Security-Projekte hören nicht beim Berechtigungskonzept auf

Eine ganzheitliche Security-Strategie umfasst auch die regelmäßige Prüfung, Pflege und den Schutz von Berechtigungen, Installationen und Eigenentwicklungen vor inneren und äußeren Bedrohungen — insbesondere in der SAP-Landschaft.

Ralf Kempf (SAST SOLUTIONS) fragten wir, welche Rolle Projektorganisation und Projektmanagement bei der Erhöhung der SAP-Sicherheit spielen können. Gemeinsam mit Sven Ruffershöfer (Referent Systemdesign SAP | DATEV) berichtet er bei der IT-Onlinekonferenz am 19. Mai 2022 — dem SAP-Security-Tag — wie die technische SAP-Absicherung bei der DATEV gelungen ist: Hier registrieren …

 

Welche größten Herausforderungen sehen Sie aktuell für CIO und CISO?

Ralf-KempfRalf Kempf: Eine Herausforderung, die derzeit vermutlich alle IT-Führungskräfte eint, ist der Mangel an erfahrenden Fachkräften und der Wettbewerb um neue Talente. Mit konsequenten Maßnahmen zur Aus- und Weiterbildung lässt sich jedoch nur zum Teil gegensteuern. Entscheidend sind durchdachte Automatisierungen im Bereich der Cybersicherheit, um dem massiven Ressourcenmangel entgegenzuwirken.

Dabei ist es wichtig, die Sicherheit hybrider IT-Umgebungen unbedingt ganzheitlich zu betrachten. Der Trend entwickelt sich weg von klassischen ERP-Insellösungen hin zu vollintegrierten und ineinander verzahnten IT-Systemwelten — zu denen SAP-Systeme ebenso zählen wie Non-SAP.

Eine weitere Herausforderung, der wir in Security-Projekten immer wieder begegnen, ist der Umgang von Unternehmen mit Schatten-IT. Für spezielle Anforderungen wird von Mitarbeitern schnell mal eine neue Software installiert – häufig sogar als Freeware und daher ohne Genehmigungsprozess. Die Einführung erfolgt jedoch so gut wie nie compliant-konform oder gar auf Basis eines Nutzungskonzepts. Da sind Sicherheitslücken vorprogrammiert.

 

SAP-Knowhow und Sicherheitsverständnis nötig

Rund vier von fünf SAP-Kunden wollen laut DSAG-Investitionsreport 2022 in die Verbesserung ihrer Cybersecurity investieren. Worauf ist dabei zu achten?

Unternehmen versuchen häufig bei der Erkennung von Schwachstellen anzusetzen und diese zu automatisieren. Doch das Erkennen lässt sich nicht so einfach erlernen bzw. führt häufig zum Überlernen oder falschem Training — und dann greift ein Algorithmus bei echten Bedrohungen ganz schnell auch mal nicht ein.

Wir empfehlen primär die Bereitstellung von Informationen zu automatisieren und zu optimieren. Hier ist ein unternehmensweites einheitliches Verständnis für IT-Security entscheidend, denn nur dann können SIEM-/SOC-Teams beispielsweise auch SAP-Systeme mit betrachten. Einen großen Vorteil hinsichtlich der Transparenz der aktuellen Sicherheitslage bieten zweckgebundene Security-Dashboards. So lassen sich Ergebnisse für Security-Teams nachvollziehbar visualisieren und es erlaubt die zeitnahe Identifikation und Reaktion auf Änderungen der Bedrohungslage.

Daneben zeigt gerade hier ein gezielter Know-how Aufbau für interne Security-Experten einen der größten Effekte. Denn nur wer Angriffsszenarien wirklich durchdringt, kann sie auch effektiv verhindern.

 

Welche Bedeutung haben Projektorganisation und Projektmanagement in Security-Projekten?

Ähnlich wie IT-Umgebungen, sind auch Security-Projekte deutlich vielschichtiger geworden. Ein gut durchdachtes User- und Berechtigungsmanagement allein ist für erfolgreiche Security-Projekte nicht mehr ausreichend. Neben dem Berechtigungskonzept müssen auch die Infrastruktur, System-Schnittstellen, Datenbanken und die ABAP-Eigenentwicklungen auf den Prüfstand.

Und all diese Punkte müssen nach dem aktuellen Stand der Technik geprüft werden. Dabei reichen inhaltlich gute, doch nur punktuelle Checks bei Weitem nicht mehr aus – das gilt insbesondere für das das Coding. Es gibt täglich neue Sicherheitslücken unterschiedlicher Relevanz, dementsprechend ist es wichtig kontinuierlich, idealerweise in Echtzeit, zu prüfen. Das bedeutet, Security-Projekte enden nie und sind einer ständigen Weiterentwicklung unterworfen.

Hinzu kommt, dass speziell im Bereich SAP die Abteilungen wie SAP-Basis, Berechtigungen und Coding oftmals getrennt sind – sowohl organisatorisch als auch in der Verantwortung. Diese Bereiche müssen im Projekt gewinnbringend für alle zusammengeführt und alle Handlungen aufeinander abgestimmt werden. Entscheidend für den Erfolg ist es daher, Kommunikationsbarrieren zu überwinden und Bereiche miteinander reden zu lassen.

 

Erfahrungsbericht zum SAP-Systemhärtungsprojekt

Was erfahren wir von Ihnen bei der ITOK22 im Mai?

Dieses Mal konnten wir Sven Ruffershöfer als Referenten gewinnen. Er gibt exklusiv Einblicke in das SAP-Systemhärtungsprojekt bei der DATEV eG und wird schildern, welche Hindernisse sie unterschätzt haben und wie das Security-Projekt über alle Bereiche hinweg – von der Basis über Berechtigungen bis zum Coding – durch eine gezielte Zusammenarbeit schlussendlich erfolgreich wurde. Hier zum Erfahrungsbericht bei der ITOK22 anmelden …

Im Rahmen einer allumfassenden SAP-Securitystrategie stellte sich auch die DATEV eG der Prüfung ihrer Berechtigungen, Installationen und Eigenentwicklungen vor inneren und äußeren Bedrohungen. Dabei sollte fehlendes Know-how in fachlicher und organisatorischer Sicht kein Grund sein, das Thema SAP-Sicherheit auf die lange Bank zu schieben und wir wurden sehr frühzeitig als Experten-Unterstützung zum Projekt hinzugezogen.

 

Was wird in den nächsten zwölf Monaten das dominierende Sicherheitsthema in der SAP-Community?

Vor dem Hintergrund der aktuellen Gefährdungslage in Ost-Europa, aber auch weltweit, rückt „Hacking“ mit dem Ziel der Sabotage, statt zur Spionage oder Monetarisierung immer stärker in den Fokus. Das gilt insbesondere für hochkritische Unternehmensbereiche.

Wurde Ransomware bisher primär in Rahmen von Erpressungsversuchen und zur finanziellen Bereicherung eingesetzt, könnte es künftig vermehrt um politische Interessen gehen und darum, eine dauerhafte Geschäftsunfähigkeit eines Unternehmens zu erwirken.

Daher ist es wichtiger denn je, beim Thema Cyber-Security nicht den schnellen Return on Invest berechnen zu wollen und zu versuchen die Kosten für Sicherheitsmaßnahmen mit der Wahrscheinlichkeit eines Schades abzuwägen, sondern vorrangig die Betriebsfähigkeit und Unternehmensexistenz zu sichern.

 

Vielen Dank für das Gespräch.

Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.

 

Erfahrungsberichte bei der ITOK22:

SAP-Security-Tag-22Sie können diesen und alle Beiträge der #ITOK22 live (16.– 19.05.22) oder als Aufzeichnung (sofern Sie sich für den jeweiligen Expert-Talk registriert haben) verfolgen und eigene Fragen an die Expertinnen und Experten stellen.

Beim achten Gipfeltreffen der SAP-Community geben SAP-Kunden vier Tage lang Erfahrungsberichte zu SAP S/4HANA- und Cloud-Transformationen, Business- und IT-Automatisierung und zu Veränderungen der IT-Organisation. Am 19. Mai dreht sich ein ganzer Tag um Cyber- und SAP-Sicherheit.

SAP-Kunden wie Atruvia, BayWa, DATEV, Deutsche Börse, Evonik, GTÜ Gesellschaft für technische Überwachung, Kaeser Kompressoren, Open Grid Europe, SPAR Österreich und andere berichten.

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Jetzt anmelden:

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

KRITIS-Angriffserkennung

Was haben KRITIS und IT-Sicherheitsgesetz 2.0 mit SAP zu tun?

Das IT-Sicherheitsgesetz 2.0 ist seit Mai 2021 in Kraft und bringt mehr Pflichten mit sich, …