SAP Sicherheit: Welche Baustellen gibt es in Unternehmen?

0
Posted 23. April 2018 by Redaktion IT-Onlinemagazin in IT-Leiter

Die Datenschutz-Grundverordnung zwingt Unternehmen auch intensiv über ihre SAP-Sicherheit nachzudenken. Dabei sind zwei unterschiedliche Blickwinkel zu berücksichtigen: Die Speicherung, Verarbeitung und Löschung personenbezogener Daten, sowie der berechtigte Zugriff werden geregelt. Zusätzlich muss auch die Absicherung gegen unbefugten Zugriff auf personenbezogene Daten erfolgen.

Die SAP-Sicherheitsexperten von Virtual Forge haben in einem Gastbeitrag einige Informationen zusammengefasst, mit welchen Security-Fragestellungen sich die SAP-Anwenderunternehmen derzeit auseinandersetzen (sollten) und welche „Baustellen“ es gibt.

 

 

 

Data Privacy: Frage der Speicherung und des befugten Zugriffs

In erster Linie prüfen SAP-Anwenderunternehmen die GDPR-relevanten Daten in ihren HR- oder CRM-Systemen. Im nächsten Schritt erfolgen dann Maßnahmen zum ILM (Information Lifecycle Management) bzw. zur Überarbeitung von Rollen- und Berechtigungen. Ziel ist festzulegen, wie personenbezogene Daten erhoben, gespeichert und mit entsprechender Befugnis genutzt werden dürfen. Stichwort: Data Privacy.

 

Data Protection: Absicherung gegen unbefugten Zugriff und Diebstahl

Mindestens genauso wichtig ist der Schutz personenbezogener Daten vor unbefugtem Zugriff — Stichwort: Data Protection. Dieser Absicherungsbedarf wird in der Praxis gerne übersehen — und daher gegebenenfalls zu spät berücksichtigt. Beispiele hierfür sind Zugriff auf personenbezogene Daten über Schnittstellen oder ABAP-Code, die durch unsicher programmierte Software unter Umgehung der Berechtigungsprüfung geschehen, Sicherheitslücken durch unsichere Verbindungen oder fehlende Verschlüsselung.

Man muss hier alle Layer von der Infrastruktur über das Betriebssystem bis hin zum Frontend bewerten und absichern. Dazu zählen auch Schwachstellen, die in einem SAP-System auftreten könnten. Dabei stehen die kundeneigenen Entwicklungen im Vordergrund und natürlich auch die Konfiguration der SAP-Systemlandschaft. Nicht vergessen sollte man aber auch die Transporte im SAP-Umfeld. Was nutzt beispielsweise ein ausgefeiltes, GDPR-konformes Berechtigungskonzept, wenn Einträge zu jeder beliebigen Tabelle unerkannt per Transport in die Produktion geschleust können, oder wenn mit nur einem Eintrag in der Objektliste ein ganzes SAP-System gelöscht werden könnte?

 

Maßnahmen zur Absicherung von SAP-Landschaften

Die Absicherung von SAP-Landschaften ist eine komplexe und vielschichtige Aufgabe. Neben einigen grundlegenden Fragen zur Implementierung der ILM-Logik und des Berechtigungswesen, sollten unter anderem die folgenden Themen abgearbeitet werden, um das geistige Eigentum und auch die personenbezogenen Daten abzusichern:

Kundeneigener Code und Drittanbieter-Add-Ons

Zur Einhaltung der EU-DSGVO sollten nicht nur die Transaktionen und Tabellen im SAP-Standard betrachtet werden. Oft verlassen Daten über eigene Anwendungen oder Add-Ons das SAP-System – nur wer sich hier einen Überblick verschafft, kann die Konformität zur Datenschutzgrundverordnung gewährleisten. Das gilt übrigens auch für Berechtigungen. Fehlende oder fehlerhafte Berechtigungsprüfungen sind die am häufigsten gefundenen Sicherheitslücken in kundeneigenem SAP-Code.

Transporte in die SAP-Systeme

In diesem Zusammenhang muss man auch Transporte erwähnen. Wie oben im Beispiel genannt, können Berechtigungskonzepte ad absurdum geführt werden, wenn Rollen, Berechtigungen oder Nutzerdaten unerkannt ins Produktivsystem gelangen. Wenn man bedenkt, welche Möglichkeiten es gibt, Transporte und darin enthaltene Objekte zu manipulieren, ist das Transportmanagement ein oft unterschätztes Thema, wenn es um die Sicherheit von SAP-Systemen geht.

Die neueren Themen nicht vergessen

Natürlich spielen auch die „neuen“ SAP-Themen bei SAP Security eine tragende Rolle. Beispiel HANA. Zwar ist HANA an sich deutlich sicherer konzipiert als andere Produkte, aber auch hier liegt die korrekte Konfiguration in der Verantwortung des Kunden, ebenso selbst programmierter HANA-Code. Es kommt erschwerend hinzu, dass viele SAP-Programmierer sich in die neuen Programmiersprachen erst einarbeiten müssen und sichere Programmierung dabei nicht unbedingt im Vordergrund steht.

Absicherung der Cloud-Schnittstellen

Komponenten aus der Cloud sollten in einem SAP-Sicherheitskonzept mit bedacht werden. Zwar liegt in diesem Fall die Verantwortung für eine sichere Infrastruktur beim Cloud-Anbieter, aber jeder Kunde wird Schnittstellen zur und von der Cloud verwenden. Diese abzusichern ist wichtiger denn je.

Ganzheitliche Roadmap für die SAP Sicherheit

Insgesamt sollten SAP-Kunden bei der Absicherung ihrer SAP-Systemlandschaft darauf achten, dass ein ganzheitliches Konzept verfolgt wird. Dazu zählen neben den angesprochenen Themengebieten natürlich auch eine kontinuierliche Überwachung, um Angriffe zeitnah erkennen zu können. Studien machen den Missstand offenkundig, dass selbst interne Angriffe oft erst nach mehreren Monaten entdeckt werden. Lösungen wie ein SIEM-System, das auch SAP-Events integriert oder die Enterprise Threat Detection Lösung der SAP schaffen hier Abhilfe.

 

Fazit und Empfehlung

Virtual Forge empfiehlt eine bewährte Strategie, um sich des Themas „SAP-Sicherheit“ anzunehmen: Der erste Schritt sollte eine Analyse der Schwachstellen sein, aber auch eine Definition der Risikotoleranz für jedes System. Aus diesen beiden Themen ergibt sich ein Maßnahmenkatalog zur Verbesserung der SAP Security. In einem zweiten und dritten Schritt – die dann parallel angegangen werden sollten – beseitigt man existierende Schwachstellen und sorgt dafür, dass keine neuen Sicherheitslücken entstehen.

„Die drei Phasen der SAP-Sicherheit – „understand your risk“, „get clean“ und „stay clean“ – haben sich bei vielen Kunden bewährt und sorgen vor allem dafür, dass SAP Security ganzheitlich angegangen wird“, erläutert Markus Schumacher, CEO bei Virtual Forge.

Karsten Günther, Vertriebsleiter DACH, gibt SAP-Sicherheitsverantwortlichen den folgenden Tipp: „Punktuelle Maßnahmen in einigen Bereichen zeigen zwar oft kurzfristig Erfolge, lösen aber das zugrunde liegende Problem nicht. Nur mit einer ganzheitlichen Sicht auf die Sicherheit der SAP-Systeme und darauf abgestimmten Maßnahmen sichert man seine Systeme effektiv ab – und ist zusätzlich auf externe Anforderungen wie aktuell die GDPR, aber auch Audits oder Compliance-Regularien gut vorbereitet.“

 

 

Weiterführende Informationen:

C-FORGE 2018: SAP Cyber Security Roadshow
15.05. – 19.09. in Essen, Frankfurt, Hamburg, München, Salzburg und anderen Standorten in Europa, Nordamerika, Australien und Asien.

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:


Anzeige

Newsletter-Abo


Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter.   Etwa zweimal pro Monat werden Sie kompakt und unterhaltsam mit wichtigen Nachrichten aus der SAP- und ERP-Community versorgt.