Komplexe und heterogen gewachsene IT-Landschaften, insbesondere großer Unternehmen, können sich oft anfällig für unautorisierte Drittzugriffe zeigen. Eine SAP-S/4HANA-Transition kann in solchen Fällen helfen, im Unternehmen wieder einheitlichere Strukturen zu etablieren, die Digitalisierung voranzutreiben und zudem das Cyber-Security-Konzept zu modernisieren. Wie thyssenkrupp Materials Services das gelungen ist, beschreibt Fachautor Bastian Schwengers.
Bedrohungslage für Unternehmen steigt
Nach Angaben des Branchenverbands bitkom rücken deutsche Unternehmen immer stärker ins Visier von Hackern. Stand August 2024 waren demnach 81 Prozent aller untersuchten Unternehmen in den letzten zwölf Monaten Opfer von Industriespionage, Datendiebstahl oder Sabotage. Der gesamtwirtschaftliche Schaden belief sich dabei auf fast 267 Milliarden Euro.
Auch thyssenkrupp Materials Services – mit einem Jahresumsatz von rund 13,6 Milliarden Euro, 380 Standorten und circa 16.000 Mitarbeitenden einer der weltweit größten werksunabhängigen Werkstoff-Händler und -Dienstleister – war sich dieser Gefahr bewusst. Daher entschloss sich das Unternehmen dazu, die 2021 begonnene Transition zu SAP S/4HANA mit einem Projekt für eine modernere Sicherheitsarchitektur zu verbinden, um so sein Security Level zu erhöhen.
Dr. Alexander Ziesemer, SAP Security Manager bei thyssenkrupp Materials Services (Foto), erklärt hierzu: „Durch die verstärkte Digitalisierung der letzten Jahre und die große Anzahl unterschiedlicher Standorte war bei uns eine sehr komplexe und heterogene IT-Architektur entstanden. Im Zuge der Transition zu SAP S/4HANA wollten wir daher die technische Infrastruktur von Redundanzen befreien und ein europaweit einheitliches SAP-Template mit Clean-Core einführen. Das bot zugleich die Möglichkeit, auch unser Sicherheitskonzept an die gestiegene Bedrohungslage anzupassen.“
Cyber Security by Design für umfassenden Schutz
Als Ausgangspunkt wählte der Werkstoff-Händler und -Dienstleister dafür den Security-by-Design-Ansatz, der dabei hilft, alle sicherheitsrelevanten Aspekte bei neuen Produkten, Systemen oder Architekturen bereits vor ihrer Einführung zu bedenken. Einen besonderen Schwerpunk bildet dabei üblicherweise die Entwicklungsphase, weil hier entstandene Konstruktionsfehler später oft nur noch unter großem Aufwand beseitigt werden können. Dr. Alexander Ziesemer: „Somit war der Neuentwurf unserer Systemlandschaft und die SAP-Transition der optimale Zeitpunkt, um den Security-by-Design-Ansatz zu wählen.“
Wenn Sie zu diesem und weiteren Themen aus der SAP-Community informiert bleiben möchten, abonnieren Sie jetzt den IT-Onlinemagazin Newsletter.
Operativ verlangte der Ansatz einiges von den Projektbeteiligten ab, beispielsweise eine enge Abstimmung von Security-Spezialistinnen und -Spezialisten und anderen Projektbeteiligten, damit möglichst viele Personen proaktiv auf potenzielle Sicherheitslücken hinweisen können. Dies erfordert gut organisierte Feedbackschleifen basierend auf DevSecOps-Methoden sowie umfassende Schulungen für alle Beteiligten (einschließlich der späteren Anwenderinnen und Anwender) zu potenziellen Sicherheitsrisiken. „Daher legten wir von Beginn an als Team mit unseren Partnern sehr großen Wert darauf, allen Projektmitarbeitenden Kenntnisse über typische Schwachstellen in IT-Architekturen zu vermitteln: etwa fehlende oder technisch veraltete End-to-End-Verschlüsselungen, unsauberer Software-Code oder auch eine nicht zielgerichtete Berechtigungsvergabe“, erläutert hierzu Dr. Alexander Ziesemer. Unterstützung erhielt das Projektteam dabei von der Management- und IT-Beratung MHP.
Zusatzaufwand, der sich dreifach lohnt
Das von thyssenkrupp Materials Services und MHP gemeinsam erarbeitete Vorgehen führte durch den Schulungsaufwand und den Aufbau der Feedback-Kanäle zwar zunächst zu zusätzlichem Aufwand, geht perspektivisch für das Unternehmen allerdings mit drei zentralen Vorteilen einher:
- Ein größeres Security-Bewusstsein im gesamten Unternehmen:
Die beim Security-by-Design-Konzept erforderlichen Schulungen tragen dazu bei, den Kenntnisstand zu dem Thema im Unternehmen zu erweitern. Es ist somit kein reines Expertenthema mehr, sondern diffundiert innerhalb der gesamten Organisation. Damit steigt auch die Einsicht für regelmäßige Updates und Patches, und das Risiko sinkt, dass Anwender sicherheitsrelevante Fehler begehen. - Nutzung der Schwarm-Intelligenz:
Da beim Security-by-Design-Ansatz viele Personen proaktiv nach möglichen Schwachstellen in der Sicherheitsarchitektur suchen, sinkt das Risiko, dass diese übersehen werden. - Langfristig niedrigere Kosten:
Dem zunächst höherem Aufwand stehen oft niedrigere Langzeitkosten gegenüber, da die Sicherheitsinfrastruktur speziell für die neue Systemumgebung entwickelt und nicht nachträglich übergestülpt wurde. Dadurch reduziert sich ferner das Risiko, dass das Unternehmen später in ein produktives System eingreifen muss. Umfangreiche Testprozesse stellen zudem sicher, dass die im Vorfeld implementierten Sicherheitsmaßnahmen in der Praxis tatsächlich funktionieren.
Aufbau der Sicherheitsarchitektur
Der Security-by-Design-Ansatz ist kein konkretes, technisches Konzept, sondern eher eine spezifische Herangehensweise: ein „Mindset“. Auf strategischer Ebene ging der Aufbau der neuen Sicherheitsarchitektur daher auch mit einer Neuordnung der IT-Compliance und -Governance-Regeln einher: Dazu arbeiteten MHP und thyssenkrupp Materials Services dort die neuesten sicherheitsbezogenen Vorgaben ein – unter anderem die Regeln der NIS2-Richlinie der Europäischen Union sowie aktuelle Empfehlungen von SAP.
Die IT-Compliance und -Governance-Vorgaben schaffen eine Richtschnur für das Security-Konzept. Zudem ist ihre Einhaltung notwendig für Vertragspartnerschaften mit anderen Unternehmen – und sorgt somit auch dort für hohe Sicherheitsstandards. Da diese Regeln jedoch langfristig gelten sollen, sind sie abstrakt formuliert – immerhin ändern sich Methoden, Technologien und Vorgehensweisen mit dem wissenschaftlich-technischen Fortschritt. So geben sie beispielsweise vor, dass sich Verschlüsselungsverfahren nach dem aktuellen Stand richten müssen, können diese aber nicht im Detail vorgeben. Was heute noch modern ist, kann morgen schon veraltet sein.
Secure Operations Map konkretisiert Vorgaben
Um die abstrakten Bestimmungen der Governance und Compliance inhaltlich zu ergänzen und die Vorgaben zu konkretisieren, nutzten die Projektpartner daher den SAP Standard Approach der Secure Operations Map. Dort definierten sie auch die derzeit aktuellen Standards. Dazu gehören unter anderem:
- das Zero-Trust-Prinzip: Dieses legt fest, dass alle Zugriffe auf eine Systemressource zunächst als Bedrohung angesehen und abgelehnt werden, bis eine entsprechende Berechtigung via Authentifizierung nachgewiesen wird. Um den Arbeitsalltag nicht unnötig zu verkomplizieren, erfolgt diese unter anderem anhand einer gerätebezogenen Allowlist.
- ein sauberes Berechtigungsmanagement und das „Need-to-know-Prinzip“: Das Berechtigungsmanagement sorgt dafür, dass Personen nur dann auf bestimmte Daten und Funktionen zurückgreifen können, wenn sie diese für ihre Arbeit benötigen („Need-to-know“-Prinzip). Dadurch sinkt die Gefahr von Datendiebstählen und Anwendungsfehlern durch unsachgemäße Nutzung. Außerdem hilft es thyssenkrupp Materials Services, wichtige Regelungen der Datenschutzgrundverordnung (DSGVO) umzusetzen.
- Verschlüsselung HTTPS by Default und Secure-Network-Communications (SNC): Für alle im Internet zugänglichen Funktionalitäten – etwa B2B-Handelsplattformen – ist ab sofort das Verschlüsselungs-Protokoll verpflichtend, um Man-in-the-Middle-Angriffe zu vermeiden.
- Authentifizierung: Für zusätzliche Sicherheit sorgt ferner der Ansatz der risikobasierten Authentifikation von Usern und Schnittstellen. Dieser integriert eine zertifikatsbasierte Anmeldung und bietet darüber hinaus Single-Sign-On- und Multi-Faktor-Authentifizierung (MFA). Zudem lassen sich so die Kommunikationspfade zwischen verschiedenen Client- und Serverkomponenten schützen.
Diese und weitere Vorgaben ergänzten MHP und thyssenkrupp Materials Services durch den Aufbau eines umfassenden Sicherheitsmonitorings. Dieses soll proaktiv möglicherweise übersehene Sicherheitslücken scannen sowie notwendige Updates und Patches in der gesamten SAP-Systemumgebung – bestehend aus SAP S/4HANA und der SAP Business Technology Platform (SAP BTP) – identifizieren. Ferner sollte es den Werkstoffspezialisten dabei unterstützen, bei entdeckten Cyberangriffen frühzeitig gegensteuern zu können. Das Monitoring wird die laufende Aktualisierung der Sicherheitsarchitektur institutionell und dauerhaft absichern.
Umsetzung via SAP S/4HANA und SAP BTP
Nachdem das Sicherheitskonzept samt Vorgehensweise und einzuhaltende Standards einmal feststand, begannen die Projektpartner, diese in der Praxis zu implementieren. Einerseits bezog sich dies auf diverse Anpassungen des neuen SAP-S/4HANA-Templates: Hier ging es vor allem um spezifische Einstellungen beim Customizing und Design des Templates.
Andererseits waren für das Sicherheitskonzept umfangreichere Anpassungen an der SAP BTP notwendig, mit dem der Stahldienstleister Drittsysteme an SAP anbindet und die daher im Anschluss an die SAP-S/4HANA-Transition eine tragende Rolle spielen wird: Daher sorgte das Projektteam dort mittels der SAP BTP Integration Suite für saubere Schnittstellen und implementierte ergänzend sichere Kommunikationstunnel und Verschlüsselungsverfahren für angebundene Drittsysteme. Für die Anwenderinnen und Anwender baute es zudem ein eindeutiges Berechtigungsmanagement auf, basierend auf vorher klar definierten Abgrenzungen der Global- und Sub-Account-Struktur. Zusätzlich unterstützte das Team, die SAP-BTP-Security-Empfehlungen der SAP im Cloud Service umzusetzen.
Vor Cybercrime bestmöglich geschützt
Nachdem MHP und thyssenkrupp Materials Services 2021 mit dem Projekt begannen, sind nun die ersten Pilotprojekte abgeschlossen und im Live-Betrieb. Das neue Template soll auf weitere Unternehmensteile und Standorte übertragen werden. Gemeinsam mit dem neuen SAP-Template hat damit auch das Sicherheitskonzept die erste Feuertaufe hinter sich. Wie in den vorherigen Testumgebungen hat es sich dabei im bisherigen Produktiveinsatz als ausgesprochen robust erwiesen. Nach drei Monaten Einsatz in der Praxis gab es noch keinen Sicherheitsvorfall. Sofern sich dies ändert, stehen mit dem nun stärker institutionalisierten Monitoring sofort Expertinnen und Experten bereit, die schnell und beherzt eingreifen können.
„Eine hundertprozentige Sicherheit gibt es in der IT nicht. Mit dem von MHP, weiteren Partnern und uns erarbeiteten Konzept nähern wir uns aber diesem Ziel so weit, wie es technisch möglich ist“, unterstreicht Dr. Alexander Ziesemer. Zugleich schaffe man so die nötigen Voraussetzungen dafür, diese Standards dauerhaft aufrechterhalten zu können: durch eine bessere Schulung der Mitarbeitenden, mehr Awareness und klare Verantwortlichkeiten für das Sicherheitscontrolling. „Wenn wir kontinuierlich so weiterarbeiten, dann sind wir gut gerüstet für die steigende Bedrohungslage durch Cyberangriffe“, ist der SAP Security Manager überzeugt.