DSAG: SAP-Sicherheitsumfrage verdeutlicht Handlungsfelder

Kürzlich hat die DSAG einen ausgewählten Kreis von Mitgliedern erneut zum Thema SAP-Sicherheit befragt. Die Umfrage war in einen allgemeinen und einen fachspezifischen Teil untergliedert und brachte unter anderem die Erkenntnis: Security by default, Security by design und Security Management Tools sind dringend erforderlich. SAP muss aus DSAG-Sicht entscheidend dazu beitragen.

 

DSAG-Trendumfrage 2019 zum Thema SAP-Sicherheit

170 Umfrageteilnehmer beantworteten den allgemeinen Teil der Trendanalyse. Darin ging es unter anderem darum, ob die Unternehmen über allgemeine Vorgaben oder eine Richtlinie zum Thema SAP-Sicherheit verfügen. 82 Prozent der Befragten wissen davon. Im letzten Jahr lag diese Quote noch bei 87 Prozent. 15 Prozent ist ein entsprechender Leitfaden unbekannt. „Man sieht, dass die Unternehmen erkannt haben, wie wichtig derartige Vorgaben sind“, kommentiert Dr. Alexander Ziesemer, Sprecher des DSAG-Arbeitskreises Security & Vulnerability Management.

Zusätzliche Investitionen SicherheitDie Bereitschaft, zusätzlich in die Sicherheit der SAP-Systeme zu investieren, ist im Vergleich zum Vorjahr um 13 Prozent auf 42 Prozent zurückgegangen. Zudem herrscht über alle Unternehmensgrößen hinweg die Ansicht, dass Cloud-Lösungen andere Sicherheits-Strategien und -Konzepte benötigen als herkömmliche Lösungen. Ein Thema, bei dem sich 91 Prozent der großen Unternehmen und 88 Prozent der kleinen Unternehmen einig sind.

„Auch für das Cloud-Umfeld fordern wir Security by design und Security by default. Die DSAG-Arbeitsgruppe Cloud-Security nimmt sich diesem Thema an“, kommentiert Dr. Alexander Ziesemer.

 

Wunsch und Wirklichkeit

Den Überblick über ihre sicherheitsspezifischen Einstellungen verschaffen sich nur 11 Prozent (im Vorjahr: 15 Prozent) mithilfe eines Sicherheits-Dashboards. 76 Prozent nutzen dies nicht (in Vorjahr: 72 Prozent). Ein ordentliches Dashboard ist die zentrale Voraussetzung, um zwingend erforderliche bessere Sicherheitskonzepte entwickeln und umsetzen zu können. „Die Anforderung eines Standards für ein umfassendes SAP Security Dashboard haben wir bereits im letzten Jahr an SAP kommuniziert. Eine Lösung dafür gibt es bislang aber leider nicht“, fasst Dr. Alexander Ziesemer zusammen.

Zwischen Wunsch und Wirklichkeit liegen bei der Zufriedenheit mit der Unterstützung seitens SAP bezüglich der System-Sicherheit ebenfalls noch einige Prozentpunkte. Lediglich 4 Prozent der Befragten vergeben hier die Note 1 und 18 Prozent die Note 2. Die Note 3 vergeben 49 Prozent. Werte, die sich im Vergleich zu 2018 verschlechtert haben.

Dr. Alexander Ziesemer - DSAG Security

„Das ist ein klares Indiz dafür, dass es noch bessere Unterstützung in Form von regelmäßigen aktuellen Whitepapers, Handlungsempfehlungen und Sicherheits-Leitfäden seitens der SAP bedarf“, erläutert Dr. Alexander Ziesemer das Ergebnis.

Diese werden laut Umfrage für die unternehmensinternen SAP-Sicherheitsrichtlinien (72 Prozent), als Orientierung beim Betrieb (64 Prozent) und als Argumentationshilfe gegenüber dem Management und den Fachbereichen (48 Prozent) eingesetzt.

 

Security by default gefordert

Den fachspezifischen Teil der Umfrage beantworteten 141 Teilnehmer. Hier ging es unter anderem um die Forderung nach Security by default. Also dass Security-Bestandteile in neuen Releases und Services standardmäßig bereits aktiviert ausgeliefert werden. Waren es 2018 noch 78 Prozent, erwarten ein Jahr später bereits 84 Prozent diesen „Service“ von SAP.

„Dass mehr Security by default auch für die Zukunft möglich ist, zeigt die enge Zusammenarbeit mit SAP. Konnten doch bereits deutliche Fortschritte in konkreten Punkten wie Verschlüsselung; Protokollierung (Logging) und Monitoring erzielt werden“, so Dr. Alexander Ziesemer.

 

Mehr Schulungen notwendig

Ebenfalls Nachholbedarf besteht auf Seiten der Unternehmen bei den Awareness-Schulungen mit SAP-Inhalten. Diese werden auch 2019 bei den Umfrageteilnehmern noch in eher geringem Maße angeboten. Die Quote liegt unverändert zum Vorjahr bei 12 Prozent. Bei Schulungen ohne SAP-Inhalte stieg die Quote immerhin von 39 Prozent auf 45 Prozent. Die Quote der Unternehmen, die überhaupt keine Awareness-Schulungen durchführen, ist mit 28 Prozent gegenüber 2018 (30 Prozent) nur unwesentlich gesunken. Auch hier sind Nachbesserungen dringend erforderlich.

Interessant in diesem Zusammenhang: Mehr kleine Unternehmen (18 Prozent) bieten Sicherheits-Schulungen mit SAP-Inhalten als große Unternehmen (14 Prozent). „Das Bewusstsein für die Sicherheit im Allgemeinen und SAP im Besonderen zu schaffen, ist eine Daueraufgabe, bei der wir uns auch von SAP mehr Unterstützung wünschen, etwa durch Leitfäden und Handlungsempfehlungen“, fasst Dr. Alexander Ziesemer zusammen.

 

Handlungsfelder: Cloud-Sicherheit nicht in den Top 3

Herausforderung Cloud SecuritySAP-Cloud-Produkte in ein entsprechendes Sicherheits-Konzept zu integrieren, empfinden große Unternehmen (45 Prozent) und mittelgroße Unternehmen (41 Prozent) als sehr große Herausforderung. Bei kleinen Unternehmen teilen nur 35 Prozent diesen Eindruck.

Interessanterweise hat es das Thema Cloud jedoch nicht unter die Top-3 der wichtigsten Handlungsfelder geschafft. Diese Plätze werden durch andere Themen belegt. An erster Position rangiert wie im letzten Jahr „Security by default“, gefolgt von den „SAP-Sicherheits-Richtlinien“. Die dritte Stelle hat das „Patch-Management“ eingenommen und die „Awareness für SAP-Sicherheit“ verdrängt. „Bei den Unternehmen werden neben der Cloud-Sicherheit weiterhin die Sicherheitsfragen rund um den On-Premise-Bereich im Zentrum stehen. Denn noch ist nicht alles Cloud was glänzt“, fasst Dr. Alexander Ziesemer zusammen.

 

Fazit der Umfrage

SAP Security by defaultDie zentrale Erkenntnis der Trend-Umfrage lautet: Mehr Security by design und by default ist weiterhin eine wichtige Forderung der SAP-Anwenderunternehmen. Bessere Sicherheitskonzepte, vor allem auch im Cloud-Umfeld sind zwingend erforderlich, aber ohne ein ordentliches Dashboard nach wie vor kaum umzusetzen. Das heißt: Im Bereich SAP-Sicherheit braucht es mehr Standards und eine noch bessere Unterstützung von SAP.

Dr. Alexander Ziesemer leitet aus den Ergebnissen aber auch konkrete Handlungsempfehlungen für die Anwenderunternehmen ab: „Verschaffen Sie sich Transparenz über die Sicherheit und die Landschaft Ihrer SAP-Systeme für die Planung von weiteren Aktivitäten. Starten Sie mit den Sicherheits-Basics wie Schnittstellen, Verschlüsselung und Einstellungen.“

Es gelte, das Bewusstsein für IT-Sicherheit auf alle Ebenen zu schaffen, von den Mitarbeitern über die Führungskräfte bis zu den Managern. Zudem sei es aufgrund der hohen Innovationsgeschwindigkeit wichtig, regelmäßig die SAP-Sicherheitsrichtlinien zu aktualisieren. Des Weiteren sollten neue SAP-Systeme mit den wesentlichen aktuellen Sicherheits-Einstellungen (Security by default) installiert werden. Nicht zu vergessen die ausgelagerten Systeme, z. B. in der Cloud, die ebenfalls sicher an das Unternehmens-Netzwerk angebunden werden müssen.

 

 

Umfragedaten:

Für das DSAG-Meinungsbild wurde von Dezember 2018 bis Januar 2019 in ausgewählten Arbeitskreisen in Deutschland, Österreich und der Schweiz eine Umfrage durchgeführt. Insgesamt 170 Antworten wurden ausgewertet. Den allgemeinen Teil der Umfrage beantworteten 170 Teilnehmer, den fachspezifischen Teil 141 Teilnehmer. 50 Prozent der Teilnehmer kommen aus dem Bereich Handel und Dienstleistungen, 32 Prozent aus dem produzierenden Gewerbe. 41 Prozent der Unternehmen beschäftigen 500 bis 4.999 Mitarbeiter, 45 Prozent ab 5.000 Mitarbeiter.

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Anzeige

Über die Redaktion IT-Onlinemagazin

Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter.   Etwa zweimal pro Monat werden Sie kompakt und unterhaltsam mit wichtigen Nachrichten aus der SAP- und ERP-Community versorgt.

Lesetipp für Sie:

SAP Security Tipps

SAP Security: 4 Empfehlungen für mehr Sicherheit

Wie gehen Einbrecher in SAP-Systeme vor? Sie versuchen zunächst auf den leichtesten Wegen in die …