SAP und IT-Sicherheit sind in der Regel zwei getrennte Welten. Dies hat angesichts der generell steigenden Gefahr für die IT-Sicherheit dazu geführt, dass viele Unternehmen Sicherheitsprojekte initiieren, die SAP-Welt aber ausklammern. Das ist heute nicht mehr akzeptabel, zumal SAP-Daten in der Regel unternehmenskritisch sind. Doch was ist der Grund für die unzureichende Berücksichtigung des Themas SAP-Sicherheit? Dafür gibt es mehrere Ursachen. So steht das Thema SAP-Security oftmals nicht auf der IT-Agenda des CISO, da es als zu komplex und sehr speziell eingestuft wird. Das zeigen Erfahrungswerte von NTT Com Security aus zahlreichen Projekten in den Bereichen Informationssicherheit und Risikomanagement. Zudem sind SAP-Abteilungen in der ­Regel eigenständige Einheiten, die ihre Unabhängigkeit bewahren wollen und sich teilweise gegen eine Einflussnahme der restlichen IT verschließen. Hinzu kommt, dass es in den SAP-IT-Abteilungen oft an dem erforderlichen Security-Know-how in der Breite fehlt.

SAP hat in der jüngsten Vergangenheit etliche Sicherheitsprodukte auf den Markt gebracht, im Präventivbereich etwa ‚SAP Single Sign-On‘ für den sicheren Zugriff auf SAP- und Nicht-SAP-Systeme oder ‚SAP Identity Management‘ für eine effiziente Benutzerverwaltung, ‚SAP Access Control‘ für eine regel- und gesetzeskonforme Berechtigungsvergabe oder den ‚Code Vulnera­bility Analyzer‘ für eine automatische und manuelle Quellcode-Prüfung. Zur Echtzeit-Identifikation von Angriffen und Betrugsversuchen hat SAP die ­Lösungen ‚SAP Enterprise Threat Detection‘ und ‚SAP Fraud Management‘ entwickelt. Allein die Verfügbarkeit ­dieser Tools heißt aber nicht, dass sie ­flächendeckend genutzt werden: ‚SAP Enterprise Threat Detection‘ etwa, das für die sicherheitsrelevante Auswertung und Analyse von Sicherheitsevents über die SAP-Systemlandschaft sorgt und auch für die Anbindung an traditionelle SIEM-Systeme konzipiert wurde, ist ­bisher bei vielen Unter­nehmen noch nicht im Einsatz.

Doch selbst wenn auf Unternehmensseite vereinzelt SAP-Sicherheitstools zum Einsatz kommen, so bleibt ein Problem dennoch bestehen: Mit einem Patchwork von Lösungen und Insellösungen bleiben die Systeme angreifbar. Oder anders ausgedrückt: Nur eine vollständig integrierte Sicherheitslösung bietet zuverlässigen Schutz. Ungeachtet dessen finden sich ineffiziente Sicherheits-Silos nach wie vor in vielen Unternehmen. Das hat auch eine aktuelle Studie von Dell ergeben, an der sich 175 deutsche Firmen beteiligten. Ein zentrales Ergebnis war hier, dass die IT-Sicherheit oft applikationsgebunden organisiert ist und in die Verantwortung unterschiedlicher Unternehmensabteilungen fällt. So verfügen auch nur 23 % der befragten Unter­nehmen überhaupt über eine zentrale IT-Sicherheitsabteilung, die auch die verteilte Applikations- und damit SAP-Landschaft inkludiert.

Getrennte Welten dominieren

Schematische Darstellung der Einbindung der SAP-Infrastruktur in ein IT-Sicherheits-Gesamtkonzept

© NTT Com Security

Dass oft zwei Welten dominieren, zeigt sich schon bei einem einfachen Thema wie der Benutzerverwaltung. Hier ist immer noch Status quo in vielen Unternehmen, dass die SAP-Umgebung von der restlichen IT getrennt ist und Berechtigungskonzepte nicht unternehmensweit umgesetzt werden. In fast ­allen Unternehmen ist heute der Verzeichnisdienst Microsoft Active Directory (AD) ein zentrales Element der gesamten Infrastruktur. Das AD übernimmt dabei vielfältige Aufgaben, die über die reine Verwaltung von Benutzerkonten weit hinausreichen und zum Beispiel auch die Authentifizierung und Autorisierung von nicht Windows-basierten Systemen wie Linux-Servern oder von Applikationen umfassen. Doch ein Bereich bleibt überraschenderweise oft ausgeklammert: die SAP-Infrastruktur.

Integration ist aber nur die eine Seite der Medaille, ebenso wichtig ist die Beseitigung vorhandener Sicherheitslücken – und die sind in der SAP-Welt häufig vorzufinden. Sie betreffen etwa das Fehlen einer

• Aktivierung der Verschlüsselung,
• Trennung der administrativen Berechtigungen,
• Segmentierung von Frontend und ­Backend sowie
• Patch-Management-Strategie.

Ein zentrales Problem ist zudem, dass gerade im SAP-Umfeld Zugriffsberechtigungskonzepte und Change-Management-Verfahren häufig nur anwenderbezogen umgesetzt werden – und nicht aus Security-Sicht. Die Herausforderungen liegen also auf der Hand, und auch SAP selbst greift das Thema Security im Rahmen mehrerer Initiativen zunehmend auf.

Sequenzielle Vorgehensweise ist anzuraten

Ein wirksamer Cyber-Defense-Ansatz basiert auf den vier Eckpfeilern Prävention, Erkennung, Abwehr und Reaktion.

© NTT Com Security

Zuverlässig kann die Cyber-Bedrohung für SAP-Anwendungen nur durch ihre Einbindung in die Gesamtsicherheitsstrategie eines Unternehmens gebannt werden. Das heißt, es ist von elementarer Bedeutung, dass auch die SAP-Welt im Rahmen von Sicherheitsprojekten und bei der Implementierung einer ganzheitlichen Cyber-Defense-Strategie Berücksichtigung findet.

Bei der Umsetzung einer solchen Strategie sollte eine sequenzielle Vorgehensweise gewählt werden. Ausgangspunkt ist die Analyse und Risikoprofil-Erstellung der IT-Landschaft einschließlich der SAP-Umgebung, die Tool-Einführung steht erst am Ende der Prozesskette. Bei der Risikobewertung (Risk Insight) geht es um die Klassifizierung aller schützenswerten Prozesse und Daten – natürlich auch innerhalb der SAP-Welt. Hierauf müssen dann alle weiteren Maßnahmen im Rahmen einer durchgängigen Cyber-Defense-Strategie aufbauen. Kern-Elemente sind hierbei die vier zentralen Eckpfeiler Prävention, Erkennung, Abwehr und Reaktion.

Im Bereich Prävention geht es zum einen um das Infrastruktur- und Netzwerk-Management auf Unternehmensseite, mit klassischen Sicherungsmaßnahmen wie einem Perimeter-Schutz mit E-Mail-Gateways inklusive Spam- und Malware-Filter, Next-Generation-Firewalls, VPN-Systemen oder dyna­mischen Sandboxing-Lösungen. Zum anderen müssen hier aber auch die ­unternehmenskritischen (SAP-)Business-Applikationen und Daten selbst verstärkt ins Blickfeld rücken und entsprechend gesichert werden.

Nächster Schritt ist die Erkennung, das heißt eine umfassende Sicherheitsanalyse mit der Auswertung von Echtzeitdaten und einem proaktiven Monitoring. Eine effiziente Überwachung erstreckt sich dabei nicht nur auf Systemlogs und -warnungen, sondern beinhaltet zum Beispiel auch Verhaltens­analysen der IT-Umgebung eines Unternehmens, mit der ungewöhnliche Prozesse aufgedeckt werden können.

Unverzichtbarer Bestandteil einer umfassenden Sicherheitslösung ist die Nutzung von Früherkennungssystemen. Es liegt auf der Hand, dass ein Unternehmen einen umfassenden Schutz vor Cyber-Angriffen kaum völlig autark realisieren kann, da zum einen die Bedrohungslage zu heterogen und vor allem auch zu dynamisch und zum anderen der Kostenaufwand zu hoch ist. An diesem Punkt kommen SOC (Security Operations ­Centers) von Managed-Security-Services (MSS)-Anbietern als proaktive Abwehrzentren für Unternehmen ins Spiel.

Nicht zuletzt sollte ein Unternehmen auch auf den Ernstfall – einen sogenannten Incident – vorbereitet sein, denn eine 100%ige Absicherung dürfte eine Utopie bleiben. Das heißt, es muss ein Incident-Response-Verfahren etabliert sein, das im Gefahrenfall ab­gerufen werden kann und mit dem ein ungewollter Datenabfluss unterbunden wird.

Eines sollte klar sein: Hacker unterscheiden nicht zwischen SAP-An­wendungen und der allgemeinen IT. Wichtig bei der Umsetzung einer Cyber-Defense-Strategie ist somit der ganzheitliche Ansatz, der die Überwachung und Absicherung der SAP-In­frastruktur als wichtigen Erfolgsfaktor integriert. Nur mit einem solch ­umfassenden Konzept kann ein SAP-Anwender heute eine maximale IT- und Informationssicherheit realisieren.

Autoren:
Kai Grunwitz ist Senior Vice President Central Europe bei NTT Com Security;
Patrick Schraut ist Director Consulting & GRC bei NTT Com Security.