SAP-Security-Tools lösen keine Organisations- und Prozessprobleme

SAP-Umgebungen sind meist sehr komplex und die Auswahl der angebotenen SAP-Sicherheitslösungen ist vielfältig. Ein punktueller und unkoordinierter Einsatz führt in der Regel zu Fehlallokationen von Sicherheitsinvestitionen und einem Sicherheits-Flickenteppich. Die Folge ist eine sinkende Effektivität der Sicherheitsmaßnahmen, ein unzureichendes Sicherheitsniveau und schlussendlich auch die Überforderung der Organisation.

Daniel Peisker und Dominic Stommen (PwC Deutschland) fragten wir, welche Bausteine man für eine ganzheitliche IT-Sicherheit braucht. Beim SAP-Security-Tag (19. Mai 2022) der IT-Onlinekonferenz geben sie gemeinsam mit SAP-Security-Spezialist Thomas Werth (Werth-IT) einen Überblick, was für die Absicherung von SAP-Umgebungen maßgeblich ist: Jetzt für den Expert-Talk mit CIO-Empfehlungen anmelden …

 

Herr Stommen, welche größten Herausforderungen sehen Sie aktuell für CIO und CISO?

Dominic Stommen: Im Rahmen der von PwC durchgeführten CEO Survey haben 49 Prozent aller befragten Top-Entscheider angegeben, dass sie Cyber-Risiken als die größte Bedrohung für Unternehmen sehen. Speziell bedeutet dies für CIO und CISO, dass die Security-Strategie eine essenzielle Rolle im Unternehmen spielen sollte.

SAP-Umgebungen sind in der Regel das Herzstück des täglichen Geschäftsbetriebes. Daher gilt es, diese besonders in den Fokus zu rücken. Eine der größten Herausforderungen ist es, SAP-Umgebungen nicht nur technisch, sondern als integralen Bestandteil der IT-Sicherheit zu betrachten und gleichzeitig die Fach- und IT-Bereiche zu verzahnen.

Ebenso sehen sich CIO und CISOs derzeit vor der Herausforderung, eine solche ganzheitliche Integration auch in S/4HANA-Transformationen sicherzustellen, um frühzeitig Sicherheitsschwachstellen und daraus resultierender Geschäftsrisiken während und nach der Einführung von SAP S/4HANA zu vermeiden.

 

Ganzheitliches Sicherheits- und Risikomanagement

Herr Peisker, wie wählt man die passende SAP-Sicherheitslösungen aus?

Daniel Peisker: Zuallererst sollten Sie sich die Frage stellen, ob die SAP-Sicherheitslösungen, die sie bereits im Einsatz haben oder deren Kauf Sie erwägen, alles abdecken, was sie brauchen.

Ein punktueller und unkoordinierter Einsatz von Sicherheitslösungen führt zu Fehlallokationen der Sicherheitsinvestitionen und einem Sicherheits-Flickenteppich. Umso wichtiger ist es, die eigenen Fähigkeiten und Bedürfnisse genau zu analysieren und Prioritäten zu setzen. Mit dem Festlegen gehen im Umkehrschluss auch Investitions- und Betriebskosten einher.

Es ist somit unabdingbar im Voraus zu ermitteln, wie

  • SAP-Sicherheit in der Organisation als Ganzes aufgestellt ist,
  • welche Sicherheits- und Geschäftsrisiken in der SAP-Umgebung existieren,
  • welcher Handlungsbedarf hieraus resultiert und
  • wie dieser zu priorisieren ist.

Dominic Stommen: Dies ermöglicht, nicht nur mittels eines Business Cases zu begründen, wie der Einsatz einer oder mehrerer SAP-Sicherheitslösungen zur Risikominderung beiträgt. Es ist auch ein Weg, um die eingesetzten SAP-Sicherheitslösungen basierend auf den tatsächlichen Bedürfnissen zu harmonisieren.

Hierbei sollte auch beachtet werden, dass solche Lösungen nicht nur zur Risikominderung nutzenstiftend sein können, sondern auch zur erhöhten Automatisierung und Effizienzsteigerung des Sicherheitsbetriebs.

Welche Bausteine braucht man — neben Security-Tools — noch, um Sicherheit in der SAP-Umgebung aufzubauen?

Daniel-PeiskerDaniel Peisker: Das zuvor genannte Vorgehen gilt nicht nur für SAP-Sicherheitslösungen, sondern auch für jedes technische (Sicherheits-) Maßnahmenpaket. Denn jede Maßnahme kostet Geld. Um zu einer auf das Business abgestimmten Sicherheitsstrategie und Umsetzung zu kommen, gilt es proaktiv zu werden.

Hierzu gilt es, einen geeigneten Rahmen für SAP-Sicherheit im Unternehmen zu schaffen und diesen nahtlos in das übergreifende Sicherheits- und Risikomanagement zu integrieren. Dies stellt sicher, dass technische und organisatorische Maßnahmen die Risiken angemessen adressieren und eine dauerhafte – und nicht nur eine punktuelle – Wirksamkeit herstellen.

Die notwendigen Bausteine reichen von einer geeigneten SAP-Sicherheitsorganisation & -Governance bis hin zu technischen Maßnahmen in der Anwendung, deren Komponenten und der Infrastruktur.

Ausführliche Empfehlungen bekommen Sie bei der IT-Onlinekonferenz: Jetzt für den Expert-Talk mit Daniel Peisker, Dominic Stommen und Thomas Werth anmelden …

 

SAP-Sicherheit proaktiv steuern

Wie weit sind Unternehmen damit, was beobachten Sie am Markt?

Daniel Peisker: Mittlerweile wird SAP-Sicherheit von vielen Unternehmen als relevantes Thema wahrgenommen. Allerdings sehen wir, dass den damit einhergehenden Sicherheitsherausforderungen häufig nur mit einzelnen und reaktiven Maßnahmen oder dem Kauf einer sich im Trend befindlichen Sicherheitslösung begegnet wird.

In einer komplexen und integrierten Umgebung mit ihrer Dynamik, seinen Einflüssen und seinen Abhängigkeiten kommt es maßgeblich darauf an, SAP-Sicherheit risikoorientiert und proaktiv zu steuern.

Ein Beispiel: Zwar ist es absolut notwendig, sicherheitskritische Aktivitäten in der SAP-Umgebung zu erkennen und auf diese mittels Anbindung an das zentrale SIEM/SOC eines Unternehmens reagieren zu können – aber wäre es nicht die erste Priorität ein solches Auftreten erst einmal grundlegend zu erschweren?

Rund vier von fünf SAP-Kunden wollen laut DSAG-Investitionsreport 2022 in die Verbesserung der Cybersecurity investieren. Worauf ist dabei zu achten?

Dominic Stommen: Orientieren Sie Ihre Maßnahmenplanung am Sicherheitsbedarf Ihrer Organisation. Vermeiden Sie hierbei Sicherheit nach Kassenlage und erstellen Sie auf Basis eines “Big Pictures” einen Trustworthy-Plan, welcher die gezielte Senkung von Geschäftsrisiken zur Aufgabe hat!

Vielen Dank für das Gespräch.

Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.

 

SAP-Security bei der IT-Onlinekonferenz

SAP-Security-Tag-22Sie können diesen und alle Beiträge der #ITOK22 live (16.– 19.05.22) oder als Aufzeichnung (sofern Sie sich für den jeweiligen Expert-Talk registriert haben) verfolgen und eigene Fragen an die Expertinnen und Experten stellen.

Beachten Sie gerne auch die weiterführende Website zum Vortrag bei PwC und Warum SAP-Sicherheit aus einem Guss so wichtig ist.

Beim achten Gipfeltreffen der SAP-Community geben SAP-Kunden vier Tage lang Erfahrungsberichte zu SAP S/4HANA- und Cloud-Transformationen, Business- und IT-Automatisierung und zu Veränderungen der IT-Organisation. Am 19. Mai dreht sich ein ganzer Tag um Cyber- und SAP-Sicherheit.

SAP-Kunden wie Atruvia, BayWa, DATEV, Deutsche Börse, Evonik, GTÜ Gesellschaft für technische Überwachung, Kaeser Kompressoren, Open Grid Europe, SPAR Österreich und andere berichten.

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Anzeige

Das IT-Onlinemagazin ist Medienpartner für den DSAG-Jahreskongress 2022

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

Kurt-Wiener-Lemongrass

Automatisierung ist der Schlüssel für maximalen Nutzen von SAP auf Azure

„Die Integration von SAP-Systemen in die Cloud ist nur der erste Schritt der Digitalisierungsreise. Der …