 

Welche zusätzlichen Risiken ergeben sich mit einem HANA- oder S/4HANA-Umstieg?

Mit dem Umstieg in die „neue Welt“ kommt ein komplett neues Cluster in die SAP-Landschaften. Man darf nicht vergessen, dass HANA nicht nur eine Datenbank, sondern eine ganze Appliance darstellt, bestehend aus Datenbank, Applicationserver und diversen Schnittstellen. Dies erfordert komplett neue Sicherheitsvorkehrungen als es beispielsweise bei anderen klassischen Datenbanken erforderlich war.

Neben den externen Sicherheitsrisiken sind aber natürlich auch die internen Aspekte, wie zum Beispiel das Berechtigungskonzept der User und die Schnittstellen-Berechtigungen ein wichtiger Punkt. Hier liefern wir in unserem SMART Security Framework die nötigen Konfigurationen der HANA direkt mit.

 

Wo liegen die Herausforderungen bei der Absicherung?

HANA-Security ist ein komplexes Thema, das besonders wichtig ist, da beispielsweise Entwickler für verschiedene Anforderungen direkten Zugriff zum Datenbankbereich benötigen. Durch die direkte Interaktion ergibt sich ein schmaler Grad zwischen nötigen und sicherheitsrelevanten Berechtigungen. Aus diesem Grund bauen wir mit unserem Konzept auf drei Säulen auf: Dem Berechtigungskonzept, der HANA-Konfiguration und dem Reporting.

Um aber nicht nur die technischen Herausforderungen zu meistern, sondern auch die Personen abzuholen, die mit der SAP HANA interagieren, haben wir in unserem Konzept einen Workshop fest integriert, in dem wir die Kunden mittels unserer Roadmap abholen und auf spezifischen Fragen direkt eingehen können. Trotz Komplexität kommen wir mit unserer Template-Lösung so zu einem individuell angepassten Sicherheitskonzept.

 

Wie kann man herausfinden, ob die eigene Sicherheitsarchitektur noch zu den Neuerungen von SAP HANA passt?

Da HANA ein komplett eigenes System ist, erfordert es auch eine erhebliche Erweiterung des vorherigen Sicherheitskonzepts. Wir unterstützen Kunden mit bereits vordefinierten Rollen und Rollentemplates, die den Einstieg erheblich erleichtern und den Implementierungszeitraum verkürzen.

 

Was erfahren wir von Ihnen bei der IT-Onlinekonferenz 2020?

In der IT-Onlinekonferenz möchte ich Ihnen gerne weitere Einblicke in unser zertifiziertes Security-Konzept „T-Systems SMART Security for SAP HANA 3.0“ geben. Dabei gehe ich auch auf unsere Erfahrungen aus einer Vielzahl von Kundenprojekten ein, sowie die damit verbundenen Herausforderungen.

 

Können Sie uns vorab eine der Kernerkenntnisse aus Kundenprojekten verraten?

Viele Kunden versuchen die „alten“ SAP-Berechtigungskonzepte direkt auf eine HANA zu übertragen, ganz nach dem Motto: „Das ist doch nur die Datenbank, da kümmer ich mich nicht drum“. Dies trifft natürlich bei HANA nicht mehr zu, denn alte ABAP-Berechtigungen scheinen ganz ähnlich und sind doch ganz anders gelagert. Daher ist das „Abholen“, das richtige Bewusstsein des Kunden immer ein sehr wichtiger Aspekt bei unseren HANA Security-Projekten.

 

Braucht man ein zertifiziertes Sicherheitskonzept?

Um die Frage in zwei Teilen zu beantworten: Ja, man braucht definitiv ein Sicherheitskonzept, ob dieses nun zertifiziert sein muss, muss jeder selbst beantworten. Aber ist es nicht deutlich beruhigender, ein Sicherheitskonzept einzusetzen, das den Kriterien des Herstellers — also SAP — entspricht und geprüft ist?

Deswegen haben wir unsere Lösung von SAP zertifizieren lassen, um unsere Qualität konform für unsere Kunden zu bestätigen und so die Wahl einfacher zu gestalten. Nichtsdestotrotz ist es auch wichtig, hinter die Fassade zu schauen und eben genau Veranstaltungen wie die IT-Onlinekonferenz zu nutzen, um sich über die eigentlichen Funktionen und Use Cases zu informieren.

 

Was wird für Sie in den kommenden 12 Monaten das dominierende Thema in der SAP-Community?

Ich denke der Fokus wird immer mehr in Richtung HANA 2.0 gehen, dort gibt es besonders durch die XS Advanced Struktur neue Herausforderungen, besonders im Security Umfeld. Hier muss erneut das Rollenkonzept erweitert werden.

Ferner sehe ich, dass auch die SAP Cloud Plattform immer relevanter wird. Aus eigener Erfahrung kann ich sagen, dass viele der Testcases, die auf der Plattform in den letzten Jahren entwickelt wurden, nun immer mehr Anwendung in Unternehmen finden.

 

Vielen Dank für das Gespräch.

Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.

 

Passt Ihre Sicherheitsarchitektur noch zu den Neuerungen von SAP HANA? Florian Lüffe gibt Kernerkenntnisse aus Projekten und Empfehlungen zur SAP-Security weiter. Hier registrieren …

Sie können diesen und alle Beiträge der IT-Onlinekonferenz live (28.01. – 06.02.) oder als Aufzeichnung verfolgen und eigene Fragen an die Experten stellen. Im Konferenzprogramm finden Sie Erfahrungsberichte aus mehr als 30 S/4HANA-Projekten, Migrationen und Prozessoptimierungen.

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Anzeige

Anzeige

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

Reifegrade bei der Digitalisierung der Logistik mit SAP

Unternehmen sind bei der Digitalisierung in der Logistik unterschiedlich weit. Während einige noch stark papiergebunden …