Vier Handlungsfelder für ganzheitliche SAP-Sicherheit

Fast jeden Tag wird über einen Hacker-Angriff auf Unternehmen berichtet, oft sind diese sogar erfolgreich – und der Schaden beträchtlich. Auch SAP-Systeme sind in diesem Zusammenhang potenzielle und reale Angriffsziele. Leider wird viel zu wenig darüber gesprochen, ob und welche Systeme von den Angriffen betroffen waren — und so bleibt mangels öffentlicher Evidenz oftmals unklar, ob SAP-Systeme betroffen sind.

Von Christoph Nagy (Geschäftsführer | SecurityBridge) wollte ich wissen, welche Entwicklungen und Trends er bei Angriffen auf IT- und SAP-Systeme beobachtet, wie man sich schützen kann, wann er zur Soforthilfe gerufen wird und was man tun kann, wenn man einen Angriff feststellt.

Christoph Nagy ist Gast eines Expert-Talks zur IT-Onlinekonferenz 2021 am 25.03. beim Thementag „SAP-Sicherheit“ und erläutert am Beispiel von Sanofi, warum man einen ganzheitlichen Ansatz zum Schutz der geschäftskritischen Systeme verfolgen sollte und wie Lösungen wie die SecurityBridge-Plattform dabei unterstützen können.

 

Herr Nagy, welche Trends beobachten Sie bei Angriffen auf IT- und SAP-Systeme?

Christoph NagyChristoph Nagy: Cybersicherheit hat, genau wie die Digitalisierung im Allgemeinen, einige Anlaufschwierigkeiten. Beide Bereiche haben jedoch, vermutlich auch wegen der Pandemie, in Deutschland stark an Fahrt aufgenommen. Die grundsätzliche Haltung gegenüber IT-Sicherheit und Digitalisierung hat sich dahingehend gewandelt, dass die Unternehmen diese nun als Voraussetzung beziehungsweise Grundlage für zukünftige Geschäftsmodelle erkennen.

Im Bereich SAP habe ich lange beobachtet, dass Unternehmen sich auf einzelne Aspekte fokussiert, aber keinen übergreifenden und integrierten Ansatz verfolgt haben. Dabei hat sich die SAP-Basis-Abteilung um die Konfiguration von Systemen und damit auch sicherheitsrelevante Einstellungen gekümmert. Die Entwicklung hat munter, dem Wunsch der Fachbereiche gemäß, unternehmensspezifische Programmierungen durchgeführt. Und bei einem lange geplanten Systemupgrade wurden manchmal auch Sicherheitskorrekturen (Patches) eingespielt. Dies scheint sich nun zu ändern.

Wenn ich einen Trend für SAP-Security beschreiben müsste, würde ich diese Entwicklung hervorheben: Einige große Konzerne haben, oder planen derzeit die SAP- Sicherheitsverantwortung nicht mehr im SAP-Kompetenz-Center zu belassen, sondern diese möglichst nahe an die IT-Sicherheitsabteilung anzuschließen. Dies bedingt, dass etablierte Prozesse hinterfragt und unter den Aspekten der Sicherheitssteigerung neu implementiert werden.

Ein Beispiel dieser Tendenz ist die steigende Nachfrage der Überwachung der SAP-System durch zentralisierte Überwachungslösungen. Auch im Rahmen von Security Operation Centern.

Das ist eine durchwegs positive Entwicklung und entspricht auch der Kernbotschaft unseres Unternehmens. Wir stehen dafür ein, die Lücke zwischen der kritischen SAP-Applikation und IT-Sicherheit zu schließen: SecurityBridge

 

Welche Fehleinschätzungen beobachten Sie in Unternehmen?

Obwohl die breite Öffentlichkeit die Themen Cybersicherheit, Hackerangriffe und Datendiebstahl bereits täglich in den Medien hört, wird meiner Meinung nach immer noch zu wenig getan, um speziell die SAP-Systeme zu schützen.

Man darf nicht vergessen, dass die SAP-Systeme im Unternehmen zur Verarbeitung von geschäftskritischen Prozessen betrieben werden. Das bedeutet, dass sobald die Funktionsfähigkeit, die Integrität oder gespeicherten Daten durch einen Cyberangriff betroffen sind, ein desaströser Schaden für das Unternehmen entsteht. Das Spektrum reicht von Reputationsschaden bis hin zum Ausfall von Umsätzen, aber seit DSGVO auch gewichtigen Strafen bei Fehlverhalten.

Ich vermute hinter dem „Nichts-tun“, dass entweder die Gefahr noch immer unterschätzt wird oder viel wahrscheinlicher, dass die Unternehmen noch keinen durchführbaren Lösungsansatz gefunden haben.

Denn wenn ein Unternehmen sich diesem Thema annimmt, begibt es sich auf eine Reise, die voller Stolperfallen ist. Im schlimmsten Fall führt dies zum Scheiten, oder nur teilweise implementierter Sicherheit.

 

Welchen Einfluss hat die steigende Komplexität der IT-Landschaften auf die Sicherheit?

Leider droht bei wachsender Komplexität auch der Kontrollverlust. Das ist natürlich ein Zustand, welcher dem Angreifer zugutekommt. Dieser nutzt den Zustand schamlos aus, um offene Hintertüren zu verwenden und schlecht gesicherte Ziele anzugreifen.

Selbst vermeintlich einfache Angriffsmethoden können in hochkomplexen IT-Landschaften nur schwer erkannt werden. Grund für einen „chaotischen“ Anstieg der Komplexität ist rapides Wachstum, oder die Notwendigkeit, dass Unternehmen sich schneller an eine neue Herausforderung anpassen.

Letzteres mussten bekanntlich Unternehmen in den vergangenen zwölf Monaten tun. Noch heute arbeiten Mitarbeiter in ungesicherten Heimnetzwerken — anfangs teilweise mittels „Bring your own device“ — mit den kritischen Unternehmensanwendungen, um den Geschäftsprozess fortführen zu können.

 

Wie kann man seine SAP-Landschaften so schützen, dass Aufwand und Nutzen im Einklang stehen?

Die Aufwand-Nutzen Relation zu bewerten, ist sehr individuell und hängt auch vom Risiko-Appetit des jeweiligen Unternehmens ab. Grundsätzlich helfen Automation und Transparenz, um den Wirkungsgrad und natürlich den damit verbundenen Aufwand zu verringern. Am Beispiel der Auswertung eines erkannten Angriffs kann dies sehr schön veranschaulicht werden.

Normalerweise werden nach einem Angriff durch manuelle Recherchen die Beweise zusammengetragen, um den Angriffsvorgang nachvollziehen zu können: Man muss also beispielsweise betroffene Datensätze, Log-Einträge, Änderungsbelege, Schadcode und vieles mehr in der Regel mühsam einzusammeln.

Hat man Systeme im Einsatz, die diese Daten automatisch proaktiv für eine später gegebenenfalls notwendige forensische Analyse sichern, muss man sich überhaupt nicht mehr darum kümmern und kann schneller mit der Forensik beginnen.

 

Wann klingelt bei Ihnen das Telefon, wann werden Sie zu Notfalleinsätzen gerufen?

Glücklicherweise kümmern sich unsere Kunden — dank unserer Sicherheitswerkzeuge für SAP — selbstständig um die Erkennung und Behandlung von Sicherheitsvorfällen. Natürlich werden wir hin und wieder bei Spezialfragen zu Rate gezogen.

 

Wie gehen Sie vor, wenn Sie einen Angriffsversuch erkennen?

Wird der Versuch eines Angriffs auf ein SAP-System entdeckt, ist das großartig: Denn dann kann noch reagiert werden. Die Reaktion muss zeitnah und wirksam erfolgen. In so einem Moment ist die Verlockung all zu groß, einfach sprichwörtlich den Stecker zu ziehen. Das wäre aber ein Fehler! Insbesondere dann, wenn eine Überwachung existiert.

Daher empfiehlt es sich, einem klar definierten Ablaufplan zu folgen, der das Ziel verfolgt die existierenden Werkzeuge möglichst effizient zum Einsatz zu bringen, um das Einfalltor und den Angreifer zu identifizieren. Im besten Fall gelingt es sogar, den Angreifer unbemerkt zu überwachen — und so möglichst viele Informationen über den Opponenten sammeln zu können. Je nach Art und Schweregrad eines Vorfalls, sollte im „Incident Response Plan“ auch die interne und externe Kommunikation des Vorfalls geregelt sein.

Die Realität sieht oft so aus, dass der Angriffsversuch und selbst der erfolgreiche Angriff unentdeckt bleiben. Dies wurde durch zahlreiche Studien untermauert. Leider gibt es nicht wenige Fälle, bei denen die Unternehmen aus den Nachrichten über einen erfolgten Angriff informiert wurden.

Wenn der Angriff bereits erfolgt ist, muss natürlich ähnlich akribisch damit umgegangen werden. In diesem Fall geht es primär um die Analyse und Auswertung, um die Auswirkung zu verstehen und die genutzte Schwachstelle identifizieren und schließen zu können.

 

Was erfahren wir von Ihnen bei der IT-Onlinekonferenz 2021?

Ich zeige an Kundenbeispielen, wie einfach ein ganzheitlicher Sicherheitsansatz für SAP erreicht werden kann. Viele haben dies bisher aufgrund von Aufwand und Kosten gescheut.

Das Besondere an unserem Lösungsansatz ist, dass keine zusätzlichen Systeme oder Hardware notwendig sind und die verwendete und akzeptierte SAP-Technologie erweitert wird.

Wenn wir unterstellen, dass ein Angriff auf die SAP-Systeme eines Unternehmens wahrscheinlich und mit hohem Schaden verbunden ist, empfehlen wir diese drei Angriffsvektoren für SAP zu bearbeiten:

  1. Konfigurationsschwachstellen
  2. Bekannte Schwachstellen in der Standardsoftware
  3. Schwachstellen in der Kundenentwicklung

Leider bleibt trotzdem ein Restrisiko, das nur durch eine effektive und transparente Überwachung verringert werden kann. Deshalb empfehle ich die Kombination aus allen vier Punkten. Hier registrieren …

 

Was wird 2021 das dominierende Thema bei der SAP-Sicherheit?

Ganzheitliche Sicherheit.

 

Vielen Dank für das Gespräch.

Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.

 

Ausführliche Informationen bei der IT-Onlinekonferenz 2021:

Christoph Nagy berichtet über dieses Thema bei der #ITOK21 live (22.03. – 25.03.) oder als Aufzeichnung verfolgen und eigene Fragen an die Experten stellen.

Bei der IT-Onlinekonferenz geben IT-Entscheider vier Tage lang Erfahrungsberichte, wie sie sich auf die SAP-Zukunft vorbereiten, die IT-Automatisierung, die Cloud-Transformation, das Management hybrider Multi-Cloud-Umgebungen und den S/4HANA-Umstieg meistern. Der 25. März gehört ausschließlich den Verbesserungsmöglichkeiten der SAP-Sicherheit. Zusätzlich gibt es vielfältige Interaktions- und Networking-Möglichkeiten.

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Anzeige

Anzeige

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

Christoph mobisys

SAP EWM-Prozesse: Usability am mobilen Scanner entscheidend

Die Einfachheit einer Anwendung ist ausschlaggebend für die Akzeptanz bei den Nutzern. „Mit dem RF-Framework …