SAP Security

5 Schritte zum sicheren ERP

30.08.2020
Von   


Dr. Markus Schumacher ist General Manager Europe bei Onapsis. Als Mitgründer und Geschäftsführer der Virtual Forge GmbH, die heute zu Onapsis gehört, ist er Experte für Cybersecurity im ERP-Betrieb. Zuvor war er Repräsentant des Fraunhofer Instituts für Sichere IT (SIT) und leitete dort den Bereich "Security and Embedded Devices". Davor arbeitete er bei SAP als Produktmanager (SAP NetWeaver Security) und Leiter des TCO-Projekts im Bereich der neuen SME Business ByDesign-Lösung. 
SAP-Systeme geraten verstärkt ins Visier krimineller Hacker. Wir zeigen Ihnen, wie Sie in 5 Schritten zum sicheren ERP-System kommen.

Obwohl Systeme für das Enterprise Resource Planning (ERP) das Herzstück der Unternehmens-IT bilden, fristet das Thema Sicherheit an dieser Stelle vielerorts noch ein Schattendasein. Mit gravierenden Folgen, wie eine IDC-Umfrage unter IT-Entscheidern aus Unternehmen zeigt, die mit SAP oder der Oracle E-Business Suite arbeiten. So geben 64 Prozent an, dass es bei ihren ERP-Systemen in den vergangenen zwei Jahren zu Datendiebstählen kam.

Immer mehr Hacker haben es auch auf die Daten in den ERP-Systemem abgesehen. Lesen Sie, wie Sie in 5 Schritten entgegenwirken.
Immer mehr Hacker haben es auch auf die Daten in den ERP-Systemem abgesehen. Lesen Sie, wie Sie in 5 Schritten entgegenwirken.
Foto: Amy Walters - shutterstock.com

Besonders interessiert zeigten sich die Angreifer an Vertriebs- und personenbezogenen Kundendaten, geistigem Eigentum und Finanzdaten, die einen Hebel für Insiderhandel, Absprachen und Betrugsdelikte bieten. Zwei Drittel der befragten CIOs schätzen, dass die durch Angriffe verursachten ERP-Ausfallzeiten ihr Unternehmen durchschnittlich 50.000 US-Dollar jede Stunde kosten.

1. Bewusstsein erzeugen und Strategie aufsetzen

Da die Hacker oft in die SAP-Systeme eindringen, ohne Spuren zu hinterlassen, dauert es einer Studie von Accenture zufolge im Durchschnitt bis zu 80 Tage, bis die Angriffe überhaupt entdeckt werden. Weitere 50 Tage werden benötigt, um einen Vorfall zu beheben und die Sicherheitslücke zu schließen.

Lesen Sie zum Thema ERP auch:

Angesichts der damit verbundenen, enormen Risiken sollte jedes SAP-Anwenderunternehmen eine ganzheitliche SAP-Sicherheitsstrategie entwickeln, die sämtliche relevanten Prüfbereiche einbezieht: von ABAP-Eigenentwicklungen und Schnittstellen über Sicherheitsupdates und Protokollierungen bis hin zu Transporten, Systemkonfigurationen und RFC (Remote Function Call)-Verbindungen.

2. Transparenz über SAP-Risiken schaffen

CIOs brauchen umfassende Transparenz, um den SAP-Sicherheitsstatus beurteilen zu können. Diese Transparenz ist mit dem weitverbreiteten "Three Lines of Defense"-Modell, das sie mit Berichten aus drei verschiedenen Abteilungen versorgt, nicht zu erreichen.

  1. Da sind zum einen die Reports aus der SAP-Abteilung, die meist nicht alle sicherheitsrelevanten Aspekte enthalten. Denn welcher Entwickler gibt schon gerne zu, fehlerhaften ABAP-Eigencode produziert zu haben und für unzureichende Systemeinstellungen verantwortlich zu sein?

  2. Die zweite Säule, die IT-Sicherheitsabteilung, ist sich der SAP-Risiken meist gar nicht bewusst, da sie kein SAP-Wissen besitzt. Läuft in der SAP-Landschaft etwas schief, können die Verantwortlichen die entsprechenden Warnhinweise aus den IT-Kontrollsystemen nicht richtig deuten.

  3. Ähnliche Know-how-Defizite weist die dritte Säule - die interne Revision - auf. Auch wenn sie häufig externe Dienstleister mit der Erstellung von SAP-Penetrationstests beauftragt, leitet sie die Resultate dann einfach an die SAP-Abteilung weiter, ohne die eigentlichen Probleme zu verstehen.

Die IT-Verantwortlichen sind daher gut beraten, sich selbst Transparenz über die aktuellen SAP-Risiken zu verschaffen. Ein erster Schritt ist eine automatische Schwachstellen-Analyse, die Kundencode, Systemkonfigurationen, Basisberechtigungen und Transporthistorie unter die Lupe nimmt und bewertet. Dadurch können Schwachstellen identifiziert, beseitigt und gezielte Maßnahmen ergriffen werden, um künftige SAP-Sicherheitslücken zu vermeiden. Wichtig ist, dass das dabei erlangte Sicherheitsverständnis von allen Bereichen im Unternehmen geteilt wird und nicht an Abteilungsgrenzen endet.

3. Drahtseilakt zwischen Kosten und Sicherheit meistern

CIOs stehen vor der großen Herausforderung, eine Balance zwischen Kosten und Sicherheit zu finden. Denn sie sind längst nicht mehr nur für die IT-Infrastruktur im Unternehmen verantwortlich, sondern müssen im Zuge der Digitalisierung eine immer größere strategische Rolle einnehmen und als Treiber der Wertschöpfung agieren. Sie werden verstärkt am Umsatzwachstum gemessen und müssen gewährleisten, dass ihre IT-Ausgaben einen hohen Return on Investment (RoI) erzielen.

Alles Wissenswerte rund um SAP finden Sie in unserem Online-Special

Zugleich sind die IT-Verantwortlichen zunehmend gezwungen, sich mit der Abwehr von Sicherheitsbedrohungen zu beschäftigen. Diese Risiken gehen nicht nur von externen Hackern aus - gerade im SAP-Umfeld sind viele Attacken durch die eigenen Mitarbeiter zu verzeichnen. Investieren CIOs zu wenig in eine nachhaltige IT- und SAP-Sicherheitsstrategie, kann dies verheerende Schäden für ihr Unternehmen nach sich ziehen.

Neben den Ausgaben für die Erkennung und Behebung erfolgter Angriffe sind hier vor allem die Kosten zu nennen, die durch Wirtschaftsspionage, Datenmanipulation und Datendiebstahl, durch Strafgelder und Systemausfallzeiten entstehen. Zugleich sind Sicherheitsvorfälle oft mit hohen Image- und Vertrauensverlusten in der Öffentlichkeit verbunden.

4. Gesetzliche Vorschriften als Chance begreifen

Parallel zu den Cyber-Angriffen auf die SAP-Systeme wächst die Zahl der externen Compliance- und Sicherheitsrichtlinien. Besondere Anforderungen an die CIOs stellt die EU-Datenschutz-Grundverordnung (DSGVO), die strenge Regeln zur Verarbeitung personenbezogener Daten formuliert. Ihr Ziel ist es, die Vertraulichkeit und den Schutz der Daten zu gewährleisten und den betroffenen Personen bestimmte Rechte zu verleihen. Dazu werden die Unternehmen zur sicheren Verwaltung der Daten verpflichtet. So muss jederzeit Transparenz darüber herrschen, welche Daten wo gespeichert sind, von wem sie auf welche Weise verarbeitet werden und wer die Verantwortung im Falle eines Datenmissbrauchs trägt.

Was ein Chief Information Security Officer (CISO) wissen sollte

Doch bietet die EU-DSGVO für die CIOs zugleich die Chance, noch gezielter an einer wirksamen IT- und SAP-Sicherheitsstrategie zu arbeiten. Denn sie erfordert vielfältige technische und organisatorische Maßnahmen, damit verhindert werden kann, dass personenbezogene Daten vernichtet, verändert oder unbefugt offengelegt werden oder komplett verlorengehen. Verstößt ein Unternehmen gegen die DSGVO, drohen zusätzlich zu den finanziellen und Reputationsschäden drakonische Bußgelder, die bis zu vier Prozent des weltweiten erzielten Jahresumsatzes oder bis zu 20 Millionen Euro betragen können.

5. Automatisierung als Patentrezept etablieren

Ob Internet of Things (IoT), digitale Transformation, Cloud-Services oder E-Mobilität: Mit diesen großen Zukunftstrends wachsen die ERP-Angriffsflächen rapide. So bedingt die zunehmende Vernetzung unter anderem einen Anstieg der Schnittstellen, die Einfallstore in die SAP-Systeme bieten können. Dies macht es umso dringlicher, dass die SAP-Sicherheitsmaßnahmen, für die sich ein CIO heute entscheidet, nachhaltig greifen und sämtliche sicherheitsrelevanten Bereiche einbeziehen.

Dazu bieten sich automatische Analysen und Bewertungen der einzelnen Prüfbereiche an, da manuelle Kontrollen viel zu aufwendig und mit hohen Qualitätsmängeln behaftet sind. Zudem lässt sich durch ein kontinuierliches Monitoring erreichen, dass die Verantwortlichen bei Sicherheitsvorfällen zeitnah Warnhinweise erhalten und entgegensteuern können.

Unternehmen sollten geeignete Werkzeuge von Anfang an in die SAP-Entwicklungsprozesse einbeziehen. Dies gilt gerade für das DevOps-Konzept, das einen kontinuierlich großen Durchsatz mit Agilität und hohen Qualitätsansprüchen kombiniert. Hier bietet sich mit Secure DevOps ein neuer technischer Sicherheitsansatz an, der geeignete Prüfwerkzeuge koppelt, um den Sicherheitsanforderungen im gesamten SAP-Software-Lebenszyklus zu begegnen. (ba/fm)