IT & Business Excellence

Produktsicherheit

100 Prozent sicher geht nicht

12.01.2011
Von Elke Senger-Wiechers

SAP in der BSIMM-Studie vorne dabei

In Benchmark-Studien rangieren die Produkte der Walldorfer am oberen Ende der Sicherheitsskala. Bei der jüngsten Building- Security-In-Maturity-Model-Studie (BSIMM) schnitt SAP als eines der zehn besten Unternehmen ab. An der Studie haben 42 Unternehmen teilgenommen und freiwillig ihre Sicherheitsstandards überprüfen und gegeneinander abgleichen lassen - darunter Microsoft, Google und Symantec. "Solche Netzwerke sind für große Softwarehersteller sehr wichtig, um sich auszutauschen und ihr Wissen aktuell zu halten", erklärt Paulus. Er selbst war Gründungsmitglied der Non-Profit- Vereinigung SAFECode, wo auch SAP-Mann Bitz im Vorstand sitzt. "Das Ziel, von SAFECode ist es, auch Herstellern, die sich keine eigene Research-Abteilung leisten können, Best Practices zur sicheren Softwareentwicklung zugänglich zu machen", erläutert SAP-Experte Bitz.

"Unverantwortlich, Patches zu ignorieren"

Bisher sind noch keine größeren Angriffe auf SAP-Systeme bekannt geworden. Was jedoch nicht so bleiben muss. "Auf Sicherheitskonferenzen hat das Thema SAP-Sicherheit in den letzten Jahren zugenommen", meint Fritz Bauspieß, Mitarbeiter im Global Active Support bei SAP. Er und sein Team helfen den Kunden mit Informationen, Services und Tools, ihre IT-Systeme sicher zu konfigurieren und zu betreiben. SAP stellt zudem Security-Patches zur Verfügung, auch für Produkte, die längst am Markt sind. Genau hier schlummert aber eines der größten Risiken. "Von den Anwendern ist es absolut unverantwortlich, diese Patches zu ignorieren und nicht sofort einzuspielen", sagt Paulus. Weiter hätten sie auch die Pflicht, dem Hersteller bereits im Vorfeld ihre Anforderungen zu kommunizieren und sich nach einem Security-Management-System wie der ISO-27001-Zertifizierung zu richten. "Die aktive Mitwirkung der Anwender durch entsprechend sichere Konfiguration und Nutzung der Software ist unerlässlich", meint auch Support-Mann Bauspieß. "Ohne sie lässt sich kein sicherer Betrieb erreichen." Letztlich müsse jedoch jedes Unternehmen selbst entscheiden, welches Restrisiko es zu tragen bereit sei.

eMagazin SAP AGENDA zum Thema Unternehmen sicher machen


Wieso Firmen Patches nicht ernst nehmen - Wie Identity Management bei der TU Darmstadt neu justiert wurde und Wo die Cloud-Daten sicher sind- erfahren Sie, im aktuellen eMagazin SAP AGENDA.