IT-Onlinemagazin
SAP-Anwenderunternehmen und DSAG fordern SAP-Security-Dashboards für höhere Transparenz und die Signalisierung notwendiger Maßnahmen. „Gar nicht erst erkannte Sicherheitsvorfälle können auch die besten Dashboards nicht darstellen. Besonders kritisch sind daher Risiken, die erst aus einer Kombination mehrerer — für sich jeweils unkritischer — Ereignisse entstehen“, sagt Ralf Kempf (CTO |SAST SOLUTIONS).
Von ihm wollte ich wissen, welche Entwicklungen und Trends er bei Angriffen auf IT- und SAP-Systeme beobachtet, wie man sich besser schützen kann, wie man Angriffe frühzeitig erkennt und was man tun kann, wenn man einen Angriff feststellt.
Ralf Kempf ist Gast eines Expert-Talks zur IT-Onlinekonferenz 2021 am 25.03. beim Thementag „SAP-Sicherheit“ und erläutert am Beispiel von LINDE, gemeinsam mit einem Kundenvertreter, wie der DAX-Konzern kritische und komplexe Sicherheitsvorfälle erkennt und handhabt. Von beiden Sprechern bekommen wir Empfehlungen zur Verbesserung der SAP-Sicherheit.
Herr Kempf, welche Trends beobachten Sie bei Schwachstellen, die für Angriffe auf SAP-Systeme ausgenutzt werden könnten?
Ralf Kempf: Interessant ist eigentlich viel mehr, dass die größten Schwachstellen von SAP-Systemen seit Jahren unverändert sind — und doch in vielen Unternehmen noch nicht behoben wurden.
Das ist zum einen eine fehlerhafte Systemkonfiguration, die zu viele Lücken für Angreifer lässt, dann der Missbrauch von User-Rollen und -Berechtigungen und als dritter Punkt das unerwünschte Verhalten von Nutzern im System, das zu internen Sicherheitsvorfälle führt.
SAP-Sicherheit Dashboards versprechen Vorteile
Welche Fehleinschätzungen beobachten Sie diesbezüglich in Unternehmen?
Investitionen, die Unternehmen erfolgreich im Bereich der Berechtigungs- und Benutzerverwaltung tätigen, werden oftmals durch den fahrlässigen Umgang mit den grundlegendsten Sicherheitsmaßnahmen gefährdet. Das heißt, Unternehmen agieren sehr häufig bereits bei der Authentifizierung, dem User-Management und bei den Berechtigungen. Sie vernachlässigen jedoch zwei weitere wichtige Bausteine für eine wirksame, vollumfängliche Absicherung. Zum einen den Schutz der IT-Systeme und der Infrastruktur, zum anderen eine unternehmensweite Konsolidierung aller Sicherheitseinstellungen im Rahmen von Analysen und Reports.
Gerade bei der Implementierung moderner Security-Dashboards für SAP-Landschaften sind viele Unternehmen oftmals noch unentschlossen. Eine Ursache scheint häufig der befürchtete Aufwand zu sein, der bei Entscheidern dem Wunsch nach größtmöglicher Transparenz und einem ganzheitlichen Überblick in Echtzeit gegenübersteht. Doch diese Vorbehalte sind aufgrund der hohen Effizienz eines Security-Dashboards unklug und angesichts aktueller Bedrohungslagen sogar gefährlich.
Denn der Einsatz bringt Vorteile, sowohl bei der effektiven Echtzeit-Überwachung als auch beim schonenden Umgang mit den internen IT-Ressourcen. Und um den Herausforderungen der stetig komplexer werdenden Anforderungen im Bereich SAP-Security weiterhin begegnen zu können, sind Dashboards zur transparenten Übersicht einfach essenziell.
Kein SAP-Anwendungsunternehmen sollte auf diese Vorteile verzichten, denn aufgrund gleicher Software sind die Anforderungen an Sicherheit, Transparenz und Überwachung für alle letztlich identisch.
Bei SAP-Sicherheit Dashboards gibt es Unterschiede!
Wie kann man die Erkennungsquote kritischer Angriffe erhöhen?
Der Trendbegriff „Dashboard“ wird inzwischen gerne und vielfältig genutzt, oft schon für Produkte, die lediglich ein statisches Monitoring mit einer grafischen Oberfläche für die Anwendung kombinieren. Solche Oberflächen sind jedoch kaum adaptier- und justierbar. Doch gerade in der flexiblen Anpassung an nicht vorhersehbare Entwicklungen, wie zum Beispiel der aktuellen Bedrohungslage, liegt die Stärke eines ganzheitlichen Security-Dashboards.
Ein echtes Security-Dashboard visualisiert zielgruppengerecht Informationen über die Vielfalt der verschiedenen Systeme und Zuständigkeiten und ermöglicht einen einheitlichen Top-Down-Blick auf den erreichten Sicherheits- und Compliance-Standard – und das in Echtzeit. Zudem muss die Lösung nicht nur zeigen, wo es ein Problem gibt, sondern auch gleichzeitig eine Handlungsempfehlung zu dessen Eliminierung liefern.
Aufgrund der besonderen Komplexität der SAP-Systeme, in Kombination mit den vielen unternehmensinternen Bedarfsinteressen, erfordert die Implementierung eines Security-Dashboards jedoch eine hohe Kenntnis der internen Prozesse, der Verantwortlichkeiten und darüber hinaus ein tiefgreifendes SAP-Security Know-how. Doch hieran mangelt es oftmals in den Unternehmen.
SAP-Security-Ampel für mehr Übersicht
Was zeichnet ein gutes SAP-Security-Dashboard aus?
Ein Security-Dashboard muss ermöglichen, die Daten je nach Situation zu kombinieren, egal aus welchem Bereich, und sowohl das Reporting für den IT-Security-Bereich als auch für Systemverantwortliche visualisieren.
Insbesondere Systemverantwortliche benötigen auf der ersten Ebene eine einfache Übersicht mit nur zwei Ampeln. Eine Ampel für den Bereich Konfiguration und Berechtigungen, die zweite für das Themenfeld SIEM/Echtzeitüberwachung. So weiß ein Verantwortlicher sofort, in welchem Bereich er aktiv werden muss und erhält auf einen Klick Details zu den Vorfällen und entsprechende Handlungsempfehlungen in Echtzeit.
In der Praxis müssen SAP-Kunden täglich etwa das Ergebnis von 2.000 Einzelprüfhandlungen aus 300 SAP-Systemen überwachen und dabei Schwachstellen durch kritische Konfigurationen und auffällige Nutzung erkennen. Dies ist auf einfache Weise und in Echtzeit nur mit einem Security-Dashboard realisierbar, das die Möglichkeit bietet, über diverse Ebenen bis zu den Details der Alarmmeldung zu navigieren.
Fehlerkultur kann SAP-Sicherheit verbessern
Gibt es typische Frühindikatoren für einen Angriffsversuch?
Die Frühindikatoren per se gibt es nicht, denn dafür sind Sicherheitslücken und Angriffsversuche einfach zu vielfältig und verändern sich zudem auch noch laufend.
Aber natürlich gibt es Warnsignale, die Unternehmen leider viel zu häufig ignorieren. Ich denke da beispielsweise an negative Ergebnisse aus einem Security-Audit. Es ist fast erschreckend, wie häufig Schwachstellen den Unternehmen durchaus bekannt waren, aber die dennoch nicht beseitigt wurden. Solche Erkenntnisse bleiben oftmals versteckt in Schubladen liegen, denn es fehlt an einer gesunden Fehlerkultur in der ausschließlich relevant ist, Transparenz zu schaffen, Fehler ans Licht zu bringen und sich nicht auf das, eventuell sogar versehentliche, Fehlverhalten von Mitarbeitenden konzentriert wird.
Eine unserer wichtigsten Empfehlungen ist es daher immer wieder: Reagieren Sie sofort, bewerten Sie Sicherheitslücken aufgrund ihrer Kritikalität und schieben Sie die Bereinigung nicht auf die lange Bank. Denn Zeit ist der entscheidende Faktor, sollte es wirklich einmal zu einem relevanten Angriff kommen.
Was tut man, wenn man einen laufenden Angriffsversuch feststellt?
Auch hier gibt es leider nicht das eine Patentrezept, das alles heilt. Denn die optimale Reaktion, hängt ganz stark vom jeweiligen Angriffsversuch ab. Aber was alle Reaktionen eint ist, dass es ein sauber aufgesetztes Risikomanagement im Unternehmen braucht mit definierten Prozessen, wie man vorgeht, um Risikoszenarien zu durchlaufen. Hier helfen beispielsweise die Vorgehensmodelle von ISO2700x, BSI oder NIST.
Sensible Daten nicht in die Cloud?
Was erfahren wir von Ihnen bei der IT-Onlinekonferenz 2021?
In unserem Expert Talk gewährt Andreas Feistl Einblicke in die SAP Security-Strategie bei LINDE und zeigt, wie es durch die Integration der SAST SUITE in ihr SIEM-Monitoring gelungen ist, kritische und komplexe SAP-Sicherheitsvorfälle in Echtzeit zu erkennen. Hier registrieren …
Daneben erzählen wir aus unserer täglichen Praxis, so unter anderem von den Anforderungen an ein Security Information Center und wie Dashboards helfen, die permanente Überwachung von SAP-Systemen abzurunden. Denn wichtig ist, Incidents schnellstmöglich zu erkennen und zu bewerten, um entsprechende Gegenmaßnahmen möglichst unverzüglich einleiten zu können.
Was wird 2021 das dominierende Thema bei der SAP-Sicherheit?
Auffällig ist sicherlich, dass wir immer häufiger auf das Thema „Cloud“ angesprochen werden.
Mein Tipp dazu: Sensitive Daten gehören nicht außerhalb des eigenen Kontrollbereichs gespeichert. Entsprechend sollten Unternehmen Security-Lösungen und Dashboards on-premise realisieren und vorzugsweise nicht in der Cloud.
Vielen Dank für das Gespräch.
Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.
SAP-Sicherheit bei der IT-Onlinekonferenz 2021:
Sie können dieses Thema bei der #ITOK21 live (22.03. – 25.03.) oder als Aufzeichnung verfolgen und eigene Fragen an die Experten stellen. Hier registrieren …
Bei der IT-Onlinekonferenz geben IT-Entscheider vier Tage lang Erfahrungsberichte, wie sie sich auf die SAP-Zukunft vorbereiten, die IT-Automatisierung, die Cloud-Transformation, das Management hybrider Multi-Cloud-Umgebungen und den S/4HANA-Umstieg meistern. Der 25. März gehört ausschließlich den Verbesserungsmöglichkeiten der SAP-Sicherheit. Zusätzlich gibt es vielfältige Interaktions- und Networking-Möglichkeiten.
