Der "Security Optimization Service" prüft nach, ob in der SAP-Umgebung der Kunden mögliche Sicherheitsprobleme vorliegen oder entstehen. Hierzu greift der Hersteller remote auf die Kundensysteme zu. Der umfangreiche Test erfolge weitgehend automatisch.

200 Euro pro Test

Die Prüfung dauert ein bis zwei Tage und erfasst unter anderem Applikationen, Middleware-Komponenten, Internet-Zugänge und -Schnittstellen sowie die Anwender-Autorisierungen. Der Kunde erhält im Anschluss eine detaillierte Analyse mit konkreten Lösungsempfehlungen. Der Security Optimization Service ist Teil des Supportangebots "SAP Active Global" und kostet 2000 Euro pro Test.

Bedarf für solche Sicherheitsüberprüfungen besteht durchaus. "SAP-Anwender ignorieren oft, dass es Sicherheitslücken gibt. Insofern ist das Angebot des Herstellers zu begrüßen, da es die Kunden sensibilisiert", lobt Stefan Strobel, Security-Experte und Geschäftsführer des IT-Sicherheitsdienstleisters Cirosec aus Heilbronn. "Andererseits ist ein Softwareanbieter nicht unbedingt der geeignete Partner, die eigenen Produkte zu überprüfen." Strobel und sein Team haben schon selbst Sicherheitslöcher in SAP-Software entdeckt und beraten unter anderem auch Nutzer dieser Programme in Sicherheitsfragen, und zwar meist dann, wenn die betriebswirtschaftlichen Systeme für Internet-Zugriffe geöffnet werden sollen.

Gefahren nehmen zu

Strobel zufolge gibt es eine Reihe von Schwachstellen, die vom Hersteller, aber auch zum Teil von den internen SAP-Spezialisten der Anwenderunternehmen totgeschwiegen werden. Doch damit nicht genug: Zusehends findet auch die Hacker-Szene Gefallen an ERP-Systemen. Allerdings lassen sich R/3-Systeme vor solchen Gefahren (www.cowo.de/go/254) schützen. (fn)