Anzeige

Die Sicherheit von SAP-Landschaften und SAP-Schnittstellen wird weiter vernachlässigt

15 Prozent der SAP-Anwenderunternehmen klassifizieren und überwachen permanent alle SAP-Schnittstellen. 35 Prozent prüfen externe Entwicklungen, Drittprodukte und SAP Add-ons kontinuierlich auf mögliche Sicherheitsrisiken. 30 Prozent der SAP-Anwenderunternehmen haben Prozesse definiert und etabliert, um eine Verletzung des Schutzes personenbezogener Daten gemäß DSGVO innerhalb von 72 Stunden zu melden. Bei den restlichen Unternehmen bleibt noch viel zu tun, um geistiges Eigentum zu schützen, Datendiebstahl zu verhindern, „compliant“ zu sein und die technische SAP-Sicherheit zu verbessern.

Das sind einige Ergebnisse der jährlichen SAP-Community Umfrage aus dem März / April 2018 im IT-Onlinemagazin, die vom SAP-Sicherheitsspezialisten Virtual Forge gesponsert wurde. Erstmalig wurden die SAP-Kunden in diesem Jahr gefragt, durch welche externe Hilfe sie die SAP-Sicherheit verbessern könnten: Die Aufklärung zu typischen Schwachstellen in SAP-Landschaften, die Analyse individueller Gefahrenquellen und die Absicherung von SAP-Schnittstellen wurden am häufigsten genannt.

„Die Ergebnisse zeigen, dass Expertise im Umfeld der SAP-Sicherheit gefragt ist. Die Tatsache, dass Schnittstellensicherheit besonders nachgefragt wird, ist zudem ein Indikator, dass Kunden die Problematik der komplexen Systemlandschaften im SAP-Umfeld erkennen und darauf reagieren wollen“, bewertet Dr. Markus Schumacher, Geschäftsführer von Virtual Forge, die Umfrageergebnisse.

SAP-Sicherheit Umfrage 2018

Können DSGVO Anforderungen erfüllt werden?

Die Anforderungen der EU-DSGVO an die Unternehmen bezüglich befugtem und unbefugtem Zugriff auf personenbezogene Daten sind hoch. Beispielhaft für dieses Themenfeld haben wir erstmalig gefragt, ob eine Verletzung des Schutzes personenbezogener Daten gemäß DSGVO innerhalb von 72 Stunden gemeldet werden könnte.

Hier herrscht offenbar Unsicherheit: 17 Prozent der Befragten können diese Frage nicht bewerten. 30 Prozent gaben an, hierfür Prozesse definiert und etabliert zu haben. 39 Prozent meinten, sie würden einen Datendiebstahl vermutlich gar nicht oder erst sehr spät bemerken. 26 Prozent haben Werkzeuge zum Schutz personenbezogener Daten im Einsatz. Es konnten mehrere Antworten gegeben werden.

Vielen SAP-Anwenderunternehmen dürfte es schwerfallen, die DSGVO Anforderungen zu erfüllen. Bei einer DSAG-Umfrage im November 2017 waren knapp 61 Prozent der Umfrageteilnehmer wenig zuversichtlich, sich bis zum Stichtag fristgerecht entsprechend der EU-Datenschutz-Vorgaben aufzustellen. Von der Größenordnung und vom Trend decken sich die Umfrageergebnisse von DSAG und IT-Onlinemagazin in diesem Punkt.

 

Risikoüberprüfung bei externen Entwicklungen, Drittprodukten und Add-ons

Jedes Jahr fragen wir die SAP-Anwenderunternehmen, ob sie externe Entwicklungen, Drittprodukte und SAP Add-ons auf mögliche Sicherheitsrisiken überprüfen. 35 Prozent der Unternehmen machen das nach den jüngsten Umfrageergebnissen „eher nicht“, genauso viele „kontinuierlich“ und 28 Prozent zumindest „stichprobenartig“. 2 Prozent können das nicht einschätzen. 2017 sagten mit 38 Prozent ungefähr gleich viele Unternehmen, dass sie regelmäßig Sicherheitsprüfungen durchführen, 2016 war das nur bei 25 Prozent der Unternehmen der Fall.

„Das Risiko, dass man durch ungeprüfte SAP-Transporte schadhaften Code in seine Produktivsysteme einspielt, dürfte demnach bei schätzungsweise 60 Prozent der SAP-Kunden gegeben sein. Stichproben sind gut, aber bei der großen Anzahl von Codezeilen, die täglich transportiert werden, bieten sie keinen ausreichenden Schutz“, erläutert Patrick Boch, Director Product Marketing bei Virtual Forge.

Der ABAP Benchmark Report sagt, dass jedes ungeprüfte SAP-System mehr als 2.000 kritische Sicherheitslücken aufweist.

 

SAP Schnittstellen: Trügerische gefühlte Sicherheit?

In einer digitalisierten Welt nehmen die Vernetzung und damit die Zahl der IT-Schnittstellen tendenziell zu. Wir fragten daher, wie es in den Unternehmen um die Sicherheit der SAP-Schnittstellen bestellt ist. Aktuell werden (nur) bei 15 Prozent der Teilnehmenden alle SAP-Schnittstellen klassifiziert und permanent überwacht.

20 Prozent räumen ein, dass es bestimmt SAP-Schnittstellen gibt, die nicht einmal bekannt sind. 17 Prozent schätzen, dass ihre SAP-Schnittstellen „eher unsicher“ sind — 46 Prozent der Befragten schätzen, dass sie „eher sicher“ sind. Ein Prozent konnte die Schnittstellensicherheit nicht einschätzen. Bei dieser Frage war nur eine Antwort erlaubt.

„Die Ergebnisse der Studie decken sich mit unseren Erfahrungen,“ meint Olek Panchenko, der bei Virtual Forge die Entwicklung für den neuen InterfaceProfiler leitet, „das Problem fängt meist schon damit an, dass viele Schnittstellen gar nicht bekannt sind und ein vollständige Übersicht über alle relevanten Schnittstellen fehlt.“

 

Welche externe Unterstützung zur Verbesserung der SAP-Sicherheit kann helfen?

Erstmalig fragten wir die Unternehmen, in welchen Bereichen die SAP-Sicherheit durch externe Hilfe erhöht werden könnte. Es konnten mehrere Antworten gewählt werden.

 

SAP-Sicherheit 2018 Externe Hilfe

 

Die drei Top-Antworten waren: 52 Prozent wünschen sich Aufklärung zu typischen Schwachstellen in SAP-Landschaften. 46 Prozent würde die Analyse der individuellen Gefahrenquellen und ebenfalls 46 Prozent die Absicherung von SAP-Schnittstellen helfen.

Externe Unterstützung würde 41 Prozent der Teilnehmenden bei der Erstellung eines SAP-Sicherheitskonzepts, 33 Prozent beim Redesign des Rollen- und Berechtigungskonzepts, 30 Prozent bei der Absicherung von Custom Code und 15 Prozent bei der Absicherung der SAP-Transporte helfen. 20 Prozent gaben an, dass sie keine Hilfe benötigen.

„Diese Zahlen weisen darauf hin, dass vielen Kunden die Komplexität des Themas inzwischen bewusst ist – und sie bei tausenden sicherheitsrelevanten Einstellungen und Schwachstellen im kundeneigenen Code Leitfäden benötigen, die risikobasiert eine Strategie für Gegenmaßnahmen aufzeigen. Meldungen von Schwachstellen, die in der Konfiguration von SAP-Systemen gefunden werden oder, wie die kürzlich von Virtual Forge entdeckte Sicherheitslücke im Transportwesen, die ein unbemerktes Einschleusen beliebiger Tabelleninhalte in ein Produktivsystem erlaubt, tragen zu dieser Verunsicherung natürlich bei“, so Patrick Boch.

Interessant ist folgender Zahlenvergleich: Obwohl 37 Prozent der Umfrageteilnehmer sagen, dass sie die Schnittstellen ggf. nicht genau kennen oder dass sie eher unsicher sind, meinen deutlich mehr Teilnehmer, nämlich 46 Prozent, dass Ihnen Hilfe bei der Schnittstellenabsicherung gut tun würde. Ein erster Schritt kann hier sicher sein, zunächst einmal alle Schnittstellen zu inventarisieren. Das lässt sich mit Softwaretools automatisiert durchführen.

 

Bewertung der Ergebnisse

Dr. Markus Schumacher zieht folgende Schlüsse aus den Umfrageergebnissen zur SAP-Security: „Die Studie zeigt, dass bezüglich SAP-Sicherheit noch viel Aufklärungsarbeit zu leisten ist – aber auch die SAP muss in die Pflicht genommen werden und das Thema ihren Kunden gegenüber deutlicher adressieren.“

Helge Sanden, IT-Onlinemagazin Chefredakteur, bewertet den Status Quo zur SAP-Sicherheit so: „Die Absicherung der SAP-Landschaften bleibt für einen Großteil der Unternehmen offenbar ein Dilemma. Obwohl die Gefährdungspotenziale mittlerweile bekannt sind, schaffen es offenbar nur wenige Unternehmen eine durchgängige Sicherheitsarchitektur zu etablieren, die alle Ebenen, Prozesse und Systeme abdeckt. Die Umfrageergebnisse zeigen, dass neben dem Aufklärungs- und Informationsbedarf auch praktische Hilfe durch Externe hilfreich sein kann. Hier wissen wir aus anderen Umfragen und Gesprächen, dass sich SAP-Entscheider insbesondere die holistische Beratung wünschen.“

 

SAP-Security Trends der letzten Jahre

Weitere Kernerkenntnisse aus Vorjahresumfragen haben wir noch einmal in Kurzform für Sie zusammengefasst:

  • Haupttreiber für Investitionen in SAP-Sicherheit sind eigene Compliance-Richtlinien und der Schutzbedarf des geistigen Eigentums.
  • Für die SAP-Sicherheit ist in den meisten Unternehmen der SAP Basisadministrator verantwortlich. Daran ist zu erkennen, dass dieses Thema oft nicht ernst genug genommen werden dürfte und noch nicht im Management angekommen ist.
  • Rund 30 Prozent der SAP-Systeme sind über öffentlich bekannte Schwachstellen nahezu frei zugänglich. SAP Sicherheits-Patches werden nur bei rund 70 Prozent der Unternehmen innerhalb von drei Monaten eingespielt.
  • Nur 35 Prozent der Unternehmen sehen ihr Unternehmen bei der Erkennung von Angriffen gut aufgestellt.

Alle Ergebnisse können Sie im Detail hier nachlesen:

Viele SAP Systeme dürften sehr leicht angreifbar sein (2017)
SAP Anwender führen mehr Penetrationstests durch (2016)
SAP Sicherheit: Investitionen steigen geringer als die Sensibilität (2015)

 

 

Mögliche Maßnahmen zur Verbesserung der Sicherheit

Markus Schumacher empfiehlt folgende Maßnahmen zur

  1. Synchronisation von CISO und der SAP-Abteilung
  2. Initiale Risikobewertung
  3. Erstellung einer SAP Security Roadmap
  4. Umsetzung von „Quick Wins“ mit niedrigem Aufwand bei hoher Risikominimierung
  5. Weitere Maßnahmen in Abhängigkeit von Budget, Ressourcen und Dringlichkeit

und ergänzt:

„Da Rollen und Berechtigungen in den meistens Unternehmen bereits hinreichend adressiert sind, empfehle ich die Sicherheit der bestehenden Systemkonfiguration kontinuierlich zu stärken, in S/4HANA- oder HANA-Projekten von Anfang an eine Sicherheitsarchitektur zu berücksichtigen.

In Zeiten, in denen das Thema digitale Transformation eine immer wichtigere Rolle spielt, ist es außerdem wichtig, Sicherheit schon in die Entwicklungsprozesse zu integrieren. Nur so werden Unternehmen nicht böse überrascht, wenn entweder ein Angriff stattfindet oder die Kosten für die Korrektur einer Sicherheitslücke explodieren.“

 

 

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Anzeige

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

DSAGTT24

DSAG-Event bringt Klarheit — aber auch neue SAP-Fragen

Was waren die wichtigsten Erkenntnisse der DSAG-Technologietage 2024 in Hamburg? SAP-Kunden fordern vom Hersteller SAP …