Herausforderungen an die SAP®-Security und wie Sie am besten damit umgehen

SAP® ist das meistgenutzte ERP-System weltweit. Viele Unternehmen haben damit ihre Kernbereiche vernetzt und individuell gewachsene und konfigurierte SAP-Landschaften kreiert.

Unternehmensseitig besteht großer Bedarf an SAP-Sicherheit, der in der Regel nur schwer abgedeckt werden kann: Es gibt – zumindest derzeit noch – zu wenige SAP-Security-Experten für die große Bandbreite an individuellen Unternehmenslösungen. Aber auch verschiedene Verantwortlichkeiten sowie unterschiedliche Anforderungen ans System stellen ein Sicherheitsproblem dar: SAP-Administratoren, Security-Verantwortliche der Unternehmen sowie die Geschäftsleitung setzen in der Regel jeweils andere Prioritäten. Oft werden daher bei der Sicherheit Kompromisse eingegangen, die dem Unternehmen später teuer zu stehen kommen können.

Es gibt vier zentrale Herausforderungen bei der Etablierung entsprechender SAP® -Security:

  1. SAP-Lösungen sind komplex und verbinden verschiedenste Bausteine mit völlig unterschiedlichen Funktionen, Services, Protokollen und Zugriffskontrollsystemen.
  2. In SAP wird zumeist das gesamte Unternehmen abgebildet. Angriffe, aber auch Konfigurationsfehler können somit existenzbedrohend sein.
  3. Jedes Unternehmen benötigt eine individuelle Lösung, daher sind Anpassungen essenzieller Teil einer SAP-Implementierung. Viele eigens dafür erstellte Programme bieten aber entsprechend viele Möglichkeiten für einen Angriff.
  4. Die SAP-Welt war bis jetzt ziemlich geschlossen – daher gibt es viel zu wenige Sicherheitsexperten, die der Nachfrage entsprechend auch teuer sind.

SAP® -Security durch Risikoanalyse

Security for SAP® Services bietet eine Möglichkeit, die Vertraulichkeit, Integrität und Verfügbarkeit von SAP-Systemen sicherstellen soll. Ein risiko-basiertes Vorgehen ist bei einer komplexen Ausgangslage ein Muss. Nach dem Pareto-Prinzip sollten hier mit priorisierten und gezielten Maßnahmen die effektivsten Ergebnisse erreicht werden. Allerdings muss vorher geklärt werden, wie Threat-Szenarien aussehen könnten, wie wahrscheinlich diese sind und was die „Kronjuwelen“ des Unternehmens sind, um im nächsten Schritt zu analysieren, welche Maßnahmen den höchsten Nutzen bringen sollten.

Ein risiko-basiertes Vorgehen ist bei dieser komplexen Ausgangslage ein Muss. Nach dem Pareto-Prinzip sollten hier mit priorisierten und gezielten Maßnahmen die effektivsten Ergebnisse erreicht werden.
Khalil Bijjou, Head of Security for SAP Services, SEC Consult

Erst wenn eruiert wurde, wo die kritischsten Interfaces liegen, wo die kritischsten Daten verarbeitet werden, auf welchen Wegen auf das SAP-System zugegriffen werden kann, wo es Schnittstellen gibt, etc. ist der nächste Schritt möglich.

Beispielsweise kann für die Risikoanalyse von folgenden drei Threat-Szenarien ausgegangen werden:

  1. Angreifer mit Zugriff auf das interne Netzwerk
  2. Angreifer mit Zugriff auf ein Mitarbeiternotebook mit einem SAP-Benutzer
  3. Angreifer mit Zugriff auf ein anderes SAP-System im Netzwerk

Mit dem gewonnenen Überblick über die Sicherheitslage lässt sich sinnvoll priorisieren, welche kritischen Bereiche vorrangig zu schützen sind. Gezielt führen die SEC Consult-Experten Angriffe durch und spüren die Lücken im System auf. Mit dem Verständnis, wo die größten Risiken bestehen, kann das Management auch die entsprechenden Ressourcen besser bereitstellen.

Ziel ist es einen Überblick über den Sicherheitsstatus der Systemlandschaft zu geben, grundlegende Probleme aufzuspüren und das Bewusstsein für SAP Security in den Abteilungen zu stärken. Aus den Resultaten und Empfehlungen gewinnt das Unternehmen Erkenntnisse und Wissen, die dabei helfen, andere Systeme und Landschaften ebenfalls zu schützen und das Sicherheitsniveau aller SAP-Systeme nachhaltig zu erhöhen.

Was Sie über SAP®-Sicherheit wissen sollten

Sind Ihre SAP-Systeme sicher? Sind die Applikationen sicher umgesetzt? Wie sicher sind Benutzer- und Zugriffsmanagement, Schnittstellen, Krisenbewältigungskonzepte und Geschäftsapplikationen? Wie steht es um Ihr Patch-Management? Wissen Ihre MitarbeiterInnen genug über SAP-Sicherheit, um böswillige Angriffe auf Ihre Systeme zu verhindern? SEC Consult hat die passenden Antworten parat.

Mehr zum Thema

Über den Autor

Khalil Bijjou
SEC Consult
Head of Security for SAP Services

Khalil Bijjou ist leidenschaftlicher Penetration Tester, Sicherheitsberater und Head of Security für SAP Services bei SEC Consult. Zusammen mit einem Team von SAP-Sicherheitsberatern hat Khalil Bijjou über 100 SAP-Sicherheitsbewertungen durchgeführt, um die SAP-Sicherheitslage einer Vielzahl von Organisationen zu verbessern - von globalen Unternehmen bis hin zu nationalen Firmen - um ihnen zu helfen, ihre Schwachstellen und das damit verbundene Risiko zu verstehen.