Schwerpunkte

IT-Sicherheit

Die ERP-Welt nicht ausklammern

07. Juli 2016, 14:14 Uhr   |  Kai Grunwitz, Patrick Schraut

Die ERP-Welt nicht ausklammern
© Bild: Computer&AUTOMATION, Quellen: Fotolia, James Thew/_bas121; Wikipedia

Unternehmen räumen zwar dem Thema IT-Sicherheit höchste Priorität ein, die SAP-Welt lassen sie dabei aber überraschenderweise oft unberücksichtigt. Heutigen Anforderungen wird dieses Vorgehen nicht mehr gerecht.

SAP und IT-Sicherheit sind in der Regel zwei getrennte Welten. Dies hat angesichts der generell steigenden Gefahr für die IT-Sicherheit dazu geführt, dass viele Unternehmen Sicherheitsprojekte initiieren, die SAP-Welt aber ausklammern. Das ist heute nicht mehr akzeptabel, zumal SAP-Daten in der Regel unternehmenskritisch sind. Doch was ist der Grund für die unzureichende Berücksichtigung des Themas SAP-Sicherheit? Dafür gibt es mehrere Ursachen. So steht das Thema SAP-Security oftmals nicht auf der IT-Agenda des CISO, da es als zu komplex und sehr speziell eingestuft wird. Das zeigen Erfahrungswerte von NTT Com Security aus zahlreichen Projekten in den Bereichen Informationssicherheit und Risikomanagement. Zudem sind SAP-Abteilungen in der ­Regel eigenständige Einheiten, die ihre Unabhängigkeit bewahren wollen und sich teilweise gegen eine Einflussnahme der restlichen IT verschließen. Hinzu kommt, dass es in den SAP-IT-Abteilungen oft an dem erforderlichen Security-Know-how in der Breite fehlt.

SAP hat in der jüngsten Vergangenheit etliche Sicherheitsprodukte auf den Markt gebracht, im Präventivbereich etwa ‚SAP Single Sign-On‘ für den sicheren Zugriff auf SAP- und Nicht-SAP-Systeme oder ‚SAP Identity Management‘ für eine effiziente Benutzerverwaltung, ‚SAP Access Control‘ für eine regel- und gesetzeskonforme Berechtigungsvergabe oder den ‚Code Vulnera­bility Analyzer‘ für eine automatische und manuelle Quellcode-Prüfung. Zur Echtzeit-Identifikation von Angriffen und Betrugsversuchen hat SAP die ­Lösungen ‚SAP Enterprise Threat Detection‘ und ‚SAP Fraud Management‘ entwickelt. Allein die Verfügbarkeit ­dieser Tools heißt aber nicht, dass sie ­flächendeckend genutzt werden: ‚SAP Enterprise Threat Detection‘ etwa, das für die sicherheitsrelevante Auswertung und Analyse von Sicherheitsevents über die SAP-Systemlandschaft sorgt und auch für die Anbindung an traditionelle SIEM-Systeme konzipiert wurde, ist ­bisher bei vielen Unter­nehmen noch nicht im Einsatz.

Doch selbst wenn auf Unternehmensseite vereinzelt SAP-Sicherheitstools zum Einsatz kommen, so bleibt ein Problem dennoch bestehen: Mit einem Patchwork von Lösungen und Insellösungen bleiben die Systeme angreifbar. Oder anders ausgedrückt: Nur eine vollständig integrierte Sicherheitslösung bietet zuverlässigen Schutz. Ungeachtet dessen finden sich ineffiziente Sicherheits-Silos nach wie vor in vielen Unternehmen. Das hat auch eine aktuelle Studie von Dell ergeben, an der sich 175 deutsche Firmen beteiligten. Ein zentrales Ergebnis war hier, dass die IT-Sicherheit oft applikationsgebunden organisiert ist und in die Verantwortung unterschiedlicher Unternehmensabteilungen fällt. So verfügen auch nur 23 % der befragten Unter­nehmen überhaupt über eine zentrale IT-Sicherheitsabteilung, die auch die verteilte Applikations- und damit SAP-Landschaft inkludiert.

Seite 1 von 3

1. Die ERP-Welt nicht ausklammern
2. Getrennte Welten dominieren
3. Sequenzielle Vorgehensweise ist anzuraten

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

NTT Com Security (Germany) GmbH, SAP AG, SAP Deutschland AG & Co. KG