IT-Onlinemagazin
Die Ankündigung der Übernahme von Virtual Forge durch Onapsis erfolgte im Januar 2019. Seitdem wird die Integration der Unternehmen vorangetrieben. Die Unternehmen führen ihre beiden etablierten Technologien zu einer zentralen ERP-Plattform für Sicherheit und Compliance zusammen. Welche Auswirkungen hat das für Kunden, Produkte, Serviceangebote und die SAP-Sicherheit?
ERP-Security-Expertise durch Zusammenschluss weiter erhöht
Onapsis hat seine Wurzeln als Anbieter für Cyber-Sicherheit für die Absicherung von Oracle- und SAP-Systemen. Typische Nutzer sind IT-Entscheider (CIO) und Sicherheitsverantwortliche (CISO). Virtual Forge hat sich dem Thema SAP-Sicherheit aus der Richtung der SAP-Technik genähert, die Nutzer kommen vorrangig aus der SAP Basis, der SAP Entwicklung oder dem SAP Competence Center.
Hat man beide Systeme im Einsatz, braucht man nur eine Security-Plattform, die für alle relevanten Verantwortlichen in den Unternehmen die Sicherheit der wichtigsten ERP-Plattformen transparent macht. Das kann die Aufwände für Installation und Betrieb reduzieren. Der gemeinsame Support, durch den Zusammenschluss mittlerweile global verteilt, dürfte die Erreichbarkeit bei Sicherheitsfragen erhöhen.
Zusätzlich arbeiten in den Onapsis Research Labs erfahrene ERP-Sicherheitsexperten eng mit Security-Teams von SAP und Oracle zusammen. Ziel ist die Erforschung und Analyse von Cyber-Gefahren und die Auswirkungen auf ERP-Systeme. Durch regelmäßig veröffentlichte Analysen und Berichte können Kunden frühzeitig Bedrohungslagen erkennen und geeignete Cyber-Sicherheitsstrategien entwickeln. Bis heute haben die Onapsis Research Labs nach eigenen Angaben rund 150 Warnungen veröffentlicht.
Ganzheitliches Monitoring und übergreifende Analysen
Im Sinne einer 360-Grad-Betrachtung werden die Analysetools von Virtual Forge durch aufgabenspezifische Monitoring- und Reporting-Funktionen von Onapsis ergänzt. SAP-Sicherheitslücken, die von fehlerhaften Systemeinstellungen, unsicherem kundeneigenen Code und ungeprüften SAP-Transporten ausgehen, können erkannt und behoben werden. SAP-Basisadministration, Entwicklung und Qualitätssicherung können in ihrem Verantwortungsbereich Cyber-Risiken reduzieren.
Durch die zusätzlichen Überwachungs- und Monitoring-Funktionen erhalten Entscheider höhere Transparenz zum Sicherheitsstatus in den SAP-Landschaften, die oft ein blinder Fleck in den Betrachtungen sind. Sie können dadurch ihrer Verantwortung und Kontrollpflicht zur ganzheitlichen IT-Sicherheit besser nachkommen. Stichworte sind: Statusbetrachtung in Dashboards, Monitoring durch Integration in SIEM und SOC Umgebungen, aber auch die Einbindung in Ticketsysteme wie ServiceNow. IT-Sicherheitsbeauftragte, Innenrevisoren, Datenschutzbeauftragte, IT-Auditoren, Geschäftsleiter, Vorstände und CIO bekommen individuell aggregierte Auswertungen und können angemessene Schlussfolgerungen ziehen.
Sicherheit für hybride IT-Landschaften
In hybriden Landschaften sind oft weitere Non-SAP- und Non-Oracle-Lösungen im Einsatz. Hybride Prozess- und IT-Landschaften, Cloud Computing, die zunehmende Vernetzung von Systemen und Maschinen und die Globalisierung erhöhen die Anforderungen an die IT-Sicherheit zusätzlich. Lesen Sie im folgenden Kurz-Interview, wie Onapsis die Absicherung hybrider IT-Landschaften verbessern will.
Wir fragten Dr. Markus Schumacher (General Manager Europe, Virtual Forge – an Onapsis Company), was Onapsis zur besseren Absicherung zu bieten hat, wie weit die Integration ist und wie SAP-Kunden auf den Zusammenschluss reagieren:
Wodurch können Sie die Sicherheit in globalen, hybriden IT-Landschaften erhöhen?
Dr. Markus Schumacher: Sicherheitsbetrachtungen von hybriden Landschaften sind anders zu handhaben als in der Vergangenheit, als die Netzwerkgrenzen noch recht klar definiert und Firewalls als die ultimative Lösung zu sehen waren. Dies ist beides längst nicht mehr so.
Daher ist es wichtig, in einem ersten Schritt alle Schnittstellen zu erfassen. Damit wird klar, welche Systeme exponiert sind, welche Verbindungen zu externen Systemen bestehen und welche Anwendungen außerhalb des eigenen administrativen Zugriffs in der Cloud laufen. Auf Basis dieser Inventarisierung kann nun, je nach Schnittstelle und Kritikalität, definiert werden, welcher Schutz für welche Daten notwendig ist.
Es ist auch möglich, Anforderungen von gesetzlichen und internen Regularien hierfür abzubilden und ein übergreifendes Monitoring aufzusetzen. Auf diese Weise kann man einen globalen Schutz erreichen. Diese Funktion ist bereits in den Produkten von Virtual Forge und Onapsis vorhanden.
Wie weit sind Sie mit der Integration der beiden Security-Plattformen?
Dr. Markus Schumacher: Einer der Hauptgründe des Zusammenschlusses war, dass die Portfolios beider Firmen sich inhaltlich sehr gut ergänzen. Und beide Unternehmen haben sich der Idee einer Plattform aus unterschiedlichen Richtungen genähert, Virtual Forge eher aus technischer Sicht, Onapsis eher aus der Perspektive von IT-Entscheidern.
Die Entwicklungsteams arbeiten von Anfang an eng zusammen – nicht nur auf dem “Papier”, sondern auch vor Ort an einem der drei Standorte (Buenos Aires, Boston oder Heidelberg). Die Roadmap der Zusammenführung für 2020 ist dementsprechend definiert, und wir sind bereits mittendrin, die Produkte zusammenzuführen oder Features in die gemeinsame Onapsis Platform zu überführen.
Kernstück dafür ist der sogenannte Zero Footprint Ansatz, der bereits mit dem Virtual Forge CodeProfiler ausgerollt wurde: Damit sind Analysen und Monitoring ohne Installation in den zu untersuchenden Systemen möglich. Die Installation der Plattform aber vor allem auch die regelmäßigen Updates von Inhalten können so sehr viel effektiver und mit minimalen Aufwänden vorgenommen werden.
Welches Feedback bekommen Sie von Ihren SAP-Kunden zum gemeinsamen Angebot?
Dr. Markus Schumacher: Es gibt einige Kunden, die bereits vor dem Zusammenschluss beide Lösungen im Einsatz hatten und schon jetzt profitieren. So können beispielsweise mit wenigen Klicks Alarme in der Onapsis Platform konfiguriert werden, die durch Analysen mit CodeProfiler oder TransportProfiler ausgelöst werden. Die Vision, die Funktionen in einer Platform zu bündeln, wird aus verschiedenen Gründen durchweg positiv aufgenommen.
Onapsis ist mit weit über 300 Mitarbeitern nun der größte, unabhängige Anbieter von ERP-Sicherheitslösungen und adressiert die wesentlichen Märkte ihrer Kunden. Die Produktabdeckung ist nicht allein auf SAP begrenzt, sondern auch auf Oracle und zukünftig cloudbasierte ERP-Anwendungen. Die Betreuung vor Ort mit regionalen Teams ist ein weiterer Punkt, den unsere Kunden sehr zu schätzen wissen.
