Software

10 Grundsätze für deine SAP Security

SAP Security: Schliesse die Lücken

Laut DSAG-Investitionsreport 2024 steht bei den SAP-Bestandskunden IT-Sicherheit mit 88 Prozent mittlerer und hoher Relevanz klar an erster Stelle der übergreifenden IT-Themen. Das ist gut so. Immer mehr kommt zu Bewusstsein, dass SAP-Landschaften nicht nur durch Bedrohungen von aussen gefährdet sind, sondern auch von innen.

So könnte ein neu eingestellter Mitarbeiter wissen wollen, wie viel seine neuen Kolleginnen und Kollegen verdienen. Um Gehaltslisten einsehen zu können, bräuchte er entweder eine SAP_All-Berechtigung oder Zugriffsrechte auf Transaktionen und Leserechte für Tabellen in SAP HCM. Die hat er zwar nicht, er verfügt jedoch aufgrund seiner Rolle über eine Debugging-Berechtigung, die es ihm ermöglicht, Änderungen sowohl im SAP Entwicklungs- als auch im SAP Produktivsystem vorzunehmen. Und genau hier tut sich eine Sicherheitslücke auf. Im Rahmen eines Debuggings manipuliert er das Produktivsystem so, dass die Berechtigungsprüfung umgangen wird und er – unbefugt – auf Gehaltsdaten zugreifen kann. In einem solchen Fall bieten selbst sauber gepflegte Berechtigungen keinen ausreichenden Schutz.

Dabei handelt es sich noch um ein – vergleichsweise – harmloses Szenario. Was, wenn ein Angreifer über Social-Engineering-Methoden an die Zugangsdaten eines ehemaligen Administrators gelangt, dessen Konto und Berechtigungen noch nicht gelöscht wurden? Dann sind auch die wertvollsten Informationen eines Unternehmens wie seine Produktions- und Entwicklungsdaten nicht mehr sicher. Und das auch dann nicht, wenn das Security-Team seine Hausaufgaben gemacht und klassische Sicherheitslösungen wie Antivirensoftware, Ransomware-Schutz, Firewall etc. sauber implementiert und konfiguriert hat.

Die Preisfrage lautet daher: Was können und sollten SAP-Bestandskunden tun, um die Lücken im Bereich SAP-Sicherheit zu schliessen? 

Trau, schau, wem: Die 10 Grundsätze

Der Volksmund wusste es schon immer: Vertrauen kann gefährlich sein. In die IT-Sprache übersetzt heisst das: Der richtige Ausgangspunkt, um das Sicherheitsniveau in SAP-Landschaften zu erhöhen, ist der Zero-Trust-Ansatz. Wenn der Angreifer immer schon im System ist, darf man niemandem und nichts vertrauen und muss jeden und alles verifizieren. Dies gilt selbst dann, wenn Benutzer und Geräte über ein vertrauenswürdiges Netz wie einem Unternehmens-LAN auf SAP zugreifen und selbst wenn sie zuvor überprüft wurden.

Um ein wirksames Security-Konzept auf Basis des Zero-Trust-Ansatzes zu entwickeln, sollten sich SAP-Bestandskunden von 10 Grundsätzen leiten lassen:

1. Authenticity

Eine sichere Authentifizierung sollte stets und überall erzwungen werden.

2. Secrecy

Jegliche Kommunikation sollte abgesichert erfolgen.

3. Least privilege access

Berechtigungen sollten nur soweit gewährt werden, wie User sie benötigen, um genau das tun zu können, was sie tun sollen, aber auf keinen Fall mehr.

4. Safety

Unbekannten Geräten und Nutzern wird der Zugriff auf das Firmennetzwerk prinzipiell verwehrt.

5. Responsibility

Es muss jederzeit klar und überprüfbar sein, wer Änderungen an den Einstellungen vornimmt und welche; all das muss entsprechend protokolliert werden.

6. Actuality

Der gesamte IT-Stack von der Hardware über das Betriebssystem bis zu Datenbanken und SAP-Anwendungen ist stets auf dem aktuellen Stand zu halten; dementsprechend sollten SAP-Bestandskunden Sicherheits-Updates nach Bekanntgabe regelmässig bewertet und eingespielt werden.

7. Suspicion

Zero-Trust bedeutet permanentes Misstrauen, weshalb User-Rechte und ihre Rollen, Transaktionen, Dienste etc. regelmässig überprüft werden.

8. Consistency

Das Sicherheitsniveau muss bei jeder Änderung mindestens gleich hoch bleiben, Sicherheitsmassnahmen sind deshalb Pflichtbestandteil jeder Veränderung an der SAP-Landschaft.

9. Risk Aversion

Risiken werden nicht nur einmal erfasst und bewertet, sondern kontinuierlich, ebenso die Fehler, die unweigerlich passieren, um daraus zu lernen und mit geeigneten Gegenmassnahmen einzudämmen.

10. Resiliency

Die IT-Landschaft sollte Teilausfälle kompensieren können, etwa indem das Netzwerk segmentiert und mit je eigenen Richtlinien und Massnahmen abgesichert wird oder die Wiederherstellung von Services regelmässig geübt wird.

Diese Grundsätze bilden die Basis jeder effektiven Zero-Trust-Architektur, die SAP-Bestandskunden mithilfe geeigneter Tools und Prozesse, aber auch Partner implementieren können.

Firmenkontakt und Herausgeber der Meldung:

itesys AG
Langfeldstrasse 53a
CH8500 Frauenfeld
Telefon: +41 (71) 6701780
Telefax: +41 (71) 6701782
https://www.itesys.ch/

Ansprechpartner:
Head of Marketing Tanja Schöller
Head of Marketing
Telefon: 0041 716701780
E-Mail: marketing@itesys.ch
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel