News | Business | Geschäftsprozesse | IT-Security | Online-Artikel | Strategien | Tipps

10 Fragen zur Selbstüberprüfung der unternehmenseigenen SAP-Sicherheitspolitik

Sicherheit von SAP-Implementierungen erfordert Transparenz, Kommunikation, exakt definierte Prozesse und deren Dokumentation.

foto-cc0-pixabay-maaak-10-natur

SAP-Sicherheit ist nicht nur ein Problem von nicht installierten Abwehrtechnologien. Diese lassen sich schnell einrichten. Die Experten von Onapsis stellen in ihren Gesprächen aber immer wieder fest, dass fehlende Transparenz, Kommunikation, unklare Prozesse und Verantwortlichkeiten die Hauptursachen für die Unsicherheit vieler SAP-Infrastrukturen sind. Onapsis, globaler Experte für die Sicherheit geschäftskritischer Applikationen, definiert daher einen kurzen Fragenkatalog, mit dem Verantwortliche Mängel in der eigenen SAP-Sicherheitspolitik entdecken können.

Im Februar 2016 wies eine Studie des Larry-Ponemon-Instituts darauf hin, dass von weltweit befragten 607 Mitarbeitern aus verschiedenen Unternehmensbereichen von Global-2000-Unternehmen nur 21 Prozent glaubten, dass der C-Level im Unternehmen sich der Cyberrisiken für ihre SAP-Applikationen bewusst sei. 25 Prozent der Befragten gaben an, im Zweifelsfall sei niemand verantwortlich für die Sicherheit der SAP-Systeme. Nur jeder vierte traute seinem Unternehmen zu, Angriffe sofort zu entdecken – gerade mal jeder zweite (53 Prozent) innerhalb eines Jahres.

Sicherheit bedarf der Transparenz von Sicherheitslücken, der Kommunikation und einer umfassenden Sicherheitspolitik.

Dabei müssen Prozesse der SAP-Sicherheit Teil der Gesamt-IT-Sicherheitspolitik sein. Zehn Fragen können hier für jeden Betreiber von Infrastrukturen als Checkliste dienen, wie es um seine SAP-Sicherheit bestellt ist:

  1. Haben die Verantwortlichen einen Überblick über sämtliche geschäftskritischen Applikationen und die SAP-Infrastruktur – sowie über deren spezifische geschäftliche Relevanz (zum Beispiel darin gespeicherte sensible Informationen, laufende Schlüsselprozesse und Zahl der Anwender, die die Services nutzen)?
  2. Betreibt das Unternehmen geschäftskritische SAP-Applikationen, die über das Internet oder für Geschäftspartner sowie ausgegliederte Subunternehmer in fremden Ländern zugänglich sind?
  3. Wie oft finden Besprechungen mit dem ERP-Sicherheitsteam statt und gegenüber wem ist dieses Team rechenschaftspflichtig?
  4. Kennt das ERP-Sicherheitsteam die aktuellen Schwachstellen, Malware- und Hacker-Techniken, die es speziell auf SAP-Systeme abgesehen haben und wie werden solche Schwachstellen dokumentiert? Was ist, wenn ein Angreifer einen Exploit ausgenutzt hat, der bereits seit Jahren öffentlich bekannt ist?
  5. Wer ist im Unternehmen für Verletzungen der Cybersicherheit verantwortlich, die die ERP-Plattform beeinträchtigen?
  6. Setzt das Unternehmen gegenwärtig ein Sicherheits- und Compliance-Audit- und Bewertungsprogramm von SAP um? Welche Techniken oder Dienste nutzt das Unternehmen dafür?
  7. In welchen Zeiträumen werden Sicherheitspatches von SAP auf Applikationsebene implementiert? Wer definiert und priorisiert dabei, welche Patches angewendet werden sollen? Werden Patch-Prozesse dokumentiert?
  8. Wissen die Verantwortlichen, ob ihre SAP-Systeme in der Vergangenheit angegriffen worden sind? Falls ja, welche Logging-Quellen oder forensische Lösungen setzen Sie zum Erkennen von schädlichen Aktivitäten ein?
  9. Werden SAP-Systeme gegenwärtig auf Angriffe auf Applikationsebene überwacht? Auf auffälliges Nutzerverhalten? Wie?
  10. Verfügt das Unternehmen über einen dokumentierten Plan zum Umgang mit der erhöhten Gefahr eines Angriffs auf geschäftskritische Applikationen?

»Diese Fragen können sich natürlich auch die Betreiber anderer Nicht-SAP-ERP-Systeme stellen. Unseren Erkenntnissen zufolge ist fast jede individuelle SAP-Implementierung beim Kunden unsicher. Auch die Lücken etwa in Oracle-basierten Systemen nehmen zu.«, sagt Mariano Nunez, Mitbegründer und CEO von Onapsis. »Diese Fragen spiegeln wieder, auf welche Defizite wir zum Teil bei Kunden treffen, die eigentlich ohne weiteres die technische Kompetenz haben, für die Sicherheit ihrer SAP-Implementierungen zu sorgen. Denn komplexe ERP-Infrastrukturen und ein Mangel an Ressourcen und Technologien können CEOs, CISOs, IT-Verantwortliche und Fachabteilungen in Unternehmen vor große Probleme stellen.«

Onapsis liefert die vollständigste Security-Lösung für das Absichern von geschäftskritischen SAP- und Oracle-Applikationen. Als führender Experte für SAP- und Oracle-Cyber-Security bietet Onapsis IT-Sicherheits- und Audit-Teams Transparenz, Sicherheit und Kontrolle über komplexe Bedrohungen, Cyber-Risiken und Compliance-Lücken, die ihre Unternehmensanwendungen bedrohen.
Onapsis hat seine Hauptniederlassung in Boston, Massachusetts (USA) und unterstützt mit seinen Lösungen über 200 Unternehmen, darunter viele der Global 2000 Unternehmen. Onapsis Lösungen sind darüber hinaus der De-facto-Standard für führende Beratungs- und Audit-Firmen wie Accenture, IBM, Deloitte, Ernest & Young, KPMG und PwC.
Zu den Lösungen von Onapsis zählt die Onapsis Security Plattform (OSP) – die meistgenutzte SAP-zertifizierte Cyber-Security-Lösung im Markt. Anders als generische Sicherheitsprodukte ermöglichen Onapsis kontextsensitive Lösungen sowohl präventive Kontrollen für das Überwachen von Schwachstellen und Compliance-Anforderungen als auch Echtzeitfunktionen für das Erkennen und sofortige Reagieren auf ungewöhnliche Ereignisse, die geschäftskritische Prozesse und Daten bedrohen.
Über offene Schnittstellen lässt sich die Plattform mit SIEM-, GRC- und Netzwerksicherheitsprodukten kombinieren. Dies ermöglicht eine nahtlose Integration Unternehmensanwendungen in bestehende Schwachstellen-, Risiko- und Response-Managementprogramme.
Die Lösungen greifen auf das Onapsis Research Labs zurück, das mit intelligenten Analyseverfahren kontinuierlich Sicherheitsbedrohungen aufdeckt, die SAP-Systeme betreffen. Die Experten des Onapsis Research Labs waren die ersten, die über SAP-betreffende Cyber-Attacken berichtet haben. Sie haben mittlerweile hunderte Sicherheitslücken aufgedeckt und Unternehmen dabei unterstützt, diese zu beheben. Schwachstellen können die SAP Business Suite, SAP HANA, SAP Cloud und SAP Mobile-Installationen sowie Oracle JD Edwards und Plattformen der Oracle E-Business Suite betreffen.

infografik-onapsis-sap-security-strategy

Führungskräfte unterschätzen das Gefahrenpotenzial von SAP-Cyber-Angriffen

Studie »SAP S/4HANA«: Strategische Bedeutung oder lediglich das nächste Release

Neue Handlungsempfehlungen im SAP-Technologie-Umfeld veröffentlicht

Business-Kriterien: Prioritäten bei der SAP-Sicherheit setzen

Industrie 4.0: Bosch und SAP kombinieren Expertise

Neue Risiken für SAP und Oracle

Tipps zur Neuausrichtung der SAP-Basis-Abteilung

Fehlende SAP-Spezialisten im Mittelstand sind Treiber der Managed Services

Gute Jobperspektiven für SAP-Anwender und SAP-Berater

Realtime Analytics – SAP HANA und Hadoop eröffnen neue Wege

SAP-Tuning – Near-Site: Warum in die Ferne schweifen?

Indirekte Nutzung von SAP-Lizenzen: unkalkulierbare Kosten und Risiken

Zur Startseite →

← Zurück

Schreiben Sie einen Kommentar