Auch bei SAP-Systemen schwingt ein Gefühl der Unsicherheit mit. Das hat beispielsweise eine Befragung des Larry-Ponenom-Instituts vom Februar 2016 unter rund 600 der 2000 wichtigsten weltweiten Unternehmen der unterschiedlichsten Branchen gezeigt: Dabei stellten 44 Prozent der Befragten fest, ihr Unternehmen würde Sicherheitsvorfälle oder Einbrüche in Datenbestände ihrer unsicheren SAP-Implementierungen wahrscheinlich übersehen. Nur 25 Prozent glaubten, einen Einbruch sofort zu erkennen.
Gerade mal 53 Prozent der Befragten waren zuversichtlich, einen Einbruch innerhalb eines Jahres zu bemerken. Zugleich erklärten 32 Prozent, dass ihre SAP-Plattform innerhalb der letzten 24 Monate ein- bis zweimal angegriffen wurde - 16 Prozent drei- oder viermal und 12 Prozent fünf- oder sechsmal. Den Gesamtschaden einer daraus resultierenden notwendigen Abschaltung ihres SAP-Systems schätzen die Befragten im Schnitt auf rund 4,5 Millionen Dollar. Diese Summe schließt auch sofort erforderliche Bargeldausgaben, direkte und indirekte Lohnkosten für die Wiederherstellung der Systeme, allgemeine Unkosten sowie verlorene Geschäftsmöglichkeiten ein.
Es gibt ein weites Feld für Konfigurationsfehler und Schwachstellen
Diese Unsicherheit kommt nicht von ungefähr. Komplexe, historisch gewachsene, an die Cloud, das Web oder mobile Geräte angebundene SAP-Landschaften bieten ein weites Feld für Konfigurationsfehler und Schwachstellen. Auf dem Transaktionslayer, der in SAP-Systemen Zugriffsrechte und den Datenverkehr regelt, können Angreifer grundsätzlich jeden Angriffsmechanismus ausführen, den man auch aus der Nicht-SAP-IT kennt. Klassische Sicherheitsansätze aus der SAP-Welt, wie die Trennung von Zuständigkeiten und damit von Rechten (Segregation of Duties), hebeln Angreifer durch die Usurpation privilegierter Nutzerrechte auf.
Wie aber kommt es zu dieser Risikolage? Der Softwarehersteller leistet mit seinen regelmäßigen Patches die Hilfestellung, die er bieten kann. Ebenso wenig kann der Stab voreilig und pauschal über die Verantwortlichen im Unternehmen gebrochen werden. Auch wenn einige immer noch fälschlicherweise denken, SAP sei ein in sich geschlossenes System, welches nur SAP-Experten hacken können, lässt sich den meisten Managern nicht vorwerfen, sie seien zu sorglos.
Unklare Zuständigkeiten öffnen Hackern die Einfallstore
Das Problem liegt vielmehr darin, dass in etlichen Unternehmen die Kompetenzen im Bereich SAP-Sicherheit nicht klar definiert sind. So sind sich viele Verantwortliche nicht sicher, wer für den schlechten Zustand der eigenen SAP-Sicherheit zur Verantwortung zu ziehen wäre. 21 Prozent der Befragten der Ponemon-Studie hielten die IT-Infrastruktur-Teams verantwortlich, 19 Prozent das SAP-Sicherheitsteam, 18 Prozent die allgemeine IT-Sicherheit, sechs Prozent wiederum die Audit-Teams. Und zwei Prozent denken, diese Kompetenz falle in den Bereich des Aufsichtsrat.
Die bedenkliche Konsequenz einer solchen Unklarheit bezüglich der Zuständigkeiten ist eine regelrechte Sicherheits-Verantwortungslosigkeit. In jedem vierten Unternehmen wird laut der Ponemon-Studie die SAP-Sicherheit stiefmütterlich behandelt. Laut Ponemon-Umfrage liegt bei etwa einem Viertel der Befragten die Hauptverantwortung für die SAP-Sicherheit am Ende tatsächlich bei niemandem - ein unglaubliches und alarmierendes Kompetenzvakuum.
Solche Umfrageergebnisse zeigen deutlich, wie unklar die Verantwortung der SAP-Sicherheit verteilt ist. Allein das offenbart schon ein weiteres Sicherheitsrisiko. Ein weiteres Ergebnis dieser Unsicherheit ist eine undeutliche, kaum definierte SAP-Sicherheitspolitik.
Die Geschichte von SAP
2016
Auf der Kundenkonferenz Sapphire kündigte SAP im Mai eine Kooperation mit Microsoft an. Beide Hersteller wollen künftig SAPs In-Memory-Plattform HANA auf Microsofts Cloud-Infrastruktur Azure unterstützen. Microsofts CEO Satya Nadella sagte: "Gemeinsam mit SAP schaffen wir ein neues Maß an Integration innerhalb unserer Produkte."
2016
SAP und Apple wollen gemeinsam native Business-iOS-Apps für iPhone und iPad entwickeln. Experten sehen SAPs Festlegung auf eine mobile Plattform kritisch und monieren fehlende Offenheit. Anwendervertreter reagierten überrascht und verlangten Aufklärung was die neue Mobile-Strategie bedeutet.
2015
Im Sommer verunglückt SAP-CEO Bill McDermott bei der Geburtstagsfeier seines Vaters. Er stürzt mit einem Glas auf der Treppe und verliert nach einer Operation ein Auge. Im Herbst meldet sich der US-amerikanische Manager als wieder voll einsatzfähig zurück.
2015
Im Februar stellt SAP mit S/4HANA eine neue Generation seiner Business-Software und damit den Nachfolger für die Business Suite vor. SAP definiere damit das Konzept des Enterprise Resource Planning für das 21. jahrhundert neu, pries SAP-Chef Bill McDermott die Neuentwicklung. Für den Großteil der Unternehmen dürfte das Produkt noch Zukunft bleiben, konterte die Anwendervereinigung DSAG. Die Prioritäten vieler Kunden lägen eher auf klassischen Projekten rund um das ERP-System.
2014
SAP-Technikchef Vishal Sikka gibt im Mai seinen Posten auf und wird CEO von Infosys. SAP sucht lange einen Nachfolger für Sikka, holt im November schließlich den langjährigen Microsoft-Manager Quentin Clark für diesen Posten.
2012
Die Walldorfer setzen mit dem Kauf des amerikanischen Cloud-Computing-Anbieters SuccessFactors ihren Weg ins Cloud-Geschäft fort – nachdem kurz zuvor Wettbewerber Oracle RightNow übernommen hat. Der Kaufpreis lag mit 2,4 Milliarden Euro über die Hälfte höher als der aktuelle Marktwert. Cloud-Services werden mit der SuccessFactors-Lösung vor allem im Human-Ressources-Umfeld angeboten. Außerdem schnappt sich SAP den weltweit zweitgrößten Cloud-Anbieter für Handelsnetzwerke Ariba für 3,3 Milliarden Euro.
2011
In 2011 ist das Formtief vergessen, die Walldorfer fahren die besten Ergebnisse ihrer Geschichte ein. Die Innovationsstrategie geht auf, auch wenn zwischendurch gezweifelt wurde, ob SAP seinen Kunden nicht davon-sprintet: 2011 implementieren die ersten Kunden die In-Memory-Plattform HANA, immer mehr Kunden nutzen die mobilen Lösungen, die aus dem Sybase-Deal entstanden sind.
2010
Der Paukenschlag: Hasso Plattner reißt mit dem Aufsichtsrat das Ruder herum. Der glücklose Léo Apotheker, der zuvor mit der Erhöhung der Wartungsgebühren viele Kunden vor den Kopf gestoßen hatte, muss gehen. Die neue Doppelspitze aus Bill McDermott und Jim Hagemann Snabe verspricht den Anwendern wieder mehr Kundennähe. CTO Vishal Sikka wird Vorstandsmitglied und SAP übernimmt Sybase, einen Anbieter für Informationsmanagement und die mobile Datennutzung, zum Preis von etwa 5,8 Milliarden Dollar.
2008
Mit der Erhöhung der Wartungsgebühren von 17 auf 22 Prozent und den Modalitäten des „Enterprise Support“, die viel Aufwand für die Anwender bringen, verärgert SAP seine Kunden massiv. Trotz intensiver Auseinandersetzung auf dem DSAG-Kongress bleibt SAP bei seiner Linie. Mittlerweile ist Léo Apotheker zweiter Vorstandssprecher neben Kagermann. Ende des Jahres beugt sich SAP dem Kundenwiderstand.
2008
Die größte Übernahme in der Unternehmensgeschichte: 2008 kauft SAP den Business-Intelligence-Spezialisten Business Objects für 4,8 Milliarden Euro und wird damit der bisherigen Strategie untreu, aus eigener Kraft zu wachsen. Die Integration mit der eigenen SAP-BI-Palette gestaltet sich aufwendig und wird sich über mehrere Jahre hinziehen. Die 44.000 BO-Kunden sollen dabei helfen, die Kundenzahl bis 2010 auf 100.000 zu steigern.
2007
Über viele Jahre hinweg entwickelt SAP an der SaaS-ERP-Lösung Business byDesign für kleinere Unternehmen. Rund drei Milliarden Euro wurden laut „Wirtschaftswoche“ im Entstehungsprozess versenkt. Trotz der Arbeit von 3000 Entwicklern kommt die Software Jahre zu spät. Obwohl innovativ, hat es die Lösung schwer im deutschen Markt. 2013 wird byDesign ins Cloud-Portfolio überführt.
2006
Mit „Duet“ bringen SAP und Microsoft eine gemeinsame Software auf den Markt, mit der sich MS Office einfach in SAP-Geschäftsprozesse einbinden lassen soll. 2006 wird auch die Verfügbarkeit der neuen Software SAP ERP angekündigt, die auf dem SOA-Prinzip (Service oriented Architecture) basiert.
2003
Abschied des letzten SAP-Urgesteins: Hasso Plattner zieht sich aus dem Vorstand zurück und geht in den Aufsichtsrat, Henning Kagermann wird alleiniger Vorstandsprecher. SAP stellt die Integrationsplattform NetWeaver vor, die Basis für künftige Produkte sein soll. Die Mitarbeiterzahl liegt jetzt bei 30.000.
2002
Der ERP-Hersteller will das bisher vernachlässigte Feld der KMUs nicht mehr dem Wettbewerb überlassen. Auf der CeBIT 2002 stellt SAP mit Business One eine ERP-Lösung für kleine bis mittelständische Unternehmen mit rund fünf bis 150 Mitarbeitern vor. Doch einfach haben es die Walldorfer in diesem Marktsegment nicht. Zu stark haftet der Ruf an den Walldorfern, hauptsächlich komplexe und teure Lösungen für Konzerne zu bauen.
1999
Die New Economy boomt und der E-Commerce hält Einzug bei SAP: Plattner kündigt die neue Strategie von mySAP.com an. Die Software soll Online-Handels-Lösungen mit den ERP-Anwendungen auf Basis von Webtechnologie verknüpfen. Im Vorjahr hatten die Walldorfer ihr Team um die Hälfte verstärkt, jetzt arbeiten 20.000 Mitarbeiter bei SAP. Weil die Kunden beim Umstieg mehr zahlen sollen, gibt es längere Zeit Gegenwind, schließlich werden die Internet-Schnittstellen auch im Rahmen der R/3-Wartung geboten. Derweil ist die Zentrale gewachsen.
1997
Die SAP-Anwender organisieren sich in der Deutschsprachige SAP-Anwendergruppe e.V. (DSAG), um ihre Interessen gemeinsam besser vertreten zu können. Laut Satzung ist das Ziel des Vereins die „partnerschaftliche Interessenabstimmung und Zusammenarbeit zwischen SAP-Softwarebenutzern und SAP zum Zweck des Ausbaus und der Verbesserung der SAP-Softwareprodukte“.
1997
Der ERP-Hersteller feiert sein 25. Jubiläum, zum Gratulieren kommt Bundeskanzler Helmut Kohl, der im Jahr darauf von Gerhard Schröder abgelöst wird. Der Umsatz liegt bei über sechs Milliarden Mark, das Geschäftsergebnis erstmals über der Milliarden-Grenze. Mehr als zwei Drittel werden im Ausland erwirtschaftet. SAP beschäftigt knapp 13.000 Mitarbeiter und geht an die die Börse in New York (NYSE).
1995
1995 versucht der ERP-Anbieter erstmals, in Zusammenarbeit mit Systemhäusern den Mittelstandsmarkt zu beackern. Es sollte noch einige Jahre dauern, bis sich mehr mittelständische Unternehmen auf die komplexe Software einlassen wollten. Mit knapp 7.000 Mitarbeitern erwirtschaftet SAP einen Umsatz von 2,7 Milliarden Mark, mehr als doppelt so viel wie noch zwei Jahre zuvor. Rudolf Scharping, damals noch SPD-Parteivorsitzender, kommt zu Besuch.
1993
Shake-Hands zwischen Plattner und Gates. SAP schließt ein Kooperationsabkommen mit Microsoft ab, um das System R/3 auf Windows NT zu portieren. SAP kauft zudem Anteile am Dokumentenmanagement-Anbieter IXOS. Zum ersten Mal überschreiten die Walldorfer die Milliardengrenze beim Umsatz.
1992
Seit 1992 wird R/3 ausgeliefert. Die Walldorfer hatten die Software für die AS/400 von IBM konzipiert, nach Performance-Problemen wich man auf Unix-Workstations mit Oracle-Datenbank im Client-Server-Prinzip aus. Das internationale Geschäft wächst: 1992 verdient die SAP im Ausland schon knapp die Hälfte von dem, was sie in Deutschland einnimmt. Der Gesamtumsatz beläuft sich auf 831 Millionen Mark. 3157 Mitarbeiter sind jetzt für SAP tätig.
1991
In diesem Jahr steigt Henning Kagermann (rechts im Bild), der seit 1982 die Entwicklungsbereiche Kostenrechnung und Projektcontrolling verantwortet, in den Vorstand auf.
1990
SAP übernimmt das Softwareunternehmen Steeb zu 50 Prozent und das Softwarehaus CAS komplett, um das Mittelstandsgeschäft zu verstärken. Die Mauer ist gefallen und die Walldorfer gründen gemeinsam mit Siemens Nixdorf und Robotron die SRS in Dresden. Die Berliner Geschäftsstelle wird eröffnet und SAP hält seine erste Bilanzpressekonferenz ab.
1988
SAP geht an die Börse: Hasso Plattner am ersten Handelstag der SAP-Aktie.
1987
Der erste Spatenstich: Dietmar Hopp startet 1987 den Bau der SAP-Zentrale in Walldorf.
1983
1983 zählt das Unternehmen 125 Mitarbeiter und erwirtschaftet 41 Millionen Mark im Jahr. Nach der Fibu adressiert SAP auch das Thema Produktionsplanung und -steuerung. Beim Kunden Heraeus in Hanau wird zum ersten Mal RM-PPS installiert. Im Jahr zuvor hatten die Gründer von SAP (v.l.: Dietmar Hopp, Hans-Werner Hector, Hasso Plattner, Klaus Tschira) zehnjähriges Jubiläum gefeiert.
1979
SAP setzte sich mit dem Datenbank- und Dialogsteuerungssystem der IBM auseinander: Das war der Auslöser eine die Neukonzeption der Software und Grundstein für SAP R/2. Aus den Realtime-Systemen entstand in den 70iger Jahren das Online Transaction Processing (OLTP). So sahen Anfang der 80iger Jahre die Arbeitsplätze bei SAP aus.
1976
Die Software sollte Lohnabrechnung und Buchhaltung per Großrechner ermöglichen. Anstatt auf Lochkarten wurden die Daten per Bildschirm eingegeben – das nannte sich Realtime und das „R“ blieb über Jahrzehnte Namensbestandteil der Lösungen. Weil die Software erstmals nicht nur für ein Unternehmen entwickelt wurde, sondern universeller einsetzbar war, gilt SAP als Miterfinder des Standardsoftware-Ansatzes. Aber auch der Fußball kam nicht zu kurz: Das Computerteam mit Hasso Plattner und Dietmar Hopp auf dem Feld.
1972
1972 gründen die fünf ehemalige IBM-Mitarbeiter Claus Wellenreuther, Hans-Werner Hector, Klaus Tschira, Dietmar Hopp und Hasso Plattner das Unternehmen „SAP Systemanalyse und Programmentwicklung“. Sie wollen eine Standardanwendungssoftware für die Echtzeitverarbeitung schaffen, die sich für unterschiedliche Unternehmen nutzen lässt und die Lochkarten ablöst.
Unsicherheit hat viele Ursachen
Ein möglicher Grund für diese unklaren Verantwortlichkeiten liegt vielleicht darin, dass viele Verantwortliche sich nicht in der Lage fühlen, Gefahren und Angriffe zu erkennen und abzuwehren. Daher tun sie sich in der Folge schwer, Verantwortungen zu verteilen oder zu übernehmen. Dafür gibt es verschiedene Gründe:
Ressourcenmangel: Viele Verantwortliche kommen gar nicht erst hinterher, die neuen Sicherheitsupdates einzuspielen. Diese erfordern oft aufwändige Neukonfigurationen. In der Folge nutzen Angreifer bereits bekannte und gut dokumentierte Schwachstellen aus.
Unwissenheit: Die Beteiligten kennen die Topologie der eigenen SAP-Infrastruktur mitsamt der Entwicklungs- und Qualitätssicherungssysteme sowie die Wechselwirkungen von Daten und Anwendungen nur ungenau. Ein Überblick über bestehende Sicherheitslücken fehlt.
Unverständnis: Beim rein technischen Beschreiben einer Lücke bleibt deren Auswirkung für das Geschäft unklar. Oft ermöglicht eine unsichere Konfiguration einen Betrug durch Usurpation oder Ausweitung privilegierter Nutzerrechte - zum Beispiel durch das Anlegen eines neuen Zulieferers, für den man die Rechnungen auf das eigene Konto überweist. Oder sie ermöglicht Sabotage, weil sie die Verfügbarkeit von Prozessen und Daten beeinträchtigt. Ebenso unterstützt sie eventuell Spionage, weil Tabellen mit Kunden-, Personal- oder Produktionsdaten ausgelesen werden können. In der Folge fehlt eine Priorisierung der Gefahrenabwehr nach betriebswirtschaftlichen Kriterien.
Resignation bis hin zur "Verantwortungslosigkeit": Durch die unklare Risikolage können Unternehmen Lücken weder schließen, noch zu deren Schließung auffordern oder Gefahren abwehren. Eine faire Verteilung von Verantwortlichkeiten bleibt in der Folge aus. Keiner kann verlangen, was nicht möglich zu sein scheint und keiner übernimmt freiwillig diese Aufgabe.
Grundlagenarbeit sorgt für Abhilfe
Zuallererst verursachen fehlende Technologien zur automatischen, kontinuierlichen Überwachung und Kontrolle von SAP-Implementierungen sowie zur Abwehr von Angriffen diese Unsicherheit. Aussagen der Beteiligten zeigen aber auch, wie viele Ansprechpartner im Unternehmen in den SAP-Sicherheitsprozess involviert sein können und sein müssen. Erst breit aufgestellte Teams, die alle Beteiligten - CISO, den IT-Security-Zuständigen, die Fachabteilungen und das SAP-Basisteam - an einen Tisch bringen, schaffen Sicherheit.
Das Einmaleins der IT-Security
Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation
Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren.
E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren.
Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles
Kontrolle der Logfiles
Datensicherung
Auslagerung der Datensicherung
Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls
Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Dafür fehlt es aber oft schon an der Diskussionsgrundlage: den Ergebnissen eines automatischen und kontinuierlichen Verzeichnisses von Sicherheitslücken. Diese zeigen auf, welche Lücke man wie und in welcher Reihenfolge schließen muss. Erst die dadurch geschaffene Diskussionsgrundlage ermöglicht es, alle Beteiligten am runden Tisch zusammenzubringen und Verantwortlichkeiten fair und nachvollziehbar zu verteilen. Damit können sich SAP-Sicherheitsteams den Anforderungen stellen, die Sicherheitslage zu analysieren, zur Abwehr von Angriffen durch Behebung von Fehlkonfigurationen aufrufen und ungewöhnliche Aktivitäten überwachen.