SAP-Security Budgets steigen 2023

27 Prozent der SAP-Kunden haben festgestellt, dass ihre SAP-Systeme in den letzten 12 Monaten angegriffen wurden. Die Security-Budgets der SAP-Anwenderunternehmen steigen. Die meisten Aktivitäten dürften bei der Einbindung der SAP-Security in die IT-Security und bei Monitoring und Angriffserkennung (Threat Detection) umgesetzt werden.

Ausgelöst werden konkrete Maßnahmen oft durch Audits: 70 Prozent geben an, dass Ergebnisse von Security-Audits die maßgeblichen Treiber von Maßnahmen zur Verbesserung der SAP-Security waren. Ein Trend ist erkennbar: Der „Zero-Trust“-Ansatz dürfte zukünftig bei SAP-Kunden zum Standard werden.

Das sind einige Ergebnisse der jährlichen SAP-Community Umfrage aus dem Sommer 2022 im IT-Onlinemagazin, die vom SAP-Sicherheitsspezialisten Onapsis fachlich begleitet und gesponsert wurde. 115 Mitglieder aus der SAP-Community haben teilgenommen. Die Umfrage wurde Anfang Oktober ausgewertet.

 

2022-2023-SAP-Security-Budgets-steigen

 

Volker Eschenbächer„Was vielen Security-Verantwortlichen scheinbar immer noch nicht klar ist: Zero-Trust bedeutet, dass es keine Entschuldigung mehr gibt. Security muss auf allen Ebenen umgesetzt werden. Der Application-Layer ist somit ein zentraler Bestandteil der Security-Strategie — eigentlich eine Selbstverständlichkeit. Auch wenn dies in der Vergangenheit viel zu oft vernachlässigt wurde“, sagt Volker Eschenbächer (VP Sales Europe (Central, South & East) | Onapsis) zu den SAP-Security Umfrageergebnissen.

 

SAP-Security Budgets steigen gebenüber Vorjahr

Bei 14 Prozent der Befragten sind die SAP-Security Budgets deutlich höher und bei 38 Prozent höher als im Vorjahr. Bei 46 Prozent bleiben sie gleich, nur 2 Prozent reduzieren die Investitionen.

Diese Zahlen überraschen nicht, wenn man die allgemeine Unsicherheitslage berücksichtigt. Angreifer sind erfolgreich und gelangen unbefugt an vertrauliche oder personenbezogene Daten. Fast täglich werden neue Fälle publik. Ob die Investitionssteigerungen ausreichen, wird die Zukunft zeigen.

 

27 Prozent haben SAP-Angriffe erkannt

Angriffe-auf-SAP-SystemeWir wollten wissen, wie oft die SAP-Systeme angegriffen wurden. Bei 27 Prozent fand das einmalig, mehrmals oder regelmäßig statt. Ein Drittel wurde demnach nicht angegriffen. 48 Prozent wissen nicht, ob die SAP-Landschaften angegriffen wurden.

„Viele Unternehmen wiegen sich immer noch in Sicherheit. Dass jedes dritte Unternehmen meint, es wäre nicht angegriffen worden, entspricht nicht unseren Erkenntnissen aus unserem „Onapsis Research Lab“. Angriffe auf Applikationen sind oft gar nicht oder nur sehr schwer nachvollziehbar. Daher ist ein aktives Threat Monitoring und Vulnerability Management essenziell für die Sicherheit von Applikationen“, mahnt Volker Eschenbächer.

 

An welchen SAP Security-Themen wird 2022 / 2023 gearbeitet?

Wir stellten die Frage, an welchen Schwerpunkten die Unternehmen in den nächsten 12 Monaten arbeiten wollen. Es waren mehrere Antworten erlaubt.

Die meisten SAP-Kunden (56 Prozent) arbeiten daran, die SAP-Security in IT-Security einzubinden, also beispielsweise mit der SIEM-Integration. Nahezu gleichauf (55 Prozent) liegt „Monitoring und Angriffserkennung“, also die Threat Detection. Das unter anderem damit zusammenhängen, dass der Einsatz von Systemen zur Angriffserkennung ab Mai 2023 für alle Pflicht wird, die der KRITIS-Regulierung unterworfen sind. Hierzu hat das BSI jüngst eine Orientierungshilfe veröffentlicht.

49 Prozent arbeiten am Vulnerability- und Patchmanagement und 40 Prozent erarbeiten oder aktualisieren ihre Security-Strategie. 27 Prozent wollen Security im Changemanagement integrieren. Rund 23 Prozent arbeiten daran, kundenindividuelle Entwicklungen sicherer zu machen (Code-Security).

„Sicherlich ist Schwerpunkte zu setzen ein guter Schritt in die richtige Richtung. Jedoch gibt es bei Security keine halben Sachen. Insofern muss ein 360-Grad Security-Ansatz verfolgt werden, der alle vorgenannten Punkte beinhaltet “, empfiehlt Volker Eschenbächer (Onapsis).

 

Findings bei Security-Audits führen zu Investitionen

Warum-SAP-Security-verbessernWas sind bei SAP-Anwenderunternehmen die Treiber für die Verbesserung der SAP-Security? Auch hier waren mehrere Antworten erlaubt. Ganz klar vorne liegen die Ergebnisse von Security-Audits. 70 Prozent bewerten diesen Punkt als Haupttreiber.

Externe Regulatorien folgen mit 41 Prozent. Gemeint sind beispielsweise das IT-SiG 2.0, KRITIS oder BaFin. Rund ein Drittel unternimmt etwas, wenn erfolgreiche Angriffe auf das eigene Unternehmen oder Geschäftspartner stattgefunden haben.

Eben so viele sehen als Treiber Initiativen von Aufsichtsrat oder der Führungsebene. Nur ein Viertel gibt hier externe Impulse durch Wirtschaftsprüfer an.

„Mich wundert, dass nur ein Drittel der SAP-Kunden etwas unternimmt, wenn ein Angriff auf das eigene Unternehmen erfolgreich war oder wenn direkte Geschäftspartner von einem Cyberangriff betroffen waren. Ich hätte hier eine höhere Zahl erwartet“, meint Helge Sanden (IT-Onlinemagazin).

 

Zero-Trust hat für SAP-Kunden hohe Relevanz

Zero-Trust-SAPBeim „Zero-Trust Ansatz“ wird keinem internen oder externen Akteur vertraut, der Zugang zu Daten, Ressourcen oder Diensten bekommen möchte. Jeder Zugriff wird individuell authentifiziert.

6 Prozent haben das bereits umgesetzt, 40 Prozent sind in der Umsetzung, 27 Prozent planen das umzusetzen. Nur rund 27 Prozent der Unternehmen haben noch nichts dazu geplant. Demnach könnte Zero-Trust auch in den SAP-Umgebungen Standard werden.

„Zero-Trust verfolgt eben jenen Ansatz, auf allen Ebenen und allen Bereichen niemandem zu trauen. Dies bedeutet konkret auch eine 100 Prozent Umsetzung von Security auf allen Ebenen, inklusive auch auf dem sogenannten Application-Layer“, so Volker Eschenbächer.

 

SAP-Sicherheit Status Quo 2022 / 2023

  • Die SAP-Security-Budgets steigen
  • Viele Unternehmen arbeiten an der Integration von IT-Security und SAP-Security
  • Viele Investitionen bei Monitoring und Angriffserkennung geplant
  • Haupttreiber für Maßnahmen zur Verbesserung der SAP-Sicherheit sind Ergebnisse von Security-Audits
  • Zero-Trust dürfte zukünftig Normalität werden

 

Volker Eschenbächer kommentiert

Volker EschenbächerVolker Eschenbächer zieht folgende Schlüsse aus den Umfrageergebnissen zur SAP-Security: „In Unternehmen wird immer noch viel Wert auf die Absicherung der Infrastruktur wie zum Beispiel der Endpoint- und Netzwerksicherheit gelegt. Dennoch ist erkennbar, dass ein grundlegender Wandel stattfindet und sich auch etwas in Sachen Application-Security tut. Das ist gut so. Denn in den Applikationen, wie z. B. im SAP, liegen meist die Kronjuwelen eines jeden Unternehmens. Seien es beispielsweise sensitive HR-, Lieferanten- oder Finanzdaten, aber auch andere unternehmenskritische Daten und Kennzahlen. Diese Daten gilt es zu schützen.

Am einfachsten schafft man Transparenz über mögliche Schwachstellen und Bedrohungen in geschäftskritischen Anwendungen mittels Automatisierung. Durch ein automatisiertes Vulnerabilty Management können Schwachstellen und durch ein aktives Threat-Monitoring Angriffe und Auffälligkeiten gezielt identifiziert und beseitigt werden.

Besonders liegt mir jedoch am Herzen darauf hinzuweisen, dass bei vielen Unternehmen dem zeitgerechten Patchen zu wenig Aufmerksamkeit geschenkt wird. Insofern mein Aufruf an alle Unternehmen: Patchen, Patchen, Patchen!

 

Weiterführende Informationen:

Aufzeichnung der Präsentation der Umfrageergebnisse „SAP-Security 2022“ und Diskussion zwischen Volker Eschenbächer und Helge Sanden: Hier anschauen …

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Anzeige

Das IT-Onlinemagazin ist Medienpartner der DSAG-Technologietage 23:

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

Jens-Hungershausen-DSAG

DSAG stellt SAP die Vertrauensfrage

SAP teilte im Rahmen der Bilanzpressekonferenz im Januar 2023 mit, sich auf das Kerngeschäft fokussieren …