Onapsis Security Platform

SAP-Sicherheit jetzt auch in Echtzeit

02.10.2014
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Die langen Patch-Zyklen für Schwachstellen in SAP-Produkten können Anwender im Tagesgeschäft behindern. Der SAP-zertifizierte Security-Anbieter Onapsis stellt deshalb einen Service für Zero-Day-Patching vor.

Ob BusinessObjects, NetWeaver ABAP, J2EE, SAP Mobile oder HANA: SAP-Anwender überwachen ihre Infrastruktur mittels des virtualisierten Software-Services "Onapsis Security Platform" kontinuierlich und können nun auch Sicherheitslücken stopfen, bevor sie ausgenutzt werden. "Die üblichen Updatezyklen für SAP-Systeme liegen bei knapp 18 Monaten - zwölf Monate, bis SAP einen Patch für eine Schwachstelle veröffentlicht und noch einmal sechs, bis die Anwender ihn eingespielt haben", erklärt Gerhard Unger, Vice President EMEA bei Onapsis.

Mit der neuen Onapsis Security Platform können SAP-Anwender ihre Systeme nun in Echtzeit schützen.
Mit der neuen Onapsis Security Platform können SAP-Anwender ihre Systeme nun in Echtzeit schützen.

Mit der neuen Lösung soll es nun möglich sein, dass eine Sicherheitslücke, die von den Onapsis-Experten gefunden und an SAP gemeldet wurde, direkt mittels Fingerprint in den Cloud-Service ausgerollt wird und damit eine Gefahrenabwehr für alle Nutzer sofort verfügbar ist. Das Fingerprint-Prinzip verhindere, dass sich herausfinden lasse, wo die Schwachstelle genau liege, so Unger. Die Anwender seien so bereits geschützt, lange bevor ein offizieller Patch erscheine.

Drei Module

Die Onapsis Security Platform (OSP) erkennt und analysiert sie bestehende Compliance-Lücken und automatisiert den Sicherheits-Auditprozess für SAP-Applikationen. OSP gibt darüber hinaus spezifische Meldungen aus und schließt Schwachstellen, sobald Erkennungs- und Gegenmaßnahmen ausgelöst werden. Darüber hinaus erstellt Onapsis Berichte über Sicherheitslücken und Bedrohungen über die hauseigenen Research Labs - ein Experten-Team, das Signaturen für das Aktualisieren der Sicherheitslösungen an Onapsis-Kunden liefert. Die Plattform integriert sich in Netzwerksicherheits-, Security Management- und SIEM-Lösungen und -Abläufe.

Anwender können die Plattform in drei einzelnen Modulen erwerben, für jedes einzelne gibt es eine eigene Lizenz: "Vulnerability und Compliance" war bereits am Markt und inventarisiert die SAP-Umgebung. Das Modul prüft den Ist-Zustand und gibt Anwendern eine Übersicht über alles, was bereits funktioniert oder noch nicht funktioniert. Das neue "Detection and Response" überwacht die SAP-Infrastruktur nach ungewöhnlichem Benutzerverhalten und Bedrohungen. Es analysiert mögliche Risiken und hilft, diese abzustellen. Das ebenfalls neue "Advanced Threat Protection" schließlich stellt die bereits erwähnten Zero-Day-Informationen direkt nach Auffinden einer Schwachstelle bereit.

Über Partner beziehbar

Die Onapsis Security Platform ist ab sofort als VMware-basierter Software-Dienst über diverse Vertriebspartner verfügbar. In Deutschland arbeitet Onapsis mit T-Systems, Realtech, Accenture, Deloitte, PwC, KPMG, EY, Turnkey Consulting und Agentil zusammen.