Mehr Schnittstellen - mehr Schwachstellen

SAP-Infrastrukturen richtig absichern

12.10.2018
Von   
Markus Schumacher berät IT Unternehmen strategisch beim Wachstum. Er war zuvor General Manager Europe bei Onapsis, an die er sein Unternehmen Virtual Forge Mitte 2019 verkauft hat. Als Mitgründer, CEO und Geschäftsführer der Virtual Forge GmbH arbeitete er als Experte für Cybersecurity im ERP-Betrieb. Zuvor war er Repräsentant des Fraunhofer Instituts für Sichere IT (SIT) und leitete den Bereich "Security and Embedded Devices". Davor arbeitete er bei SAP als Produktmanager (SAP NetWeaver Security) und Leiter des TCO-Projekts im Bereich der damals neuen Business ByDesign-Lösung.
Der digitale Wandel gefährdet die IT-Sicherheit von Unternehmen. Cloud Computing, Vernetzung und funktionale Erweiterungen machen die Systeme komplexer und eröffnen den Cyberkriminellen immer wieder neue Angriffspunkte. Das erfordert gezieltere Schutzmaßnahmen.

Monolithische ERP-Systeme, wie SAP R/3, sind out. Immer mehr Unternehmen verabschieden sich vom Ansatz "Ein-System-für-Alles" und bevorzugen für bestimmte fachliche Nischen, wie das Talentmanagement oder die Lohn- und Gehaltsabrechnung, Lösungen spezialisierter Cloud-Dienstleister. Dies bietet auch den Vorteil, dass man die neuen Anwendungen nicht aufwändig im eigenen Haus betreiben muss und bedarfsweise skalieren kann. Die Anbieter reagieren auf die wachsende Kundennachfrage, indem sie immer mehr Cloud-Services auf den Markt bringen: "Everything-as-a-Service" lautet die Devise in der neuen digitalen Welt.

Doch wird es noch einige Zeit dauern, bis sich dieses Paradigma in der Praxis durchgesetzt hat. Bis dahin stehen die Unternehmen vor der Aufgabe, die neuen Cloud-Services mit dem eigenen ERP und vorhandenen Drittsystemen sowie untereinander möglichst nahtlos in hybriden Landschaften zu verbinden. Dazu bieten sich integrative Plattformen an, wie im SAP-Umfeld die SAP Cloud Platform, die von SAP selbst als Platform-as-a-Service (PaaS) zur Verfügung gestellt wird und den Datenaustausch zwischen SAP- und Non-SAP-Systemen ermöglicht.

Allerdings steigt mit der Zahl der genutzten Services auch der Bedarf nach wirksamen IT-Sicherheitsmaßnahmen: So muss eine wachsende und immer stärker vernetzte IT-Infrastruktur - bestehend aus lokalem Netzwerk sowie einer Fülle von SAP-, Dritt- und Cloud-Anwendungen - vor immer gewiefteren Angriffen geschützt werden. Verstärkt wird dieser Druck durch die Ausbreitung innovativer IoT-Technologien.

Schnittstellen bieten Einfallstor

Neben der Auditierung und einheitlichen Konfiguration der IT-Plattform spielt die Sicherung der Schnittstellen eine zentrale Rolle. So haben typische SAP-Systeme mehrere Tausend RFC-Schnittstellen (Remote Function Call), hinzu kommen Schnittstellen zum Betriebssystem, zum SAP GUI, zu mobilen Apps und Webservices sowie zu anderen Lösungen, die in der Cloud oder bei Tochterunternehmen, Kunden und Lieferanten laufen.

Sind diese Schnittstellen veraltet, falsch konfiguriert oder unzureichend geschützt, bieten sie Datendieben, Wirtschaftsspionen und Saboteuren attraktive Einfallstore, um an Informationen zu gelangen. Dies kann für die betroffenen Unternehmen erhebliche finanzielle und rechtliche Auswirkungen haben, zudem leidet die Reputation. Verschärft wird diese Situation durch die immer strikteren regulatorischen Anforderungen, wie zuletzt die EU-DSGVO, die Verstöße gegen die neuen Richtlinien zum Schutz personenbezogener Daten mit drastischen Bußgeldern belegt.

Transparenz durch Inventarisierung

Obwohl die Risiken ungesicherter Schnittstellen längst bekannt sind, haben viele Unternehmen das Problem nicht im Griff: Zumal bei fortschreitender Digitalisierung der Überblick über die immer komplexeren Schnittstellen noch schneller als bisher verloren geht. Daher empfiehlt sich der Einsatz spezieller Werkzeuge, mit denen sich die Kommunikationsbeziehungen der Systemlandschaft analysieren und sämtliche Schnittstellen inventarisieren, dokumentieren und überwachen lassen.

Werden dabei Schwachstellen erkannt, erhalten die Systemverantwortlichen Vorschläge zur besseren Absicherung. Auch kann überprüft werden, ob das unternehmenseigene Berechtigungskonzept zu den vorhandenen Schnittstellen passt. Zusätzlich können in den Werkzeugen Regeln hinterlegt werden, um unberechtigte Datenzugriffe zu blockieren.

So löst die integrierte Monitoring-Komponente beispielsweise Alarm aus, etwa wenn ein Vertriebsmitarbeiter vertrauliche HR-Daten herunterladen will. Dann kann der Systemverantwortliche die betreffende Schnittstelle sofort kappen. Ebenso lässt sich durch Regeln gezielt ausschließen, dass personenbezogene Daten, wie Kundennamen oder Kreditkarten-Informationen, nach draußen gelangen - eine wichtige Voraussetzung zur Erfüllung der EU-DSGVO.

Darüber hinaus helfen Inventarisierung und Monitoring der Schnittstellen, fehlende Verschlüsselung bei der Datenübertragung aufzudecken. Während dieses Thema in der On-Premise-Welt durch leistungsfähige Industriestandards gut abgedeckt ist, sieht es in komplexen Cloud-Umgebungen derzeit noch anders aus. Da für die einzelnen Cloud Services verschiedene Verschlüsselungsmethoden genutzt und die Daten zwischendurch immer wieder entschlüsselt werden, zahlt sich auch hier der Einsatz eines Werkzeugs aus, das die Schnittstellen vollständig erfasst und kontinuierlich überwacht, um bei mangelhafter Verschlüsselung Alarm zu schlagen. Datenflüsse zwischen verteilten Systemen lassen sich damit nachverfolgen und durchgängig abgesichern.