Anzeige

SAP-Sicherheit: Wie denkt und handelt ein CIO oder CISO?

SAP-Sicherheit ist in vielen Unternehmen ein blinder Fleck. Security-Experten finden bei den Verantwortlichen für SAP-Landschaften alles vor: Unwissenheit, Fahrlässigkeit, Gleichgültigkeit, Angst, Scham … aber natürlich auch die Bereitschaft einer ungeschminkten Bestandsaufnahme und den Willen zur langfristigen Verbesserung der SAP-Sicherheit.

Von Markus Schumacher (General Manager Europe von Virtual Forge / Onapsis) wollte ich wissen, welche Denk- und Verhaltensmuster er bei CIO und CISO beobachtet, wie man das Sicherheitsbewusstsein verändern kann und was in Zukunft auf die SAP-Anwenderunternehmen zukommt.

 

Herr Schumacher, welche Denk- und Verhaltensmuster beobachten Sie bei CIO und CISO, wenn es um die SAP-Sicherheit geht?

Markus Schumacher onapsisMarkus Schumacher: Ich sehe im Wesentlichen drei Denk- und Verhaltensmuster:

Erstens: Wenn einem CIO oder CISO das Thema SAP-Sicherheit nicht transparent ist, driftet es schnell in Ignoranz um. „Das macht die SAP-Abteilung“ oder „Wir haben doch Firewalls“ – ja, das hört man immer noch.

Zweitens: Wenn das Thema bekannt ist, wird manchmal nur das allernötigste gemacht, denn „es ist noch nie etwas passiert“.

Drittens: Offene Gespräche, bei denen die Problemzonen besprochen und ein Maßnahmen-Plan diskutiert werden kann.

 

Wie gelingt es Ihnen, das Sicherheitsbewusstsein zu verändern?

Dies gelingt mit einem Dreisprung:

Zuerst sprechen wir mit den Entscheidern, dass die oft technischen Defizite im Maßnahmenpaket direkte und mittelbare Auswirkungen auf den Geschäftsbetrieb haben. Das kann Non-Compliance zu einem Branchenregelwerk, wie beispielsweise SOX, FDA Part 11 oder GMP, sein, aber auch die Nichtverfügbarkeit von Systemen, bis hin zum Abfluss von Geschäftsinformationen an Konkurrenten. Wir vereinbaren mit den Entscheidern, dass wir eine Prüfung durchführen („Business Risk Illustration“), in der wir das Vorkommen typischer Schwachstellen in der Konfiguration, bei fehlenden Patches, oder im Custom Coding aufzeigen.

Im zweiten Schritt verifizieren dies dann mit dem technischen Team des Kunden („ja, wir haben diese Probleme“). Bei Bedarf kann auch beispielhaft gezeigt werden, wie leicht und unter welchen Voraussetzungen eine Ausnutzung von Schwachstellen vonstattengehen kann.

Mit diesen Ergebnissen kann dann im dritten Schritt der Entscheider viel besser einschätzen, was technische Probleme für sein Business bedeuten und wo und wie gegebenenfalls nachgesteuert werden muss.

 

Die DSAG fordert von SAP für die Anwenderunternehmen „security-by-default“-Einstellungen und ganzheitliche „Security-Cockpits“ – wie weit sind wir da mittlerweile?

In den letzten Jahren hat sich sehr viel getan, was sichere Grundeinstellungen angeht. Allerdings geht das nicht immer und es bleibt nach wie vor vieles vom Kunden zu tun, da bestimmte Einstellungen einfach spezifisch zum Business sind.

Ganzheitliche Cockpits gibt es auch. Die SAP arbeitet an dem Thema, wir haben Lösungen im Angebot — wie auch andere Marktbegleiter. Hier muss die Entscheidung getroffen werden, was man tatsächlich sehen will, wie dies in bestehende Berichtslandschaften integriert wird (SIEM/SOC, Risiko Management, etc.) und welchen Grad der (unabhängigen) Expertise man möchte.

 

Was wird für Sie in den kommenden 12 Monaten das dominierende Thema bei der SAP-Sicherheit?

Wir beobachten klare Trends: die Integration von SAP-Sicherheit in die immer agileren Entwicklungsprozesse (Secure DevOps oder DevSecOps), die Integration von SAP-Security in Initiativen zum kontinuierlichen Monitoring, und schließlich der Aufbau hybrider S/4HANA- und Cloud-Landschaften. Letzteres ist aus meiner Sicht ein Punkt, bei dem von Anfang an viel zu wenig auf Sicherheit geachtet wird – die Überraschungen werden dann früher oder später kommen.

 

 Vielen Dank für das Gespräch.

Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.

 

Markus Schumacher ist — gemeinsam mit Matthias Nitschke (Senior Projektmanager SAP Security bei promantis) — Gast eines IT-Onlinemagazin Expert-Talks. Wir wollen gemeinsam diskutieren:

  • Welchen Einfluss hat die aktuelle Corona-Situation auf die SAP-Sicherheit?
  • Welche „three lines of defence“ haben sich als wirksam erwiesen?
  • Wie kann man schützenswerte Daten und kritische Infrastrukturen absichern?
  • Wie verändert man das Sicherheitsbewusstsein der eigenen Organisation?

CIO-Briefing zur SAP-Security:
Expert-Talk für CIO und CISO zur Verbesserung der SAP-Sicherheit
26.05. mit Virtual Forge (Onapsis) und promantis
live Fragen stellen und mitdiskutieren – oder später Aufzeichnung anschauen

 

 

Das IT-Onlinemagazin führt derzeit eine anonyme Umfrage zur SAP-Sicherheit durch.
Nehmen Sie gerne teil:

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Anzeige

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

SAP-Cybersecurity

SAST Solutions schließt sich IT-Security Verbund an und internationalisiert

SAST SOLUTIONS, der Hamburger Spezialist für SAP Security und Access Governance, gehört ab sofort zur …