IT-Onlinemagazin
SAP-Transformationen binden Ressourcen, erhöhen den Zeitdruck und verschieben Prioritäten – nicht selten zulasten der Sicherheit. Denn wer auf SAP S/4HANA oder RISE with SAP migriert, friert bestehende Systeme häufig ein, was zu neuen Sicherheitslücken führen kann. Warum in diesem Kontext ein durchgängiger Security-by-Design-Ansatz und automatisierte Überwachung zum Pflichtprogramm werden, erläutert Holger Hügel (Chief Technology Officer, SecurityBridge) in seinem Gastbeitrag für das IT-OnlineMagazin.
Eine Migration zu S/4HANA oder der Umstieg auf RISE with SAP sind komplex, Transformationsprogramme ressourcenintensiv und geschäftskritisch. SAP-Kunden schieben angesichts dessen oft scheinbar weniger wichtige Aktivitäten hinaus, um Störungen zu minimieren und den Zeitplan einzuhalten. Security ist dabei einer der ersten Bereiche, die an Priorität verlieren. Dabei sollte eines eigentlich klar sein: Der Fokus auf die Migration darf nicht zu einer Vernachlässigung der Sicherheit führen. SAP-Transformationsprojekte können leicht ein bis drei Jahre dauern. Dass das Risiko eines Angriffs erheblich steigt, wenn die bestehende SAP-Landschaft während dieser Zeit unzureichend geschützt bleibt, liegt auf der Hand.
Das versteckte Risiko des „Freeze-Modus“
In der Praxis werden bestehende SAP-ECC- oder Legacy-Umgebungen während der Migration gerne in einen Change-Freeze versetzt. Der Hintergedanke: Das System kann, da es ja „stabil“ ist, bis zum Abschluss der Migration unverändert bleiben. Dies schafft einen gefährlichen blinden Fleck. Denn während die Systeme hinsichtlich geschäftlicher Veränderungen vielleicht eingefroren sind, gilt dieser Stillstand nicht für Angriffe. So kann es passieren, dass bestehende SAP-Systeme bekannten und neu entdeckten Schwachstellen ausgesetzt sowie hinsichtlich böswilliger Aktivitäten weitgehend unüberwacht bleiben. Für diesen Fall fehlt es an Echtzeit-Transparenz bei Angriffen oder Missbrauch – und dies genau zu einem Zeitpunkt, an dem Angreifer wissen, dass Unternehmen durch große Transformationsprogramme abgelenkt sind.
Was wird am häufigsten vernachlässigt?
Während der Migrationsphase betreiben Unternehmen oftmals keine kontinuierliche Schwachstellenanalyse. Sie überwachen benutzerdefinierten Code, Schnittstellen und RFC-Verbindungen nur halbherzig, und wenn, dann mit manuellen Sicherheitsprozessen, die mit den sich ständig weiterentwickelnden Bedrohungen nicht Schritt halten können. Generell entsteht ein hohes Sicherheitsrisiko durch Richtlinien, die „keine Änderungen zulassen“.
Security: Automatisierung ist unverzichtbar
Ein weiterer Grund, warum die Sicherheit bei SAP-Migrationen vernachlässigt wird, kann die Befürchtung sein, dass die entsprechenden Maßnahmen den Fortschritt verlangsamen. Denn manuelle Überprüfungen, Audits und Bewertungen kosten naturgemäß Zeit – und zwar genau dann, wenn die Teams unter dem Druck stehen, Meilensteine der Transformation zu erreichen. Der Ausweg besteht darin, Sicherheitsüberprüfungen zu automatisieren, also SAP-Systeme mithilfe einer darauf spezialisierten Security-Plattform kontinuierlich und ohne menschliches Zutun in Bezug auf verdächtige und böswillige Aktivitäten, Schwachstellen und Fehlkonfigurationen automatisch zu überwachen.
Heute schützen, während an der Zukunft gebaut wird
Zudem bedeutet der Ansatz Security by Design, Sicherheitskontrollen nicht nur in die Zielumgebung von SAP S/4HANA oder RISE zu integrieren, sondern den fortlaufenden Schutz der aktuellen SAP-Landschaft während des gesamten Migrationsprozesses sicherzustellen. Das minimiert Risiken während langer Migrationszeiträume und ermöglicht es, Sicherheitslücken frühzeitig zu erkennen, die andernfalls in S/4HANA übertragen würden: Schwachstellen, Fehlkonfigurationen oder zu weit reichende Berechtigungen. Die Unternehmen können so ein sauberes und sicheres Systemdesign für die Zukunft etablieren und Vorfälle ausschließen, die das Migrationsprogramm gefährden würden.
Migration als Sicherheitschance nutzen
S/4HANA- und RISE with SAP-Migrationen sollten nicht Anlass sein, die Sicherheit zu unterbrechen, sondern vielmehr eine Chance, sie zu modernisieren. Durch die Umsetzung eines Security-by-Design-Ansatzes und den Einsatz automatisierter SAP-Sicherheitsplattformen schützen Unternehmen ihre bestehenden Umgebungen während der Migration und vermeiden kostspielige Sicherheitslücken in der zukünftigen Landschaft. Sie verbessern Erkennungs- und Reaktionsfähigkeiten bereits heute und starten mit einer stärkeren, ausgereifteren Sicherheitslage in SAP S/4HANA oder RISE.
