SAP-Security: Welche Auswirkungen haben Cloud, HANA und S/4HANA?

Zu den Anforderungen der Digitalisierung an heterogene und komplexer werdende IT- und SAP-Systemlandschaften gehören neben Automatisierung und Integration auch besonders die Sicherheit.

Wir fragten Sebastian Schreiber, Geschäftsführer des Anbieters für SAP- und IT-Sicherheit IBS Schreiber, nach allgemeinen Sicherheitstrends, nach den geänderten Anforderungen durch die neuen SAP-Lösungen und welches Wissen notwendig ist, um S/4HANA oder Cloud-Lösungen sicher konfigurieren und auch prüfen zu können.

 

Herr Schreiber, welche Trends stellen Sie im Kontext von IT- und SAP-Sicherheit fest?

Sebastian SchreiberEntwicklungen der IT- bzw. SAP-Landschaften schreiten immer schneller voran. Daher stehen Verantwortliche vor dem Problem, dass sich Sicherheits- und Prüfungsanforderungen ständig ändern.

Beispielsweise ist der Aufbau der Berechtigungen in den SAP Cloud Komponenten wie Ariba, SuccessFactors, Concur etc. ganz anders als in der jetzigen On-Premise Welt. Auch bei einer Migration nach S/4HANA ändert sich vieles. Berechtigungen werden konsolidiert, fallen weg oder werden durch Fioris ersetzt.

Außerdem kommen immer mehr übergreifende Sicherheitsthemen dazu. Es wird durch die technischen Gegebenheiten immer schwieriger, die gesamte Systemsicherheit zu gewährleisten oder zu prüfen. In diesem Zusammenhang ist eine enge Zusammenarbeit zwischen IT- und SAP-Prüfern notwendig. Aber auch innerhalb der Unternehmen müssen die administrativen Bereiche zusammenwachsen. Es muss zukünftig eine engere Zusammenarbeit zwischen der IT- und der SAP-Administration geben, um möglichst viele Sicherheitsanforderungen zu erfüllen.

Im Prüfungsumfeld war es in der Vergangenheit oft der Fall, dass entweder SAP- oder IT-Prüfungen angefragt wurden. Mittlerweile führen wir immer mehr kombinierte Prüfungen durch. Auch das Thema Penetrationstests auf SAP Systeme hat sich stark entwickelt! Unternehmen haben erkannt, dass ihre „Kronjuwelen“ sich oftmals in den SAP-Systemen befinden und entsprechende Sicherheitsvorkehrungen getroffen werden müssen.

 

Wie reagieren Sie bei der Prüfung von Systemlandschaften oder der Sicherheitsberatung darauf?

Durch kombinierte Prüfungen mit SAP- und IT-Prüfern. So können Prüfungen durchgeführt werden, die sowohl die SAP-, als auch die IT-Ebenen betrachten. Nur so kann eine Gesamtsicherheit der Systeme gewährleistet werden.

Auch im Rahmen von SAP-Projekten (Berechtigungsprojekten) wird oftmals nur die SAP-Ebene betrachtet! Auch hier sind Datenbank- und Betriebssystem-Sicherheit immer wichtiger. Durch die Komplexität der Systeme ist es teilweise notwendig Tools einzusetzen, um überhaupt vollumfängliche Prüfungen durchführen zu können.

Worauf sollten Sicherheits-, IT- und SAP Basis-Verantwortliche bei der Konzeption heterogener, hybrider und komplexer werdender IT- und SAP-Landschaften achten?

Es sollte auf einheitliche, wenn möglich systemübergreifende, Sicherheitskonzepte und Sicherheitsstrukturen geachtet werden.

Solche Vorgaben sollten bereits vor entsprechenden Einführungen oder Migrationen definiert werden und im Rahmen von Projekten Beachtung finden!

 

Welches (neue) Wissen braucht man, um HANA-, S/4HANA-, Cloud-Sicherheit bei der Konfiguration und Prüfung zu berücksichtigen?

Hier ändert sich sehr viel für die Verantwortlichen, da der technische Unterbau der verschiedenen Komponenten sehr unterschiedlich sein kann. Die Zugriffe auf Daten können über sehr viel mehr Wege als bisher erfolgen! Daher müssen auch viel mehr unterschiedliche Absicherungen und Kontrollen als bisher ein- und durchgeführt werden.

 

Wie baut man dieses Wissen auf?

Am besten natürlich durch Schulungen. Problematisch ist, dass es wenige Fortbildungen in den neuen Themen gibt. Der Aufbau von Know-how gestaltet sich auf jeden Fall schwieriger als bisher.

Hilfreich ist auch ein Austausch zwischen Partnern. Auch hier kann durch gegenseitige Unterstützung Wissen transferiert werden und ggfs. kann man sich bei Spezialthemen gegenseitig unterstützen!

Aber auch ein Austausch innerhalb der SAP-Community hilft hier weiter. Der Besuch von Veranstaltungen, wie der DSAG und von Arbeitskreisen sind hilfreich um neueste Trends und Entwicklungen zu verfolgen!

Was kann man bezüglich der SAP-Sicherheit automatisieren?

Es gibt diverse Produkte wie z.B. das SAP ETD (Enterprise Threat Detection), über welche man unterschiedliche Angriffsszenarien entdecken kann. Im Bereich der Berechtigungsprüfungen oder zum Aufbau eines internen Kontrollsystems gibt es weitere 3rd-party Produkte, wie CheckAud von der IBS Schreiber GmbH oder die XAMS von der Xiting AG.

Für ein „continuous auditing“ kann das Access Control der SAP genutzt werden. Hier sollte auf die Anpassung der Prüfungsregeln geachtet werden.

 

Was wird für Sie in den kommenden 12 Monaten das dominierende Thema in der SAP-Community?

S/4HANA und Cloud-Migrationen unter Einbeziehung aktueller Sicherheitsanforderungen!

 

Vielen Dank für das Gespräch.

Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Anzeige

Über die Redaktion IT-Onlinemagazin

Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter.   Etwa zweimal pro Monat werden Sie kompakt und unterhaltsam mit wichtigen Nachrichten aus der SAP- und ERP-Community versorgt.

Auch interessant?

SAP Prüfbereiche

Ganzheitliche Sicherheit für SAP ERP

Wo sind SAP-Systeme besonders angreifbar, welche Teilbereiche muss man daher unbedingt kontinuierlich und automatisiert prüfen, …