IT-Onlinemagazin
Die Gefahr, dass SAP-Landschaften von Cyberkriminellen angegriffen werden, war vermutlich noch nie so hoch wie heute. Trotz hoher Sensibilität bleiben vollumfängliche Absicherungsmaßnahmen in vielen Unternehmen eher die Ausnahme.
Im Vorfeld des Online-Events „Ohne Maske: Empfehlungen für SAP-Security und Compliance“ fragten wir Sabine Blumthaler und Thomas Tiede (beide IBS Schreiber), welchen Einfluss Corona auf SAP-Sicherheit und Compliance hat, wie man trotz Kontaktbeschränkungen Projekte realisieren kann, und wie sich Unternehmen mit der Absicherung hybrider IT-Landschaften beschäftigen.
Welchen Einfluss hat Corona auf SAP-Sicherheit und Compliance, welche Trends nehmen Sie aktuell wahr?
Sabine Blumthaler: Die Sicht auf SAP-Sicherheit und Compliance hat sich aus meiner Sicht bei den dafür zuständigen Stakeholdern grundsätzlich nicht geändert, jedoch wurden auf Grund von Corona zwangsweise die Prioritäten etwas anders gesetzt. Gerade in der Anfangszeit stand vorrangig im Fokus, sich auf die neue Situation einzustellen.
Viele SAP-Projekte laufen trotz Corona weiter, jedoch mit etwas geringer Geschwindigkeit oder gegebenenfalls mit angepasstem Projektumfang verkleinert, da Ressourcen abgezogen oder die Termine nicht wie geplant eingehalten werden können.
Im Audit-Bereich haben wir in der ersten Zeit bei Kunden gemerkt, dass das Thema Prüfung nicht die erste Priorität war und auch hier und da eine Prüfung nicht 2020 stattfinden soll. Jedoch zeigte sich dann doch noch, dass einige Prüfung nur zeitlich verschoben werden sollen, da die Durchführung trotz Corona notwendig oder sogar unumgänglich ist, beispielsweise auf Grund von behördlichen Anforderungen.
Thomas Tiede: Nach einer kurzen, rund zweiwöchigen Stillstandphase Ende März / Anfang April haben wir bemerkt, dass der Bereich der SAP-Sicherheit wieder Fahrt aufnimmt. Corona hat das Sicherheitsdenken nicht eingeschränkt. Verändert haben sich aber Prioritäten. High-Risk-Themen werden unverändert angegangen. Medium-Risks und Low-Risks werden teilweise geschoben.
Ebenso wird bei vielen unserer Kunden das Thema der S/4HANA-Migration unverändert weiterverfolgt. Die Projekte erfahren eventuell eine kurze Pause, laufen dann aber planmäßig weiter. Auch neue Projekte wurden seitens unserer Kunden seit März initiiert. Insgesamt ist der SAP Security-Markt noch nicht eingebrochen. Wir müssen aber abwarten, wie die Budgets für 2021 geplant werden. Wir rechnen damit, dass einige größere Projekte doch noch nach hinten geschoben werden.
Wie verändert sich die Zusammenarbeit in Projekten, wenn es Einschränkungen bezüglich der Vor-Ort Zusammenarbeit gibt und man Remote arbeiten muss?
Sabine Blumthaler: Auch hier muss ich sagen, dass wir uns anfänglich nicht ganz sicher waren, wie wir manchen Projektaufgaben nur „remote“ durchführen sollen.
Gerade bei Projekten, die am Anfang standen oder noch nicht mal begonnen waren, standen wir vor der Herausforderung, einmal die fachlichen und organisatorischen Themen zum Laufen zu bringen, aber auch irgendwie die zwischenmenschliche Komponente einfließen zu lassen, also das Projektteam zusammenzubringen.
Mit Hilfe diverser Meeting-Tools und ein paar „Spielregeln“ dazu, also beispielsweise die Webkamera bei den ersten und wichtigen Meetings anzuschalten, hat das erstaunlich gut funktioniert. Dazu kommt auch, dass ja beide Parteien, also Kunde und wir, mit den gleichen Problemen zu kämpfen haben und man auch dadurch gut zusammenfindet.
Trotzdem sind wir uns in meinem Bereich einig, dass zukünftig einige Projektaufgaben definitiv problemlos weiterhin „remote“ abgestimmt und bearbeitet werden können, aber der Kundenbesuch schon auch noch ein wichtiger Bestandteil bei Projekten sein muss. Gerade in der Konzeptionierungsphase, in der sehr viel Abstimmarbeiten notwendig ist, ist es sicherlich von Vorteil, wenn man die Themen zusammen vor Ort bespricht.
Gibt es neue Angriffsmuster auf SAP-Systeme, wenn aus dem Homeoffice gearbeitet wird?
Thomas Tiede: Ja, die gibt es. Durch Homeoffice und das Remote-Arbeiten externer Dienstleister werden auch SAP-Systeme nach außen geöffnet, die sonst nur intern erreichbar waren.
Bei vielen unserer Kunden konnten wir Prüfungen und Projekte nur vor Ort durchführen, da Remote-Arbeit bisher nicht gewollt war. Dies hat sich grundlegend geändert. Damit sind auch neue Risiken verbunden.
Wir merken dies an vermehrten Anfragen zu SAP-Penetrationstests. Das ist eine Kombination aus einem klassischen Penetrationstest und einem simulierten Angriff auf erreichbare SAP-Systeme. Unsere Kunden wollen wissen, ob ihre Zugriffe „von außen“ sicher sind oder ob sie noch Lücken schließen müssen.
Wie entwickelt sich die Absicherung hybrider Landschaften weiter, und welche Rolle spielt dabei das Identity Access Management?
Thomas Tiede: Das ist bei den meisten Unternehmen aktuell ein sehr starkes Thema. Wir haben inzwischen Kunden, die nicht in die Cloud gehen „weil sie müssen“, sondern die explizit Cloud-Produkte bevorzugen. Sicherheit und Berechtigungen stehen dabei immer mit an vorderster Stelle.
Neben dem klassischen User-Account-Provisioning stellen die Compliance-Prozesse ein wesentliches Element dar. Hier haben wir aktuell vermehrt Anfragen zum SAP Cloud Identity Access Governance (IAG), dem Pendant für Cloud-Komponenten zum SAP Access Control. Viele Kunden planen, hier zukünftig auch Tools zur Absicherung von Berechtigungen in den Cloud-Produkten einzusetzen.
Sabine Blumthaler: Im Team nehmen wir uns auch vermehrt diesen Themen an, da das einfach die Zukunft sein wird. Prüfungen und Projekte haben wir jedoch bis dato noch keine durchgeführt.
Eine persönliche Frage: Haben Sie ihr Handy eigentlich besonders abgesichert?
Thomas Tiede: Natürlich mit Kennwort und der Nutzung sicherer Apps, also beispielsweise Threema anstatt WhatsApp. Allerdings mussten wir zur Corona-Zeit auf Grund technischer Probleme übergangsweise tatsächlich auf WhatsApp (natürlich unter Beachtung aller Datenschutzaspekte) umstellen. Das haben wir inzwischen aber wieder zurückgenommen.
Und als das BSI im April die Sicherheitslücke in der Apple-eigenen Mail-App als kritisch eingestuft hat, habe ich diese App bis zum Patch in iOS 13.5 deaktiviert. Würden Hacker mein Handy in die Finger bekommen, wären sie bestimmt enttäuscht, wie wenig private und Firmendaten sie darauf finden.
Sabine Blumthaler: Auch ich habe — wie Herr Tiede — mein Handy mit den entsprechenden Mechanismen geschützt. Durch regelmäßige Softwareupdates versuche ich, aufkommenden Sicherheitslücken entgegenzuwirken.
Vielen Dank für das Gespräch.
Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins, im Vorfeld des Online-Events „Ohne Maske! Erfahrungsberichte und Empfehlungen zu SAP-Security und Compliance“ am 18. Juni 2020. Das IT-Onlinemagazin ist Medienpartner der Veranstaltung.
