Mehr Angriffe und fehlendes Sicherheitsteam: wie Unternehmen ihre sensiblen Daten in Zeiten des Security-Fachkräftemangels effektiv schützen können.
Das größte Risiko für die IT-Sicherheit im Unternehmen ist neben der Zunahme der Angriffe vor allem der Mangel an Mitarbeitern. Gerade jetzt werden die klugen Köpfe dringender benötigt als je zuvor: Jedes Jahr steigen in deutschen Unternehmen die durch Spionage, Sabotage und Datendiebstahl verursachten Schäden, allein 2017 waren es laut Branchenverband Bitkom 55 Milliarden Euro. Ein schneller Schutz der Systeme ist mit internen Ressourcen nahezu unmöglich, deshalb müssen Unternehmen heutzutage immer häufiger auf Kompetenz von außen zurückgreifen. Wie Managed Security Services eingesetzt werden, kann dabei stark variieren.
Unternehmen sind im Bereich IT-Sicherheit verzweifelt auf der Suche nach Fachkräften: Laut der »Global Information Security Workforce-Studie« fehlen in den nächsten vier Jahren weltweit 1,8 Millionen Spezialisten. Auch der deutsche Branchenverband Bitkom bestätigt in seiner aktuellen Studie zum IT-Fachkräftemangel, dass besonders Experten für den Bereich Security gefragt sind. Diese werden dringend dafür benötigt, Schwachstellen zu identifizieren und zeitnah zu beseitigen. Bei den Angriffen auf deutsche Unternehmen stehen immer häufiger auch die sensiblen Daten der SAP-Systeme im Fokus. Penetrationstests von SAP-Security-Experten decken immer wieder Lücken in der Absicherung der Systeme auf.
Alarmierend: Unternehmen bemerken kritische Situationen zu spät – oder gar nicht. Die Sicherheitsexperten von SAST gelangten über Penetrationstests bei über 80 % der Unternehmen innerhalb von einer Stunde unbemerkt in SAP- und angeschlossene Systeme. Hier ist ein Zugriff auf das verborgene Kapital der Unternehmen – die Daten – möglich. In den SAP-Systemen befinden sich die Kunden-, Lieferanten- und Personaldaten wie Gehaltslisten. Darüber hinaus werden die Finanzdaten wie Bankkonten und Buchungen verarbeitet. Hinzu kommen Planungsdaten und Informationen wie Konstruktionspläne und Rezepturen. Besonders deutsche Unternehmen mit ihren vielen hochspezialisierten Innovationen sind interessante Ziele. Nicht auszumalen, was es für eine mittelständische Firma bedeutet, wenn ein gerade patentiertes Bauteil oder eine Rezeptur noch vor dem Launch eins zu eins von einem Konkurrenten auf einer Messe präsentiert wird. Welche Schäden die versäumte IT-Sicherheit jedes Jahr verursacht, zeigt eine Bitkom-Studie. Allein innerhalb eines Jahres stiegen die Gesamtschäden für deutsche Unternehmen um 8 % auf 55 Milliarden Euro.
Trotzdem ist die SAP-Sicherheit bei vielen ein blinder Fleck. Eine Befragung des Ponemon-Instituts unter IT-Security-Experten bestätigt: 76 % der Führungskräfte weltweit unterschätzen die Sicherheitsrisiken für SAP-Systeme. In der Folge ergreifen viele Entscheider im Tagesgeschäft nur die Standard-Sicherheitsmaßnahmen. Natürlich sind Dinge wie eine externe Firewall und ein abgestimmtes Berechtigungskonzept wichtig, aber sie reichen im SAP-Angriffsfall bei weitem nicht aus. Noch gravierender für die Sicherheit der Daten sind die fehlenden Ressourcen. Abhilfe können hier die schnelle Unterstützung und gleichberechtigte Zusammenarbeit mit einem externen Dienstleister schaffen.
Schnell einsatzbereit: Managed Security Services durch einen externen Partner. Eine Möglichkeit, die Kompetenz in Sachen IT-Sicherheit bei laufendem Tagesgeschäft zu verbessern, ist eine Managed-Security-Services-Lösung. Anders als beim Outsourcing behält das Unternehmen die Hoheit und Steuerung der Aufgabe bei sich. Der Dienstleister ist in der Rolle des Beraters und zeigt Handlungsoptionen auf. Je nach Auftrag unterstützt das externe Team die Mitarbeiter und Entscheider dauerhaft bei Schwachstellen oder hilft dabei, eine komplette Sicherheitsabteilung neu aufzubauen. Letzteres setzten wir erfolgreich bei einem DAX-Unternehmen aus München um: Das Team ließ sich ein Dreivierteljahr lang ausbilden und kann jetzt autark arbeiten sowie selbstständig reagieren, wenn ein kritischer Event auftritt.
Gut geschützt: in drei Schritten die SAP-Systeme absichern. Egal ob Mittelständler oder Konzern – bei einer Managed-Security-Services-Lösung profitieren die Auftraggeber vor allem vom großen Erfahrungsschatz des IT-Dienstleisters, der die aktuellsten Sicherheitseinstellungen und Angriffsdatenbanken kennt und die Security-Tools richtig einsetzen kann. Gerade bei der Software SAP mit ihren vielen Patches und ständigen Weiterentwicklungen ist das ein entscheidender Faktor. Folgende Schritte sind wichtig, wenn ein Unternehmen seine SAP-Schwachstellen angehen will:
Der erste Schritt ist eine tiefgehende Bestandsaufnahme durch den Dienstleister. Nach diesem Security und Compliance Audit, das die SAST-Experten in der Regel in ein bis zwei Wochen umsetzen, sind die Sicherheitslücken bekannt. Auf Basis der Erkenntnisse erfolgt eine Absprache der Maßnahmen. Zusätzlich Sicherheit geben Penetrationtests, die von Unternehmen immer häufiger genutzt werden. Das ist nicht überraschend, denn der simulierte Angriff zeigt potenzielle Einfallstore sehr gut auf. 90 Prozent der Angriffe konzentrieren sich laut der Penetrationtests auf Schnittstellen also angehängte Dokumente, Lieferanten- oder Bewerberportale oder aber den SAP Solution Manager. Diese Stellen sollten gesichert werden.
Im nächsten Schritt folgt die Phase der Härtung, also die Behebung der Schwachstellen im IT-System. Diese kann in zwei bis drei Wochen abgeschlossen werden. Ein besonderer Fokus liegt hier auf Datenbanken, Netzwerken und Betriebssystemen, denn Hacker umgehen SAP-Systeme gern. Die Herausforderung für einen Großteil der Unternehmen bei der Sicherung ihrer SAP-Systeme: Die mitgelieferten Guidelines zur Voreinstellung der Systeme sind zwar exakt, aber auch sehr umfangreich und daher nicht ohne Weiteres umzusetzen.
Jetzt schließt sich idealerweise die Echtzeitüberwachung an. In dieser Phase wird das SAP-System live auf kritische Transaktionen, Reports, unerlaubte User- oder Systemänderungen und natürlich auch auf unerwünschte Downloads aus den Systemen geprüft. Hat der Dienstleister die kritischen Security Events identifiziert, folgt eine sofortige Information des Ansprechpartners auf Unternehmensseite mit Kontextinformationen und Handlungsempfehlungen. Je nach Größe kann das interne Team reagieren oder stimmt mit den externen Sicherheitsexperten die notwendigen Maßnahmen ab. Die Echtzeitüberwachung wird für Anwender immer wichtiger. Denn gerade, wenn sensible Daten aus dem Unternehmen abfließen, zählt jede Minute.
Alles in allem besitzen SAP-Systeme einen zu hohen Stellenwert, als dass man sich nur auf einen Standardschutz verlassen könnte. Und im Falle eines erfolgreichen Angriffs sind die potenziellen Schäden wie zum Beispiel ein Datenverlust, verbunden mit einem Imageverlust für das Unternehmen, enorm. Mit einer Managed Security Services-Lösung können die IT-Entscheider im Unternehmen ihre SAP-Sicherheit effektiv und in kurzer Zeit auf ein passendes Level heben und so den Herausforderungen Fachkräftemangel und zunehmende Sicherheitsrisiken begegnen.
Bodo Kahl, Geschäftsführer
bei SAST von AKQUINET,
arbeitet mit seinem
Team für rund 200 Kunden
im SAP Security &
Compliance-Umfeld.
https://www.sast-solutions.de/
[1] Bitkom-Studie. https://www.bitkom.org/Presse/Presseinformation/Spionage-Sabotage-Datendiebstahl-Deutscher-Wirtschaft-entsteht-jaehrlich-ein-Schaden-von-55-Milliarden-Euro.html
[2] Studie vom Ponemon-Institut (Sekundärquelle). https://www.searchenterprisesoftware.de/news/4500273737/Cybersecurity-Trends-Studie-zur-Sicherheit-in-SAP-Systemen-veroeffentlicht
[3] Global Information Security Workforce-Study. https://www.isc2.org/News-and-Events/Press-Room/Posts/2017/06/07/2017-06-07-Workforce-Shortage
[4] Bitkom-Studie 2018. https://www.bitkom.org/Themen/Datenschutz-Sicherheit/Datenschutz-Sicherheit/Investitionen-in-IT-Sicherheit.html (Report kann unter dem Link heruntergeladen werden)