Obwohl Systeme für das Enterprise Resource Planning (ERP) das Herzstück der Unternehmens-IT bilden, fristet das Thema Sicherheit an dieser Stelle vielerorts noch ein Schattendasein. Mit gravierenden Folgen, wie eine IDC-Umfrage unter IT-Entscheidern aus Unternehmen zeigt, die mit SAP oder der Oracle E-Business Suite arbeiten. So geben 64 Prozent an, dass es bei ihren ERP-Systemen in den vergangenen zwei Jahren zu Datendiebstählen kam.
Besonders interessiert zeigten sich die Angreifer an Vertriebs- und personenbezogenen Kundendaten, geistigem Eigentum und Finanzdaten, die einen Hebel für Insiderhandel, Absprachen und Betrugsdelikte bieten. Zwei Drittel der befragten CIOs schätzen, dass die durch Angriffe verursachten ERP-Ausfallzeiten ihr Unternehmen durchschnittlich 50.000 US-Dollar jede Stunde kosten.
1. Bewusstsein erzeugen und Strategie aufsetzen
Da die Hacker oft in die SAP-Systeme eindringen, ohne Spuren zu hinterlassen, dauert es einer Studie von Accenture zufolge im Durchschnitt bis zu 80 Tage, bis die Angriffe überhaupt entdeckt werden. Weitere 50 Tage werden benötigt, um einen Vorfall zu beheben und die Sicherheitslücke zu schließen.
Lesen Sie zum Thema ERP auch:
Angesichts der damit verbundenen, enormen Risiken sollte jedes SAP-Anwenderunternehmen eine ganzheitliche SAP-Sicherheitsstrategie entwickeln, die sämtliche relevanten Prüfbereiche einbezieht: von ABAP-Eigenentwicklungen und Schnittstellen über Sicherheitsupdates und Protokollierungen bis hin zu Transporten, Systemkonfigurationen und RFC (Remote Function Call)-Verbindungen.
2. Transparenz über SAP-Risiken schaffen
CIOs brauchen umfassende Transparenz, um den SAP-Sicherheitsstatus beurteilen zu können. Diese Transparenz ist mit dem weitverbreiteten "Three Lines of Defense"-Modell, das sie mit Berichten aus drei verschiedenen Abteilungen versorgt, nicht zu erreichen.
Da sind zum einen die Reports aus der SAP-Abteilung, die meist nicht alle sicherheitsrelevanten Aspekte enthalten. Denn welcher Entwickler gibt schon gerne zu, fehlerhaften ABAP-Eigencode produziert zu haben und für unzureichende Systemeinstellungen verantwortlich zu sein?
Die zweite Säule, die IT-Sicherheitsabteilung, ist sich der SAP-Risiken meist gar nicht bewusst, da sie kein SAP-Wissen besitzt. Läuft in der SAP-Landschaft etwas schief, können die Verantwortlichen die entsprechenden Warnhinweise aus den IT-Kontrollsystemen nicht richtig deuten.
Ähnliche Know-how-Defizite weist die dritte Säule - die interne Revision - auf. Auch wenn sie häufig externe Dienstleister mit der Erstellung von SAP-Penetrationstests beauftragt, leitet sie die Resultate dann einfach an die SAP-Abteilung weiter, ohne die eigentlichen Probleme zu verstehen.
Die IT-Verantwortlichen sind daher gut beraten, sich selbst Transparenz über die aktuellen SAP-Risiken zu verschaffen. Ein erster Schritt ist eine automatische Schwachstellen-Analyse, die Kundencode, Systemkonfigurationen, Basisberechtigungen und Transporthistorie unter die Lupe nimmt und bewertet. Dadurch können Schwachstellen identifiziert, beseitigt und gezielte Maßnahmen ergriffen werden, um künftige SAP-Sicherheitslücken zu vermeiden. Wichtig ist, dass das dabei erlangte Sicherheitsverständnis von allen Bereichen im Unternehmen geteilt wird und nicht an Abteilungsgrenzen endet.
3. Drahtseilakt zwischen Kosten und Sicherheit meistern
CIOs stehen vor der großen Herausforderung, eine Balance zwischen Kosten und Sicherheit zu finden. Denn sie sind längst nicht mehr nur für die IT-Infrastruktur im Unternehmen verantwortlich, sondern müssen im Zuge der Digitalisierung eine immer größere strategische Rolle einnehmen und als Treiber der Wertschöpfung agieren. Sie werden verstärkt am Umsatzwachstum gemessen und müssen gewährleisten, dass ihre IT-Ausgaben einen hohen Return on Investment (RoI) erzielen.
Alles Wissenswerte rund um SAP finden Sie in unserem Online-Special
Zugleich sind die IT-Verantwortlichen zunehmend gezwungen, sich mit der Abwehr von Sicherheitsbedrohungen zu beschäftigen. Diese Risiken gehen nicht nur von externen Hackern aus - gerade im SAP-Umfeld sind viele Attacken durch die eigenen Mitarbeiter zu verzeichnen. Investieren CIOs zu wenig in eine nachhaltige IT- und SAP-Sicherheitsstrategie, kann dies verheerende Schäden für ihr Unternehmen nach sich ziehen.
Neben den Ausgaben für die Erkennung und Behebung erfolgter Angriffe sind hier vor allem die Kosten zu nennen, die durch Wirtschaftsspionage, Datenmanipulation und Datendiebstahl, durch Strafgelder und Systemausfallzeiten entstehen. Zugleich sind Sicherheitsvorfälle oft mit hohen Image- und Vertrauensverlusten in der Öffentlichkeit verbunden.
4. Gesetzliche Vorschriften als Chance begreifen
Parallel zu den Cyber-Angriffen auf die SAP-Systeme wächst die Zahl der externen Compliance- und Sicherheitsrichtlinien. Besondere Anforderungen an die CIOs stellt nach wie vor die EU-Datenschutz-Grundverordnung (DSGVO), die strenge Regeln zur Verarbeitung personenbezogener Daten formuliert. Ihr Ziel ist es, die Vertraulichkeit und den Schutz der Daten zu gewährleisten und den betroffenen Personen bestimmte Rechte zu verleihen. Dazu werden die Unternehmen zur sicheren Verwaltung der Daten verpflichtet. So muss jederzeit Transparenz darüber herrschen, welche Daten wo gespeichert sind, von wem sie auf welche Weise verarbeitet werden und wer die Verantwortung im Falle eines Datenmissbrauchs trägt.
Es gibt aber auch weitere Regularien, die Sicherheitsverantwortliche ggf. auf ihrem Radarschirm haben müssen wie z.B. das IT Sicherheitsgesetz (Schutz kritischer Infrastrukturen), KonTraG oder GoBD. Hinzu kommen noch die Gesetze mit direktem IT Bezug wie etwa das Telemediengesetz.
Was ein Chief Information Security Officer (CISO) wissen sollte
Doch bietet die Umsetzung von Regularien und Gesetzen für die CIOs zugleich die Chance, noch gezielter an einer wirksamen IT- und SAP-Sicherheitsstrategie zu arbeiten. Denn sie erfordert vielfältige technische und organisatorische Maßnahmen, damit verhindert werden kann, dass kritische Daten vernichtet, verändert oder unbefugt offengelegt werden oder komplett verlorengehen. Verstößt ein Unternehmen gegen die Gesetze, drohen zusätzlich zu den finanziellen und Reputationsschäden immer öfter drakonische Bußgelder, im Falle der DSGVO bis zu vier Prozent des weltweiten erzielten Jahresumsatzes oder bis zu 20 Millionen Euro.
5. Automatisierung als Patentrezept etablieren
Die Covid-19-Pandemie beschleunigt einige IT-Grands ungemein: Internet of Things (IoT), digitale Transformation und Cloud-Services werden massiv ausgebaut. Mit diesen großen Zukunftstrends wachsen jedoch auch die ERP-Angriffsflächen rapide. So bedingt die zunehmende Vernetzung unter anderem einen Anstieg der Schnittstellen, die Einfallstore in die SAP-Systeme bieten können. Dies macht es umso dringlicher, dass die SAP-Sicherheitsmaßnahmen, für die sich ein CIO heute entscheidet, nachhaltig greifen und sämtliche sicherheitsrelevanten Bereiche einbeziehen.
Dazu bieten sich automatische Analysen und Bewertungen der einzelnen Prüfbereiche an, da manuelle Kontrollen viel zu aufwendig und mit hohen Qualitätsmängeln behaftet sind. Zudem lässt sich durch ein kontinuierliches Monitoring erreichen, dass die Verantwortlichen bei Sicherheitsvorfällen zeitnah Warnhinweise erhalten und entgegensteuern können.
Unternehmen sollten geeignete Werkzeuge von Anfang an in die SAP-Entwicklungsprozesse einbeziehen. Dies gilt gerade für das DevOps-Konzept, das einen kontinuierlich großen Durchsatz mit Agilität und hohen Qualitätsansprüchen kombiniert. Hier bietet sich mit Secure DevOps ein neuer technischer Sicherheitsansatz an, der geeignete Prüfwerkzeuge koppelt, um den Sicherheitsanforderungen im gesamten SAP-Software-Lebenszyklus zu begegnen. (ba/fm)