SAP-Security: Ganzheitliche Sicherheitskonzepte sind notwendig

Die Gefahr, dass SAP-Landschaften von Cyberkriminellen angegriffen werden, war vermutlich noch nie so hoch wie heute. Trotz hoher Sensibilität bleiben umfassende Absicherungsmaßnahmen in vielen Unternehmen die Ausnahme.

Im Vorfeld der „Security Wednesday“-Onlinereihe befragten wir Hendrik Heyn, Geschäftsführer der Xiting GmbH in Deutschland, zu Trends zum Thema SAP-Security.

 

Herr Heyn, welche Trends nehmen Sie aktuell zur SAP-Security wahr?

Hendrik HeynHendrik Heyn: Auch nach der entsprechenden Wartungsverlängerung für die SAP Business-Suite bleibt S/4HANA weiter das prägende Thema. Die damit einhergehende Veränderung der IT-Infrastrukturen mit HANA-Datenbanken, neuen Benutzeroberflächen bis hin zu hybriden Systemlandschaften fordern Kunden sehr. Die Bestandsaufnahme der aktuellen Sicherheitskonzepte hinsichtlich dieser neuen Zielarchitekturen zeigt manchem mehr Handlungsbedarf als ursprünglich angenommen. Hier sind es dann ganzheitliche Sicherheitskonzepte, die mehr denn je gefordert sind — und die entsprechenden Möglichkeiten, diese möglichst effizient zu implementieren und auch nachzuhalten.

Die SAP hat hierzu erst Mitte Februar die zweite Version der SAP-Security Baseline (SAP Note 2253549) herausgegeben, die nicht nur eine Orientierungshilfe darstellt, sondern viel mehr auch gewisse Mindeststandards definiert. Ein weiterer Trend, der uns schon die letzten Jahre verfolgt, verzeichnet zudem gerade ebenfalls wieder eine stärkere Nachfrage im Markt: RFC-Security.

 

Rund jedes vierte Unternehmen kümmert sich laut unseren Umfragen beim S/4HANA-Umstieg gar nicht um SAP-Sicherheit. Was sagen Sie denen?

Nehmen Sie das Thema nicht auf die leichte Schulter! SAP S/4HANA und die voranschreitende Digitalisierung ermöglichen neue Angriffsszenarien, da immer mehr Daten gesammelt, ausgewertet werden und zur Verfügung stehen müssen. Das Ganze soll zu jeder Zeit, an jedem Ort und für alle Endgeräte ermöglicht werden.

Eine strategische Planung bei der SAP-Sicherheit kann nicht nur vor teuren Schadensfällen und Imageverlusten schützen, sondern ermöglicht Wettbewerbsvorteile. Die SAP-Sicherheit beim Umstieg zu vernachlässigen ist fahrlässig, da erfahrungsgemäß nachgelagerte Security-Projekte nach solchen Großprojekten nur sehr schwer zu realisieren sind und bis zu den nächsten Audits oder Vorfällen verschoben werden.

 

Welche Erfahrungen aus S/4HANA-Umstiegsprojekten können Sie weitergeben?

Nach Ihren Umfragen haben zwar immerhin 75 Prozent der Unternehmen die SAP-Sicherheit auf der Agenda, allerdings sind die Projektpläne straff und Zielvorgaben hoch. Dies führt oftmals dazu, dass Themen, wie die Berechtigungskonzeption und Zugriffsbeschränkungen, zu kurz kommen oder sogar ganz von der Projektplanung gestrichen werden.

Das liegt vor allem daran, dass diese Themen nicht von Beginn an fokussiert werden und bei der Initialplanung oder Vorstudien nur eine untergeordnete Rolle spielen. Somit spielen Sicherheitskonzepte oder Berechtigungstests, welche beim Umstieg auf S/4HANA ohnehin ganz am Ende der Projektplanung  stehen, aus Zeitgründen nur noch eine untergeordnete Rolle oder werden teilweise komplett gestrichen. Die Unsicherheiten und die finanzielle Belastung der Unternehmen durch die Corona-Pandemie tragen ihr Übriges bei.

 

An welchen Stellen kann der Einsatz von Tools den Umstieg auf SAP HANA, S/4HANA und Fiori erleichtern?

Ein toolgestützter Ansatz erleichtert den Umstieg an verschiedenen Stellen, wenn die Ressourcen knapp sind und wenig Zeit zur Verfügung steht. Mit Produkten wie der Xiting Authorizations Management Suite (XAMS) werden zum Beispiel Rollenkonzeptionen automatisiert auf die entsprechende Zielarchitektur angepasst. Die Funktionsfähigkeit der Rollen in S/4HANA kann somit schon während der Implementierung und des Integrationstests simuliert werden, um nachgelagerte Testläufe zu verringern.

Bei einer SAP-Fiori-Einführung empfiehlt es sich erfahrungsgemäß den „protected Go-Live“ zu nutzen, um im Zweifelsfall auf zusätzliche Apps zurückgreifen zu können und somit die Akzeptanz beim Fachbereich gegenüber der neuen Technologie aufrecht zu erhalten. Zudem ist der Mehrwert von Massenverarbeitungswerkzeugen bei der Konzipierung und Implementierung bei SAP Fiori nicht zu vernachlässigen.

 

Was gibt es Neues zum Thema SAP Identity Management und zu SAP GRC Access Control – welche Fragen stellen sich und Ihnen aktuell die SAP-Kunden?

Beim SAP Identity Management herrscht nach wie vor große Unzufriedenheit in der SAP-Community, denn Support und Qualität werden nach wie vor bemängelt. Gerade die DSAG versucht hier mit einigen Initiativen den gegenwärtigen Zustand zu verbessern.

Zudem findet das Produkt SAP Cloud Identity Access Governance mehr Aufmerksamkeit bei SAP Kunden. Hier stellt sich oftmals die Frage, wann eine Einführung sinnvoll ist. Bestandskunden von GRC Access Control werfen hingegen derzeit einen Blick auf die Produkt-Roadmap, um zu prüfen ob ihre bisherigen Anwendungsszenarien und Anforderungen bereits abgedeckt sind.

 

Geben Sie uns noch ein kurzes Update zu SAP ETD? Für welche Kundengruppen ist das besonders interessant?

Wir spüren derzeit nur ein zögerliches Interesse an diesem Produkt. SAP ETD ist letztlich für alle Kunden interessant, die eine holistische SAP-Security anstreben, denn neben der Absicherung und automatisierten Konfigurationsüberprüfung von ABAP-, JAVA- oder HANA DB Komponenten, schützt SAP ETD mit der Echtzeit-Analyse ihrer Log-Daten zusätzlich gegen Cyberattacken.

Zu allen genannten und vielen weiteren Themen können Sie sich durch unsere Webcast-Reihe Security Wednesday umfassend informieren. Melden Sie sich gleich an und profitieren Sie von unserem exklusiven Netzwerk – von Experten, für Experten.

 

Vielen Dank für das Gespräch.

Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.

Das IT-Onlinemagazin ist Medienpartner der Veranstaltung.

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Anzeige

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

SAP-Community Trends 2021

Die virtuellen SAP-Community Events der letzten Wochen, wie DSAGLIVE, SAP CONNECT, SAP-Partner-Events, Umfrageergebnisse und auch …