Die Verlagerung von SAP S/4HANA in die Cloud mischt auch die Karten bei der Security neu. Denn für diese sind — zumindest nach Meinung vieler Kunden — zunächst einmal die Cloud-Provider zuständig. Anwenderunternehmen sollten sich deshalb keineswegs beruhigt zurücklehnen. Genau dies geschieht jedoch vielfach, wie während einer Podiumsdiskussion auf dem DSAG-Jahreskongress zum Thema „Security in RISE und GROW with SAP“ deutlich wurde. Die Expertenrunde gab handfeste Empfehlungen für die Cloud-Security mit SAP.
SAP-Security in globale IT-Sicherheit einbetten
IT-Onlinemagazin-Chefredakteur Helge Sanden erörterte in Leipzig im Dialog mit Oliver Zendel (BSI), Christian Behre (SAP), Jean-Claude Flury (DSAG) und den DSAG-Arbeitskreissprecher Andreas Kirchebner (Accenture) und Oliver Villwock (cbs), wie sich SAP-Security in den globalen Kontext der IT-Sicherheit einbetten lassen kann und welche Aufgaben dabei auf die einzelnen Stakeholder entfallen.
Es kommt auf kooperative Zusammenarbeit an, so der Tenor. Denn allein würden weder Kunde noch SAP oder Service-Provider die Herausforderungen in punkto Sicherheit bewältigen können. Zumal eine sich ständig verschärfende Gefahrenlage ohnehin immer striktere Security-Kontrollen notwendig macht. Der Fachterminus dafür heißt: „Shared Responsibility Model“.
Dies regelt bei Cloud-Implementierungen die Zuständigkeiten zwischen den Beteiligten. Grundsätzlich gilt: Infrastruktursicherheit, Verschlüsselung und Netzwerksicherheit sind Aufgaben des Cloud-Anbieters (SAP, AWS, Azure…), während SAP-Kunden für die Sicherheit der eigenen Daten, die Einhaltung von Compliance-Standards und die Kontrolle über den Zugriff auf die Systeme verantwortlich bleiben.
Verantwortung und Steuerungspflichten verbleiben beim Kunden
Noch im April 2020 lautete das einhellige Urteil einer Live-Umfrage des DSAG-Arbeitskreises Security und Vulnerability Management zum Thema SAP- bzw. Cloud-Sicherheit: „Wir brauchen ein einheitliches Portal für sämtliche Security-Dokumente, ein einheitliches Dashboard, Security-by-Design und Security-by-Default.“ Das SAP Trust Center, zentraler Einstiegspunkt bei SAP in Sachen Sicherheit, war nur 21 Prozent der Befragten bekannt. Wohl auch deshalb, „weil es auf der SAP-Homepage sehr gut versteckt ist“, wie seinerzeit Andreas Kirchebner, Sprecher der DSAG-Arbeitsgruppe Cloud-Security, bemängelte.
Der SAP Security Analyst von Accenture war auch Podiumsgast in Leipzig und unterstrich dort nachdrücklich: „SAP-Security kann man nicht an Cloud-Provider outsourcen. Die Verantwortung und Steuerungspflichten verbleiben beim Kunden.“ Dieser könnte sich jedoch vertrauenswürdige Partner suchen und hätte dann zumindest mit operativen Aufgaben wie dem Security Patching nichts mehr zu tun.
SAP unterstützt Kunden bei NIS-2-Compliance
Ein Security-Dashboard hat SAP mittlerweile herausgebracht. Auch sonst, betonte Christian Behre, Senior Direktor Critical Infrastructure bei SAP, unterstütze der Konzern seine Kunden auf ihrem Weg zur NIS2-Compliance und sei beim Thema DORA (Digital Operational Resilience Act) ebenfalls vorn dabei, natürlich wegen der vielen Kunden im Finanzdienstleistungsbereich.
„Mit dem Cyber Resilience Act rennen wir bei uns im Vorstand offene Türen ein“, so der KRITIS-Officer. Gegenwärtig sei man dabei, Kontrollen weiter zu schärfen und auf das NIS-2-Framework auszurichten. Behre: „Dabei etablieren wir auch Angebote für Kunden, die besonderen Wert darauflegen, dass ihre Daten nur im Inland gehostet werden, wie Behörden oder Firmen aus der Rüstungsbranche. Stichwort Delos-Cloud für die öffentliche Verwaltung.“
Klares Verständnis für Cloud-Security schaffen
Dazu Jean-Claude Flury, DSAG-Vorstand Schweiz (übrigens sein letzter Auftritt in dieser Funktion!): „Anwenderunternehmen müssen sich in Security-Fragen auf die Hersteller verlassen können.“ Letztlich blieben die Kunden jedoch „ihres Security-Glückes Schmied“, so Oliver Villwock, stellvertretender Sprecher der DSAG-Arbeitsgruppe Cloud Security.
Um dabei erfolgreich zu sein, müssten sie verstehen, was hinter den einzelnen Punkten zur Cloud Security im SAP-Servicekatalog stecke. „Sie brauchen ein klares Verständnis dafür, was sie benötigen und fordern müssen. Um dies herzustellen, ist eine gemeinsame Sprache notwendig, die sich nicht in Details verliert.“
Villwock spielte auf einen sehr detaillierten Cloud-Security-Servicekatalog der SAP an, den nur wenige Kunden verstehen, bewerten und damit bedarfsgerecht beauftragen können.
Sie möchten informiert bleiben zu diesem Thema und monatlich eine Executive Summary aus der SAP-Community erhalten? Dann abonnieren Sie jetzt den IT-Onlinemagazin Newsletter.
Oliver Zendel, Fachbereichsleiter beim BSI, riet sogar dazu, jedes Unternehmen müsse wie eine Softwarefirma denken, um Chancen und Risiken abwägen zu können. SAP sei ein höchst individualisiertes Produkt. Um dessen Risiko bewerten zu können, bedürfe es eines guten Verständnisses möglicher Schäden und ihrer Eintrittswahrscheinlichkeiten. Deshalb seien Kooperation und das Teilen von Verantwortlichkeiten so immens wichtig.
Security in die frühe SAP-Migrationsphase einbauen
Eine dringende Warnung hatten dabei alle Podiumsgäste für das Publikum: Noch immer berücksichtigen viele Kunden das Thema SAP-Security viel zu spät in ihren Migrations- und Transformationsprojekten. Steckt man schon mittendrin, sei es jedoch sehr schwierig, die Sicherheit noch in den Projektplan einzubauen. Resultat sei ein „lift & shift“ aller Schwachstellen von der alten in die neue Umgebung – woran niemandem gelegen sein dürfte.
Fazit: Bessere Sicherheit, wenn Shared Responsibility gelebt wird
Die Verlagerung eines SAP-S/4HANA-Systems in die Cloud bringt zwar neue Herausforderungen für die Security mit sich, eröffnet aber auch Möglichkeiten für ihre Verbesserung durch moderne Cloud-Sicherheitsfeatures und Automatisierung. In der Regel dürfte die Infrastruktur beim Cloud-Provider besser gesichert sein als im eigenen Serverraum.
Auch bei RISE oder GROW verbleiben die Verantwortung und Steuerungspflichten für SAP-Security beim Kunden. Hierzu dürfte vielerorts erst noch neue Wissen zur Cloud-Security aufgebaut werden müssen.
Durch eine von beiden Seiten ernstgenommen Shared Responsibility kann das Risiko von Sicherheitsvorfällen und Datenverlusten verringert werden. Und: Sicherheit ist dann am ehesten gewährleistet, wenn dazu alle eng kommunizieren.