Tobias Harmes
 - 20. Februar 2019

SAP Enterprise Threat Detection (ETD)

Die Cyberangriffe auf Unternehmen und Organisation nehmen stetig zu. Mithilfe des Monitoring-Werkzeugs SAP Enterprise Threat Detection (ETD) können verbundene Unternehmenssysteme und Applikationen überwacht werden. Das Ziel: In Echtzeit Cyberangriffe identifizieren, analysieren und neutralisieren und mögliche Schäden vermeiden, bevor diese auftreten.

Die meisten Unternehmen nutzen für die Angriffserkennung auf das IT-System SIEM-Produkte (Security Information an Event Management). Führende Namen sind dort zum Beispiel QRadar, ArcSight oder Splunk. Die Enterprise Threat Detection (ETD) ist ein Produkt der SAP, das in diesem Bereich immer wieder genannt wird.

Funktionen und Merkmale von Enterprise Threat Detection (ETD)

  • Sammeln von Sicherheitsereignissen und Informationen zur Analyse des Angriffs
  • Echtzeitüberwachung des SAP Systems und automatischer Alarm bei einem Angriff auf das System
  • Ergänzung der vorhandenen Muster durch eigene Muster, um verdächtige Aktivitäten zu erkennen
  • Speicherung der ursprünglichen Daten in hot, warm und cold storage für operational security und compliance reasons
  • Einrichtung einer zweifachen Systemlandschaft zur Aktivierung von parallelen Entwicklungs- und Testakitivitäten
  • Mit SAP ETD können auch interne Prozesse überwacht werden, um ungewöhnliche Verhaltensmuster durch definierte Muster abzuwenden
  • Reine HANA (DB) Applikation – nicht basiert auf ABAP
  • Betrieb ist on-premise oder als Managed Service von SAP oder Dienstleistern

Die Motivation für den Einsatz einer Enterprise Threat Detection ist oft aus folgenden Bereichen:

  • Erhöhung der Betriebssicherheit durch Alarmierung von bekannten Angriffsmustern auf SAP Systeme und die Datenintegrität
  • Funktionen um SAP Security Incidents zu reporten, insbesondere bei der Auswertung von Logs für die Revision
  • Datenschutz-konforme Protokollierung und Auswertung durch Unterstützung von Pseudonymisierung

Die wichtigste Datenquelle für die Enterprise Threat Detection ist das Security Audit Log des jeweiligen SAP Systems. Aktuell werden nur On-Premise Systeme als Datenquelle unterstützt.

Ist die Enterprise Threat Detection ein SIEM?

Ein SIEM  oder auch Security Information and Event Management ist typischerweise ein extra Server, der mittels Softwareprodukte und -Services die Konzepte des Security Information Management (SIM) und Security Event Management (SEM) vereint. Die Hauptaufgaben des SIEM ist die Fähigkeit die Daten von Netwerk- und Sicherheitskomponenten zu analysen, mit möglichen Lücken umzugehen und Logs von Betriebssystemen, Datenbanken und Anwendungen zu erstellen. SIEM zielt darauf ab, eine ganzheitliche Sicht auf die Sicherheit der Unternehmens-IT zu haben.

Das Prinzip hierbei ist, dass relevante Sicherheitsdaten des Unternehmens besser analysiert und bewertet werden können, wenn diese an einem zentralen Ort gespeichert werden. Auch ist Manipulation von Log-Daten auf dem eventuell angegriffenen System nicht mehr möglich, da die Daten ja bereits das angegriffene System verlassen haben. Das SIM-System erstellt nach der Datensammlung und -analyse automatische Berichte hinsichtlich Compliance und ein zentrales Berichtswesen.

Die Enterprise Threat Detection kann in diesem Sinne als SIEM-Instrument genutzt werden, auch wenn es den Fokus klar auf SAP Produkte hat.

Enterprise Threat Detection als Alternative zum SIEM?

Für die SAP-Sicherheit greift die SIEM-Überwachung von anderen Herstellern oft zu kurz, da die speziellen SAP-Protokolle und Auswertungen nicht verstanden werden und keine Angriffsmuster ausgemacht und erkannt werden können. Diese Lücke schließt SAP Enterprise Threat Detection. Seitens SAP wird es eher als eine Ergänzung für bestehende SIEM-Lösungen gesehen. Also Logging-Richtung wäre “SAP Server -> SAP ETD -> Zentrales SIEM”. ETD arbeitet in Echtzeit und liefert dann an bestehende SIEM-Systeme die korrelierten Meldungen. Kommt es zu einem Angriff auf das SAP-System erkennt ETD die Spuren und löst einen Alarm aus, der zu automatischen Folgeaktivitäten führt. Der Angriff wird analysiert, indem die Daten mit bekannten Angriffsmustern verglichen werden, um diese zu bekämpfen. In kleineren sehr SAP-zentrischen Umgebungen kann die Enterprise Threat Detection auch als alleiniges SIEM genutzt werden.

SAP: Enterprise Threat Detection

Tobias Harmes

Mein Name ist Tobias Harmes und ich bin SAP Basis & Security Experte, Speaker und Herausgeber von RZ10.de. Ich helfe anderen dabei, Unternehmensdaten und Geschäftsprozesse in SAP wirksam abzusichern.

Sie haben Fragen? Kontaktieren Sie mich!

Kostenloses E-Book zum Thema SAP GRC als Download:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:



Das könnte Sie auch interessieren


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support