Diesen Artikel bewerten: 

Security Monitoring mit SAP ETD

Angreifer erfolgreich abwehren

Oguzhan Genis ist Vice President, Business Development & Innovation Global IT und Customer Officer des Office of the CIO bei SAP. In dieser Funktion ist er verantwortlich für verschiedene SAP Runs SAP-Programme der Global IT. Dies beinhaltet vor allem die Einführung und Kommunikation strategischer Innovationen in Mobilität, In-Memory und Cloud in Zusammenarbeit mit verschiedenen Entwicklungs-, Vertriebs-und Marketing-Einheiten. Als Customer Officer leitet Herr Genis die C-Level Kunden- und Event-Aktivitäten für den CIO und das Global IT Führungsteam und ist selbst Keynote Speaker auf internationalen Veranstaltungen.
Wie auch immer Sie Ihren Datenbestand sichern – es gibt keinen garantierten Schutz vor künftigen Bedrohungen. Mit SAP Enterprise Threat Detection (SAP ETD) können Sie verdächtige Aktivitäten in Ihren Systemen überwachen und dadurch rechtzeitig reagieren.

Die SAP Enterprise Threat Detection Lösung ist ein neues Produkt und wird seit kurzem bei SAP testweise eingesetzt. Die Sicherheit der SAP-Systeme ist natürlich kritisch. Fragen wie "Gibt es unerwartete Aktivitäten in meiner Systemlandschaft?", "Wer ist der Angreifer?" oder "Was für ein Angriff hat stattgefunden?" müssen schnell und konkret beantwortet werden.

Überblick über die Funktionsweise des Security Monitoring mit SAP Enterprise Threat Detection
Überblick über die Funktionsweise des Security Monitoring mit SAP Enterprise Threat Detection
Foto: SAP

Durch den Einsatz dieser Lösung ist SAP nun in der Lage, auf Angriffe auf Geschäftsprozesse und Geschäftsdaten in Echtzeit einzugreifen. Das Alleinstellungsmerkmal dieser Lösung ist die Verarbeitung großer Datenmengen in Echtzeit durch die Nutzung der SAP HANA-Datenbank und dem SAP Event Stream Processor (ESP).

Security Monitoring und Ad Hoc Analysen in Echtzeit

Screenshot des „Launch Pads“ der SAP Enterprise Threat Detection Lösung
Screenshot des „Launch Pads“ der SAP Enterprise Threat Detection Lösung
Foto: SAP

Hierzu werden große Mengen an Log-Daten gesammelt, die zuvor über viele Systeme verteilt worden sind. Diese Daten werden an einem zentralen Platz (ESP) geordnet und automatisch musterbasiert ausgewertet (SAP HANA DB). Entsprechend nach Vorfall werden dann Nutzer und/oder Verbindungen gesperrt. Hierzu ist die Korrelation zwischen verschiedenen Datenquellen möglich. Daten werden hierzu in ein relationales Datenbankformat konvertiert und bereits eine Vielzahl korrelierender Views zur Verfügung gestellt.

Die Analyse kann auch auf andere SAP und Nicht-SAP-Daten zugreifen (z.B. Benutzerdaten oder Zugangskontrollsystemen). Daneben können auch Ad-Hoc Analysen bei akut bestehendem Verdacht durchgeführt werden. Weitere Anwendungsfälle sind Forensische Datenanalysen, die darauf abzielen, wirtschaftskriminelle Handlungen beziehungsweise unternehmensschädliche Handlungsmuster zu identifizieren sowie die Unterstützung der Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien (Compliance Richtlinien).

Einfache Anwendung durch ein "Launch Pad" und Dashboards

Der "Launch Pad" ist der Einstieg zu den einzelnen Bereichen im SAP ETD. Hier kann man sich z.B. die Ereignisse ansehen, Muster konfigurieren und ausführen, Ergebnisse anzeigen und neue Muster erzeugen. In einem Dashboard bekommt man auch einen Überblick über die überwachte Landschaft. Beim Durchsehen der Ereignisse im Browser wendet man einfach Filter auf die Log Dateien an. Die Daten können somit auf verschiedene Weise einfach und verständlich visualisiert werden.

Überwachung von 300 Systemen und 16.000 Geräten täglich

Verantwortlich für den gesamten Prozess ist das "IT Security & Risk Office" (IT SRO). Es sorgt für Sicherheit und Risikomanagement bei der Netzwerkinfrastruktur von SAP, bei Systemen und Endgeräten sowie für Business-Systeme und Anwendungen bei SAP. Das aktuelle Volumen beläuft sich auf ca. 585.000.000 Ereignisse pro Tag und ca. 16.000 überwachte Geräte.

Innerhalb dieser Organisation gibt es das SAP Security Monitoring Center (SMC) mit einem dedizierten Team, das rund-um-die-Uhr 24x7 arbeitet. Hier werden definierte Log Events von unterschiedlichen Systemen und Sicherheitslösungen zentral eingesammelt und analysiert. Falls notwendig werden dann Alarme für vordefinierte Szenarien ausgelöst beziehungsweise manuelle Analysen durchgeführt, um fortgeschrittene Angriffe zu identifizieren.

Bei der SAP werden Systeme betrachtet mit bis zu 67.000 Benutzern und in Spitzenzeiten mit bis zu 16.000 Nutzern parallel auf den kritischen Systemen. Bei der Betrachtung der wichtigsten SAP- und Netzwerk-Logs ist das geschätzte Datenaufkommen pro Tag (10 Stunden) zwischen 40 Millionen und bis zu 3 Milliarden Datensätze, was ca. 120GB bzw. 1TB entspricht.

Das ist eines der vielen Beispiele der unternehmensweiten Adoption der neuesten SAP-Innovationen. Durch das SAP runs SAP Programm profitiert SAP als Kunde von seinen eigenen Innovationen und stellt somit den produktiven Nutzen der einzelnen Lösungen und Anwendungen unter Beweis.