Effektive SAP-Sicherheit: Strategien und Schutzmaßnahmen

Cyberangriffe breiten sich aus, werden immer raffinierter und verursachen immer mehr Schaden für Unternehmen und Privatpersonen. McKinsey berichtet: „Bei der derzeitigen Wachstumsrate wird sich der Schaden durch Cyberangriffe bis 2025 auf etwa 10,5 Billionen Dollar jährlich belaufen - ein Anstieg um 300 Prozent gegenüber 2015.“

Unternehmen, die sich bei ihren Prozessen auf SAP verlassen, benötigen effektive Sicherheitsstrategien, -prozesse und -tools, um den wachsenden Bedrohungen entgegenzuwirken.

Das Cybersecurity Framework des US National Institute of Standards and Technology (NIST) bietet mit seinen fünf Elementen - threat identification, protection, detection, response and recovery - eine wesentliche Grundlage, auf der Unternehmen einen effektiven Cyber Security-Ansatz für den Einsatz von SAP entwickeln können. 

Dieser Blog befasst sich mit den Elementen Identification und Protection von Bedrohungen, wie sie angewendet werden sollten und welchen Mehrwert Arvato Systems seinen Kunden bei der effektiven Anwendung des NIST Frameworks bietet.

Weitere Blogs in dieser Reihe befassen sich zudem eingehender mit der Cyber-Bedrohung im Allgemeinen und damit, wie die Elemente des NIST-Frameworks „detection, response and recovery“ so effektiv wie möglich genutzt werden können.

Der Prozess zur Sicherung des SAP-Bestandes beginnt mit dem Aufbau eines Verständnisses der Infrastruktur, der Anwendungen und der Unternehmenslandschaft, der damit verbundenen Sicherheitsrisiken und Schwachstellen sowie der Prioritäten für Maßnahmen. 

Daten werden über die On-Premise- und Cloud-Architektur, Hardware, Netzwerke, Softwareversionen, Benutzerberechtigungen und bekannte Schwachstellen gesammelt und in eine Reihe von Workshops eingebracht, um ein umfassendes Sicherheitsbild zu erstellen, das Prozesse und Verfahren, Benutzerrollen und -berechtigungen sowie Infrastruktur und Anwendungen umfasst.

Veraltete Versionen und Patches können für SAP-Anwender ein wichtiger Faktor sein. Einem Artikel auf theregister.com vom Dezember 2022 zufolge gibt es immer noch eine große Anzahl von SAP-Anwendern, die mit der veralteten ECC-Plattform arbeiten. Die Erfahrung von Arvato Systems legt nahe, dass einige Unternehmen ihre SAP-Systeme nur einmal im Jahr oder seltener patchen, was völlig unzureichend ist. 

Gartner-Analyst Earl Perkins prognostizierte 2016, dass „bis 2020 99 % der ausgenutzten Schwachstellen den Sicherheits- und IT-Fachleuten mindestens ein Jahr lang bekannt sein werden“, während Checkpoint berichtet, dass 87 % der Unternehmen im Jahr 2021 einen Angriffsversuch durch eine bekannte Schwachstelle erlebt haben. 

Die Verlagerung von Anwendungen, Plattformen und Infrastruktur in die Cloud ändert nichts an dieser Anforderung. Zwar bieten Cloud-Anbieter Sicherheitsfunktionen an, doch die Gesamtverantwortung sowie die Anforderung an eine wirksame Cybersicherheitsstruktur und -strategie liegen weiterhin beim Unternehmen.   

Die Festlegung von Gegenmaßnahmen zum Schutz des Unternehmens vor Cyberangriffen muss ein geschäftsorientierter, vielschichtiger Prozess sein, der weit über die Implementierung von technologischen Lösungen für die Perimeter Sicherheit wie Firewalls hinausgeht. 

Unternehmen benötigen eine robuste Cybersicherheitsstruktur und -strategie, die das Ausmaß, die Komplexität und die Vielseitigkeit von Cyber-Bedrohungen widerspiegelt und auf der Annahme beruht, dass trotz aller Bemühungen, Sicherheitslücken auftreten werden. 

Bevor das Unternehmen punktuelle Technologielösungen für die Erkennung von Bedrohungen, die Reaktion darauf und die Wiederherstellung in Betracht zieht, muss es 

• Cybersicherheit als ganzheitlichen Geschäftsprozess etablieren
• eine wirksame Strategie und ein Implementierungskonzept für die SAP-Sicherheit entwickeln
• Bestehende Prozesse analysieren und gegebenenfalls umgestalten
• SAP-Sicherheit als Geschäftsprozess verstehen 
• Zugriffs- und Identitätsmanagement priorisieren

Zugriffs- und Identitätsmanagement haben an Bedeutung gewonnen, da sich der Zugriff diversifiziert hat und perimeterbasierte Schutzmechanismen unzureichend geworden sind.

Deshalb setzen immer mehr Unternehmen auf das sogenannte Zero Trust Modell. Dabei gibt wird die Vertrauenswürdigkeit sämtlicher User, Devices, Zugriffe etc. per se in Frage gestellt. Je nach Situation werden dann unterschiedliche Parameter benötigt um als authentifiziert zu gelten. Ein gut implementiertes Zero Trust Konzept erhöht nicht nur die Security, sondern kann auch durchaus die Usability des Nutzers erhöhen, da gegebenenfalls weniger Passworteingaben erforderlich sind.

Umfassende IT-Expertise, ein hohes Maß an technischem Verständnis, fundierte Branchenkenntnisse und gelebte Partnerschaft - das ist Arvato Systems. 

Bei der Absicherung geschäftskritischer SAP-Implementierungen kann Arvato Systems auf strategische Partnerschaften mit wichtigen Anbietern - Microsoft, Google Cloud und AWS - sowie auf die bewährte SAP-Expertise eines SAP Gold Partners zurückgreifen.