Was SAP-Kunden 2024 zur SAP-Security planen

45 Prozent der SAP-Systeme sind wahrscheinlich nicht ausreichend geschützt, nur 40 Prozent der Unternehmen sehen sich gewappnet, um bei einem Angriff auf SAP schnell reagieren und geschäftsfähig bleiben zu können – ein wesentlicher Grund, weshalb die Investitionen in Sicherheit weiter ansteigen, vor allem in den Bereichen Monitoring, Angriffserkennung, Vulnerability- und Patchmanagement sowie bei der Einbindung der SAP- in die IT-Security.

Das sind einige Ergebnisse der SAP-Community-Umfrage 2024 im deutschsprachigen Raum, die das IT-Onlinemagazin in Kooperation mit Pathlock Deutschland zur SAP-Security durchgeführt hat. 141 Teilnehmende antworteten und die Ergebnisse bestätigen den Trend der Vorjahre: SAP-Kunden stellen sich auf noch häufigere und gefährlichere Cyber-Attacken als bisher ein. Ein Grund: Hybride SAP-/Non-SAP-Landschaften und die weitere steigende Komplexität der IT-Systeme lassen Kriminellen viele Einfallstore.

 

Hybride IT-Landschaften dominieren bei SAP-Kunden

Wir fragten, wie es um das Verhältnis zwischen lokal betriebener und Cloud-basierter Software in den Unternehmen steht: 85 Prozent der Teilnehmenden gaben an, in den kommenden zwölf Monaten SAP-On-Premises-Lösungen im Einsatz zu haben, 31 Prozent setzen bereits Private-, 27 Prozent Public-Cloud-Lösungen ein. Mindestens jedes zweite Unternehmen hat zudem auch Business-Lösungen anderer Anbieter im Einsatz.

In hybriden IT-Landschaften erhöht sich die Zahl der Schnittstellen, Anbieter und Betreibermodelle und die Komplexität weiter. Moderne Sicherheitsarchitekturen dürfen keine blinden Flecken aufweisen, nur weil unterschiedliche Anbieter im Einsatz sind.

Ralf-Kempf„Um die Sicherheit eines Unternehmens vor dem Hintergrund wachsender Systemlandschaften zu gewährleisten, muss die Unternehmens-IT ganzheitlich betrachtet werden. Die Rechnung ist simple: Je mehr Schnittstellen es gibt, desto größer wird die Zahl potenzieller Einfallstore für Manipulationen und Hackerangriffe“, kommentiert Ralf Kempf, Geschäftsführer Pathlock Deutschland.

 

Ganzheitliches Verständnis für Cybersecurity fehlt

Unsere Frage war zwar etwas gemein, doch zeigen die Antworten, dass der Weg zur durchgängigen Sicherheitsarchitektur und einem ganzheitlichen Sicherheitsverständnis noch weit ist: Denn alle fünf Komponenten müssten gleichermaßen berücksichtigt werden. Netzwerk- und Infrastruktursicherheit steht bei der Cybersecurity der SAP-Anwenderunternehmen hoch im Kurs. 77 Prozent sehen Applikationssicherheit als relevant an, gefolgt von organisatorischen Maßnahmen (65 Prozent), Endpoint-Sicherheit (64 Prozent) und SAP-Berechtigungen (63 Prozent).

 

Häufigere und gefährlichere Angriffe durch KI

Die Häufigkeit von Cyberangriffen wird weiter zunehmen, davon sind 93 Prozent der Befragten überzeugt. 81 Prozent glauben, dass KI die Angriffe zudem noch gefährlicher machen wird, sechs Prozent musste sogar innerhalb der letzten zwölf Monate einen Angriff über sich ergehen lassen. Dass die eigenen SAP-Systeme dagegen nicht ausreichend geschützt sind, davon sind 45 Prozent der befragten Unternehmen überzeugt. Gleichwohl haben 24 Prozent die Wichtigkeit von SAP-Security immer noch nicht erkannt.

„Rund ein Viertel der befragten Unternehmen wähnen sich offensichtlich noch in Sicherheit — ohne zusätzliche SAP-Security-Maßnahmen. Wie lange das noch so bleibt, ist fraglich, betrachtet man die mögliche Tragweite eines Angriffs auf das SAP-System als Rückgrat eines Unternehmens“, meint Maike Rose (IT-Onlinemagazin).

Ihre Fähigkeit, im Falle eines Cyber-Angriffes auf die SAP-Systeme schnell zu reagieren, um geschäftsfähig zu bleiben, schätzen nur zehn Prozent der Befragten als sehr gut ein. 29 Prozent sehen sich gut vorbereitet, 54 Prozent halten sich für verbesserungswürdig, sieben Prozent sogar für stark verbesserungswürdig. „Diese Zahlen erstaunen uns nicht, vielmehr spiegelt sie eins zu eins unsere Erfahrungen aus dem Tagesgeschäft wider. Angesichts steigender Bedrohungslagen wird immer mehr bewusst, dass es oft an elementaren Grundlagen der SAP-Security fehlt“, so Ralf Kempf.

Maßnahmen tun also not. Wir wollten wissen, in welchen Bereichen die Unternehmen besonders aktiv sind:

 

Investitionen in SAP-Sicherheit 2024

Monitoring und Angriffserkennung (Threat detection) stehen bei 61 Prozent der Befragten an erster Stelle; bei unserer Vorjahresumfrage waren es nur 55 Prozent. Für 53 Prozent sind Vulnerability- und Patchmanagement am wichtigsten (22/23: 49 Prozent). Die SAP-Security in IT-Security einzubinden (z.B. durch SIEM-Integration), rücken 52 Prozent ins Zentrum ihrer Anstrengungen und damit etwas weniger als im Vorjahr, wo dieser Posten mit 56 Prozent auf Platz 1 stand.

Wichtig sind für SAP-Kunden außerdem das Erarbeiten einer Security-Strategie (46 Prozent), die Modernisierung ihres Berechtigungswesens, z.B. durch Zugriffskontrollen (46 Prozent) sowie Transportkontrollen (26 Prozent).

 

Wenn Sie zu Trends und Innovationen aus der SAP-Community informiert bleiben möchten, abonnieren Sie jetzt den IT-Onlinemagazin Newsletter.

 

Orientierungshilfen zur SAP-Cybersecurity

Der DSAG-Prüfleitfaden und die BSI-Standards werden vorrangig als Richtlinien zur Verbesserung der SAP-Security genutzt. Das IT-Sicherheitsgesetz, KRITIS-Anforderungen und das NIST Cybersecurity kommen bei rund jedem dritten Unternehmen zum Einsatz.

„All diese Regulatorien bilden einen klaren Rahmen für die SAP-Sicherheit. Interessanterweise scheinen die SAP-Security-Baseline-Empfehlungen in der Praxis wenig bekannt zu sein. Dabei gehen diese teilweise weiter als der DSAG-Prüfleitfaden. Schlussendlich ist es aber weniger relevant, welcher Ansatz genutzt wird – Hauptsache, es wird gehandelt“, erklärt Ralf Kempf.

 

Große Komplexität bei der SAP-Security

78 Prozent der von uns befragten Unternehmen glauben, das in der Komplexität der IT-Systeme eine besonders große Herausforderung für die Security liegt. 63 Prozent zählen daher SAP-Security zu einem wichtigen Bestandteil ihrer IT-Security.

Hier jedoch fehle in vielen Fällen (41 Prozent) das interne Know-how – 26 Prozent der Befragten machen die Erfahrung, dass externe Beratung schwer zu bekommen sei. Eine ganzheitliche SAP-Security-Lösung haben 17 Prozent im Einsatz. Bei knapp einem Drittel reicht zudem das Budget für SAP-Security nicht aus, um die gesteckten Ziele zu erreichen.

Helge-Sanden-IT-Onlinemagazin„SAP-Security scheint eher nicht an Budgets zu scheitern, sondern an der Komplexität und dem fehlenden Knowhow — auch an den richtigen Stellschrauben zu drehen. Wenn 45 Prozent der SAP-Systeme wahrscheinlich nicht ausreichend geschützt sind, besteht Handlungsdruck“, kommentiert Helge Sanden (IT-Onlinemagazin).

Ralf Kempf ergänzt: „Die Überwachung der gesamten Risikosituation wird zur Herausforderung. Viele Firmen vernachlässigen dabei grundlegende Sicherheitsmaßnahmen, wie beispielsweise eine effektive Firewall zwischen PC und SAP-Segment. Dass ein Drittel der Unternehmen die Bedeutung von SAP-Security unterschätzt und 80 Prozent keine umfassende Lösung implementiert haben, ist besorgniserregend. Dadurch geraten wichtige Systeme aus dem Fokus und werden anfällig für Cyber-Angriffe.“

 

Fazit: SAP-Security 2024

„Es ist nie zu spät, die SAP-Sicherheit ganz oben auf die Agenda zu setzen“, resümiert Ralf Kempf von Pathlock, und ergänzt: „So viele Firmen agieren angesichts der rasant wachsenden Komplexität im Blindflug – und lassen dabei die grundlegendsten Sicherheitsmaßnahmen vermissen. Faktoren wie KI oder Cloud sind absolut nachrangig zu betrachten, solange die Themen Sicherheit und Überwachung nicht fachlich abgedeckt werden können.

Meine Empfehlungen lauten: Betrachten Sie Ihre Unternehmens-IT ganzheitlich und machen Sie SAP-Security zu einem festen Bestandteil Ihrer Gesamtstrategie. Beziehen Sie alle Verantwortlichen mit ein und sorgen Sie umgehend für ein kontinuierliches und zeitnahes Monitoring Ihrer SAP-Landschaften. Dann werden Sie es sein, die den Hackern das Leben schwer machen.“

12-Handlungsempfehlungen-Pathlock

 

 

SAP-Sicherheit Status Quo 2024

  • SAP-Anwenderunternehmen rechnen 2024 mit weiter steigender Häufigkeit und Gefährlichkeit von Cyberangriffen.
  • Begünstigt werden diese durch die Komplexität der IT-Systeme und hybride SAP-/Non-SAP-Landschaften – für viele eine der wesentlichen Herausforderungen zur Verbesserung der IT-Security.
  • Über 60 Prozent sehen bei sich Verbesserungsbedarf, um beim Angriff auf SAP schnell reagieren und geschäftsfähig bleiben zu können.
  • Investiert wird hauptsächlich in Monitoring und Angriffserkennung, Vulnerability- und Patchmanagement sowie die Einbindung der SAP-Security in die IT-Security.
  • Fehlendes internes Knowhow erschwert die Auftraggeberfähigkeit zur Verbesserung der SAP-Cybersecurity.

IT-Onlinemagazin SAP-Community-Umfrage 2024 (n=141)

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Anzeige

Anzeige

Das IT-Onlinemagazin ist Medienpartner der Transformation World 2024

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

Martin Scharmach

Drängt SAP die Kunden ohne klaren Fahrplan in die Cloud?

Seit SAP angekündigt hat, ein reiner Cloud-Konzern werden zu wollen, gibt es auch immer wieder …