Anzeige


SAP-Sicherheit 2017: Status-Quo und Empfehlungen

1
Posted 15. Mai 2017 by Redaktion IT-Onlinemagazin in Geschäftsführer

Die Umfrage zur SAP-Sicherheit 2017 im IT-Onlinemagazin offenbarte weiterhin Handlungsbedarf in vielen Unternehmen. Wir baten Dr. Markus Schumacher die Ergebnisse detaillierter zu bewerten. Ferner gab er Empfehlungen zur Verbesserung der SAP-Sicherheit.

 

Wie passen aus Ihrer Sicht Anspruch an die SAP Sicherheit und die Wirklichkeit zusammen?

Dr. Markus Schumacher: Nach den über 10 Jahren, in denen wir Lösungen für SAP-Sicherheit anbieten, bleibt bei den Anwendern oft der primäre, fachliche Fokus auf Rollen und Berechtigungen.

Die technische Sicherheit wird oft auf dem Risiko-Radar übersehen. Hier gilt es die Latte deutlich höher zu hängen, denn die Hürde für Angreifer wird stetig niedriger: einerseits wächst das Knowhow, andererseits werden SAP-Systeme ein immer spannenderes Ziel für gezielte Angriffe.

 

Sehen Sie einen Widerspruch, dass einerseits die strategische Bedeutung der SAP-Sicherheit seit Jahren wächst und andererseits die Hauptverantwortung auf den Schultern der „SAP Basisadministration“ liegt?

Absolut. Es fehlt oftmals der Schulterschluss zwischen den CISOs und der SAP-Abteilung, um einen möglichst lückenlosen Schutz zu erreichen. Zudem haben die Administratoren oft zu wenig Ressourcen, um sich dem Thema SAP-Sicherheit angemessen widmen zu können.

Vielfach weiß man genau, wo die Baustellen sind, kann aber mangels Budget nichts tun oder wird im Rahmen von initialen SAP-Risikobewertungen erstmal auf dem falschen Fuß erwischt, da es viele gravierende Sicherheitslücken gibt (BCCODE, SAP Gateway, Standarduser mit Trivialpasswörtern, usw.).

 

Was empfehlen Sie Unternehmen, die die SAP-Sicherheit im Rahmen der IT-Sicherheit ganzheitlich betrachten und würdigen wollen?

Es gibt keine einfache Lösung, die über Nacht implementiert werden kann. Meine Empfehlung ist daher, nach einer initialen Risikobewertung eine SAP Security Roadmap zu erstellen, aus der hervorgeht, wann und wie welche Themen angegangen werden.

So kann mit „Quick Wins“ (niedriger Aufwand bei hoher Risikominimierung) begonnen und mit den weiteren Themen je nach Budget und Ressourcen weiter gemacht werden.

 

Wenn Sie für die Sicherheit einer SAP-Landschaft verantwortlich wären: Um welche drei Stellschrauben würden Sie sich vorrangig kümmern?

Da Rollen und Berechtigungen meistens bereits adressiert sind, empfehle ich folgende Stellschrauben anzugehen: Härtung der Systemkonfiguration im Bestand, Sicherheit bei S/4HANA Projekten von Anfang an, systematische Prüfung von Transporten, um zu verhindern, dass neue Lücken in Produktion kommen.

 

Vielen Dank. Die Fragen stellte Helge Sanden.

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:


Newsletter-Abo


Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter.   Etwa zweimal pro Monat werden Sie kompakt und unterhaltsam mit wichtigen Nachrichten aus der SAP- und ERP-Community versorgt.

Das IT-Onlinemagazin ist Medienpartner der DSAG Technologietage 2018