Business App Security

Ist Ihr SAP sicher?

Ryan Francis arbeitet als leitender Redakteur für die CW-Schwesterpublikationen Network World und CSO.
Florian beschäftigt sich mit dem Themenbereich IT-Security und schreibt über reichweitenstarke und populäre IT-Themen an der Schnittstelle zu B2C. Daneben ist er für den Facebook- und LinkedIn-Auftritt der COMPUTERWOCHE zuständig.
Ihr SAP-System sollte Ihr Fort Knox sein, schließlich sind geschäftskritische Applikationen so schützenswert wie Kronjuwelen. So finden Sie heraus, wie es um Ihre SAP-Sicherheit steht.

Können Sie überhaupt mit Sicherheit sagen, ob bereits ein Cyberangriff stattgefunden hat, oder auch nicht? Haben Sie die Schwachstellen Ihrer Systeme identifiziert und schon Schritte unternommen, um Angriffe zu verhindern, die Sie 22 Millionen Dollar pro Minute kosten können? Oder stellen Sie gerade fest, dass die SAP-ERP-Implementationen viel zu gewaltig sind, um alles managen zu können - gerade hinsichtlich der Sicherheit?

Klaffende Lücken in der SAP-Landschaft? So finden Sie heraus, ob Ihre Systeme sicher sind.
Klaffende Lücken in der SAP-Landschaft? So finden Sie heraus, ob Ihre Systeme sicher sind.
Foto: dvoevnore - shutterstock.com

In Zusammenarbeit mit David Binny, Vice President of Product Management beim ERP-Dienstleister Panaya, sagen wir Ihnen, wie Sie herausfinden, ob Ihr SAP-System sicher ist. Dazu sollten Sie sich die folgenden zehn Fragen stellen.

Welche Priorität hat Security?

Warten Sie lieber ab, bis der Blitz einschlägt und reagieren erst dann - also in der Regel viel zu spät, um noch Schaden abzuwenden zu können - oder steht die Wartung Ihrer SAP-Systeme in Sachen IT-Sicherheit ganz weit oben auf Ihrer Prioritätenliste?

Ihre Meinung ist gefragt!

Führen Sie zum Beispiel regelmäßige Security- und Compliance-Audits ihres ABAP-Codes durch? Einer Onapsis-Studie zufolge "verzichten" darauf nämlich 70 Prozent der Befragten. Laut einer anderen Studie des Ponemon Institutes sehen es fast drei von vier der Befragten als entscheidend für das Management von Security-Risiken an, dass das SAP-Ökosystem eines Unternehmens stets auf dem neuesten Stand ist. Würden Sie sich zutrauen, eine Kompromittierung ihres SAP-Systems innerhalb eines Jahres aufzudecken?

Wer ist für Sicherheit verantwortlich?

In vielen Fällen bleibt leider ziemlich unklar, wer für die Sicherheit der SAP-Systeme überhaupt verantwortlich ist. Vor kurzem hat eine Studie ans Licht gebracht, warum das so ist: Jeder zweite denkt, dass die Verantwortung für die IT-Sicherheit bei SAP liegt und nicht im eigenen Unternehmen. Bemerkenswert: 30 Prozent der Befragten denken, dass gar niemand dafür verantwortlich ist. Nur eine verschwindend geringe Zahl der Befragten ist der Meinung, dass das der Job des CIO oder CISO ist.

Solange die Verantwortlichkeit für IT-Security in der Luft hängt, sind die wesentlichen Schlüsselpositionen im Fall eines Angriffs handlungsunfähig. Und die Konsequenzen können teuer werden. Sie sollten also nicht länger abwarten und - insofern noch nicht geschehen - unbedingt eine Person oder Gruppe von Personen bestimmen, die in Sachen SAP-Security den Hut aufhat.

Wann war das letzte EHP-Update?

Stellen Sie sicher, dass Ihr Unternehmen in Sachen Technologie und Security-Updates auf der Höhe der Zeit ist. Enhancement Packages (EHPs) werden für die SAP Business Suite auf regelmäßiger Basis ausgerollt. Dieser Vorgang kommt im Wesentlichen einem Software-Update gleich und beinhaltet funktionale Erweiterungen, etwa UI-Vereinfachungen und service bundles. Wenn Ihr Unternehmen das eigene SAp-System mit den neuesten EHPs versorgt, sinkt die Gefahr klaffender Sicherheitslücken, die Sie teuer zu stehen kommen können.

Ist SPS installiert?

Ja, Support Package Stacks (SPS) zu installieren dauert ziemlich lange. Aber Sie können es sich schlicht nicht leisten, auf sie zu verzichten. SAP empfiehlt, diese mindestens einmal im Jahr einzusetzen. Bislang haben die Walldorfer in diesem Rahmen mehr als 3300 Security-Patches veröffentlicht. Auch wenn vom SPS-Release bis zum Ausrollen mehr als sechs Monate vergehen können - es ist immer noch besser, als Ihre Systeme ohne jegliche Update- und Patching-Prozesse laufen zu lassen. Sie sollten also einen möglichst effektiven und effizienten Weg für die SPS-Implementierung finden.

Sicherheit oder Funktionalität?

Das US Department of Homeland Security stellte kürzlich fest, dass mindestens 36 Konzerne weltweit von Security-Schwachstellen in SAP-Systemen betroffen sind. Die Gründe: Keine Patch-Policy, Konfigurationsfehler und veraltete Systeme. SAP hat das Problem zwar behoben, dabei stellte man allerdings fest, dass viele Kunden geschäftskritische Applikationen (in der Regel solche, die Einnahmen generieren) während der Sicherheits-Updates weiterlaufen lassen - trotz der Gefahr fehlerhafter Patches.

Eigener Code schon über Bord?

Wenn nicht, dann sollten Sie das jetzt erledigen. Sofort. Proprietäre Weiterentwicklungen von SAP-Systemen sind nach wie vor weit verbreitet. Das Problem: Statistiken zeigen, dass eine von 1000 ABAP-Codezeilen eine kritische Sicherheitslücke beherbergt. Jede Zeile ist also ein potenzielles Risiko. Im schlimmsten Fall erschleicht sich ein Angreifer so vollen Zugriff auf die Unternehmensdaten. Weil der Großteil des selbst geschriebenen Codes oft ohnehin nicht zur Anwendung kommt, beziehungsweise SAP meist selbst bereits entsprechende Funktionalitäten in seine Software eingebaut hat, empfehlen Experten, eigene Anpassungen über Bord zu werfen (oder zumindest sicherheitskritische Stellen zu überprüfen und zu härten) und zu einer Standard-Installation zurückzukehren, um potenzielle IT-Sicherheitsrisiken drastisch zu minimieren.

Sind die SAP-Apps auf dem neuesten Stand?

Der Schlüssel zu sicheren SAP-Systemen ist fortwährendes Monitoring. Zwei Security-Vorfälle innerhalb eines Zeitraums von 24 Monaten stehen inzwischen in Zusammenhang mit SAP-Systemen. Darüber hinaus glauben 75 Prozent aller IT-Experten, dass ihre SAP-Plattformen mit Malware infiziert sind. Man muss also kein Prophet sein, um zu erkennen, dass die Bedrohungen und die Angriffe auf SAP-Infrastrukturen weiter steigen werden. Um Zero-Day-Schwachstellen in SAP-Applikationen zu vermeiden, sollten Sie also wachsam bleiben und sicherstellen, dass Ihre Business Apps stets auf dem neuesten Stand sind. Zur Analyse und für das Update-Management stehen Ihnen verschiedene Tools zur Verfügung.

Wann war die letzte ERP-Kontrolle?

Unternehmen haben nur begrenzten Einblick in die Sicherheit ihrer SAP-Applikationen. Das macht die Aufdeckung von Cyberangriffen und die Einleitung entsprechender Gegenmaßnahmen schwieriger. In der Praxis dauert es bei vielen Unternehmen ein ganzes Jahr, bis ein Angriff bemerkt wird - also viel zu lange. Um die Sicherheit Ihres ERP-Systems so gut wie möglich gewährleisten zu können, sind regelmäßige Checkups in kürzeren Abständen unerlässlich. Davon abgesehen erlangen Sie so auch ein besseres Verständnis Ihrer ERP-Architektur und können mögliche Problemstellungen schon vor einer Änderung erkennen und umgehen.

Digitalisiert und trotzdem risikoarm?

Es hilft alles nichts - die Welt verändert sich. Und ein wesentlicher Treiber ist dabei die Digitalisierung. Wie aber greift man neue Technologien und Trends wie Cloud, Mobile und IoT auf, und umschifft dabei gleichzeitig die ihnen innewohnenden Sicherheitsrisiken? Dazu müssen Sie in erster Linie wachsam sein. Und agil. Tools zur Qualitätssicherung etwa überwachen bei jeder Änderung Sicherheit, Funktionalität und Performance Ihrer SAP-Landschaft.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation csoonline.com.