SAP-Sicherheit

So sichern Sie die BTP richtig ab

13.04.2023
Von   IDG ExpertenNetzwerk
Christoph Aschauer berät Unternehmen im Bereich der Integration von SAP in das zentrale Sicherheitsmonitoring mit SIEM-Systemen. Zuvor war er in leitenden Positionen bei Orange Cyberdefense Germany, SecureLink Germany und iT-CUBE SYSTEMS. Davor arbeitete er mehrere Jahre als freiberuflicher SAP Technical Consultant, SAP-Entwickler und SAP-Consultant sowie Programmierer bei Plecto AG.
Die Business Technology Platform (BTP) bildet das Fundament für SAPs Anwendungslandschaft. Daher sollten an dieser Stelle solide Security-Mechnismen greifen. Lesen Sie, worauf Sie dabei achten sollten.
SAP-Systeme bilden in vielen Unternehmen die Schaltzentrale für den gesamten Betrieb. Umso wichtiger ist es, diesen Teil der IT-Infrastruktur gut abzusichern.
SAP-Systeme bilden in vielen Unternehmen die Schaltzentrale für den gesamten Betrieb. Umso wichtiger ist es, diesen Teil der IT-Infrastruktur gut abzusichern.
Foto: Funtap - shutterstock.com

Die Absicherung von SAP-Systemen wird zu einem immer wichtigeren Aspekt für den Geschäftsbetrieb. Sind SAP-Systeme nicht sicher, riskieren Unternehmen, dass geschäftskritische Daten gestohlen oder veröffentlicht werden oder auch Lösegeld erpresst wird. Da immer mehr Unternehmen ihre SAP-Anwendungen in die Cloud migrieren und sich damit die Anwendungslandschaften massiv verändern, ist es von entscheidender Bedeutung, sich mit den damit verbundenen Problemen für die Cybersicherheit auseinanderzusetzen.

Die SAP Business Technology Platform (BTP) ist ein Platform-as-a-Service-Angebot (PaaS), das es Unternehmen ermöglicht, neue Anwendungen zu entwickeln oder bestehende Anwendungen in einer sicheren, unternehmensgeführten Cloud-Computing-Umgebung zu betreiben. Die Plattform soll es Unternehmen erlauben, durchgängige Geschäftsprozesse zu gestalten sowie SAP-Anwendungen zu integrieren und schnell zu erweitern. Für die Anwender geht es darum, über die BTP Daten besser zu nutzen, Prozesse zu optimieren und Kosten einzusparen.

Unternehmen können für diese Plattform aus verschiedenen Services und Lösungen zahlreicher Cloud-Infrastructure-Provider wählen. Die Multi-Cloud-Foundation unterstützt verschiedene Regionen/Länder sowie eine Vielzahl an Programmiersprachen und Umgebungen wie Cloud Foundry, ABAP und Kyma.

SAP vereint auf der BTP Geschäftsanwendungen für Cloud- und hybride Umgebungen, darunter Hunderte von vorkonfigurierten Integrationen für SAP-Anwendungen und Applikationen von Drittanbietern – inklusive Datenbank- und Datenmanagement sowie Funktionen für die Analyse, für die Integration und für Erweiterungen. Jeder Service umfasst eine Vielzahl von einzelnen Diensten und Funktionalitäten.

Die Grundsätze der SAP-Sicherheit

SAP stellt also die Tools und die Architektur bereit, die die Sicherheit und den Datenschutz der Cloud-Umgebung und der Nutzer gewährleisten sollen. Die BTP wird weltweit in SAP-eigenen Rechenzentren sowie von Infrastructure-as-a-Service-Providern (IaaS) in deren Clouds betrieben. Um die eigene globale Reichweite zu erhöhen, kooperiert SAP mit IaaS-Anbietern und nutzt deren bestehende Infrastruktur, anstatt selbst eigene Cloud-Ressourcen von Grund auf neu aufzubauen. Die Data-Center von SAP unterliegen hohen Sicherheitsstandards und sind nach ISO 27001 zertifiziert. Darüber hinaus erfüllen die Rechenzentren eine Reihe weiterer Sicherheitsstandards:

  • SAP überträgt keine Kundendaten außerhalb des definierten Bereichs und gibt keine Informationen an unbefugte Dritte weiter.

  • Der Co-Location-Provider hat keinen administrativen Zugriff auf die SAP-Server.

  • Die Leistungen des Cloud-Providers erstrecken sich ausschließlich auf die Bereitstellung von Gebäuden, Kühlung und Energie.

  • Alle SAP-Data-Center sind rund um die Uhr videoüberwacht und werden durch Sicherheitspersonal geschützt.

Viele Unternehmen sind sich jedoch der Gefahren nicht bewusst, die von Sicherheitslücken in den SAP-Anwendungen selbst ausgehen. Aufgrund der Vielzahl an Komponenten und des hohen Umfangs der betroffenen Bereiche und Prozesse, einschließlich Anwendungen, Infrastruktur und Betrieb, ist es von entscheidender Bedeutung, dass Unternehmen eine solide Sicherheitsstrategie verfolgen, die sich auf diese drei Säulen konzentriert:

  • Sichere Produkte: Sicherheit muss ein integraler Bestandteil in allen Anwendungen sein, um ein Höchstmaß an Schutz für Inhalte und Transaktionen zu gewährleisten.

  • Sicherer Betrieb: Der Cloud-Betrieb muss durchgängig sicher sein, um Kundendaten und Geschäftsprozesse umfassend schützen zu können.

  • Sicheres Unternehmen: Für den Schutz des Unternehmens sind sicherheitsbewusste Mitarbeiter, eine physische Ende-zu-Ende-Sicherheit aller SAP-Assets und ein umfassendes Business-Continuity-Framework zwingend erforderlich.

Zudem sollte die Sicherheitsarchitektur der Plattform die Kundendaten sowie die Kundensysteme von den Services isolieren, die diese nutzen. Dies lässt sich mittels Sandboxing der Anwendung und des Netzwerks erreichen:

  • Application-Sandbox: Beschränken und verwalten Sie die Funktionalität einer Anwendung nur innerhalb des Containers, in dem die Anwendung ausgeführt wird.

  • Network-Sandbox: Beschränken und verwalten Sie den Zugriff der Anwendung auf andere System-Views.

Ohne Sandboxing können eine Anwendung oder andere Systemprozesse uneingeschränkt auf alle Kundendaten und System-Ressourcen auf der Plattform zugreifen.

Die Security-Services von SAP BTP

Die Migration in die Cloud geht oftmals mit einem gefühlten Kontrollverlust und einer gewissen Unsicherheit hinsichtlich der Verantwortlichkeit einher. SAPs BTP bietet drei Security-Services für die Authentifizierung, die Administration der Benutzerkonten und Berechtigungen für SAP-Cloud-Anwendungen sowie deren Verwaltung aus Governance-Perspektive.

  • Mit dem SAP Cloud Authentication Service (IAS) können Unternehmen ihren Mitarbeitern, Kunden und Geschäftspartnern einen Cloud-basierten Zugriff auf die benötigten Unternehmensprozesse, Anwendungen und Daten ermöglichen. Authentifizierungsmechanismen wie Single-Sign-On, die On-Premises-Integration sowie Self-Service-Optionen sind integrierte Funktionen für SAP-Cloud-Anwendungen.

  • Der SAP Cloud Identity Provisioning Service (IPS) automatisiert die Identity-Lifecycle-Prozesse. Dieser Service stellt Identitäten und Berechtigungen für eine Vielzahl von Cloud- und On-Premises-Geschäftsanwendungen bereit. Benutzerkonten und Berechtigungen können automatisiert bereitgestellt werden. Vorhandene Identity-Stores, wie beispielsweise das unternehmensweite Active Directory, können zur Unterstützung heterogener Umgebungen genutzt werden.

  • Der SAP Cloud Identity Access Governance Service (IAG) bietet eine Reihe von Funktionen für das Identitäts- und Zugriffsmanagement. Hierzu zählen unter anderem Self-Service-Zugriffsanfragen, die Analyse von Zugriffsrisiken oder auch die Ausgestaltung der Benutzer-Rollen für On-Premises- und Cloud-Anwendungen. Jeder der in SAP Cloud IAG enthaltenen Services kann unabhängig oder in Kombination genutzt werden.

Diese Security-Services bieten zwar ein gewisses Maß an Sicherheit, lassen aber dennoch andere Bereiche ungeschützt. Dabei gilt es zu beachten, dass die SAP-Security-Services die Anwendungsebene nicht abdecken. Das heißt, Unternehmen wissen nicht, ob es hier zu Sicherheitsverletzungen kommt. Zudem haben Security-Verantwortliche so nur einen unvollständigen Überblick über den aktuellen Sicherheitsstatus in ihrem Unternehmen.

Um diese blinden Flecken ans Licht zu bringen und die Sicherheit von SAP BTP zu erhöhen, können Unternehmen den SAP Audit Log Viewer nutzen. Dieses Tool speichert bestimmte Logdaten über sicherheitsrelevante Vorfälle in chronologischer Reihenfolge, um einen dokumentierten Nachweis zu einem Ereignis zu liefern, beispielsweise der Anmeldung eines Benutzers auf der BTP. Mit den richtigen Tools können Sicherheitsteams diese Daten interpretieren und erhalten so den Kontext sowie die notwendigen Erkenntnisse zum Schutz der Anwendungsebene.

Sicherheitslücken in SAP BTP

SAP BTP ist ein offenes System und als solches immer anfällig für Cyberangriffe. So wird SAP BTP beispielsweise für Integrationen verwendet, die potenziell Sicherheitslücken öffnen und damit eine erhebliche Bedrohung darstellen. Für einen umfassenden Schutz empfiehlt SAP folgende Maßnahmen:

  • Nutzen Sie eine Zwei-Faktor-Authentifizierung, um die Administrator-Konsole zu schützen.

  • Gestalten Sie Ihre URLs so spezifisch wie möglich.

  • Begrenzen Sie die Anzahl der Root-Zertifikate der Zertifizierungsstelle (CA), denen der Cloud Connector vertrauen kann.

  • Verwenden Sie keine älteren TLS-Versionen.

  • Vertrauen Sie nicht allen Server-Zertifikaten für Web-Sockets.

  • Prüfen Sie regelmäßig die Release-Notes für Cloud Connector-Updates, da SAP diese Softwarekomponente nicht automatisch aktualisieren kann.

Neben den Empfehlungen von SAP lohnt es sich, eine SIEM-Lösung für die SAP BTP-Sicherheitsdaten zu nutzen, da diese zusätzliche Transparenz über die Plattform, die Anwendungen und die Integrationen hinweg schafft. Dies bietet einen ganzheitlichen Ansatz für die SAP-Sicherheit und einen vollständigen Überblick über die Sicherheitslage.

SAP BTP ist eine Technologie, die sich kontinuierlich weiterentwickelt. Auch wenn Sie mit den Sicherheitsprinzipien von SAP BTP vertraut sind, sollten Sie sich dennoch kontinuierlich über die aktuelle Bedrohungslage, Änderungen und Innovationen informieren. Sie können sich auf den Community-Sites, in Blogs und im Hilfe-Portal von SAP auf dem Laufenden halten. (ba/fm)