5 Best Practices für die SAP Cyber Security

Autor: Yannick Rech | 3. August 2020

1

Von der europäischen Kommission bis zur Dorfkneipe: Der Begriff der Cyber Security oder IT-Sicherheit ist omnipräsent. Oftmals wird er fälschlicherweise mit Hackern, buntem Coding und Kapuzenpullovern gleichgesetzt. Doch auch für ihr Unternehmen und Ihr SAP-System ist die Sicherheit Ihrer Daten die Grundlage jeglicher Wirtschaftlichkeit.

Was zur Hölle ist SAP Cyber Security?

Im Kern behandelt SAP Cyber Security den Gedanken, unternehmensrelevante Daten und Informationen sicher zu verschließen. Dabei bekämpft man aber nicht nur unbefugte Zugriffe von außen auf SAP-Systeme, sondern sorgt auch für die größtmögliche Sicherheit von innen.

Oftmals nimmt Wirtschaftsspionage nicht den schweren und komplexen Weg durch Sicherheitsmechanismen. Stattdessen wird die offensichtlichste “Schwachstelle” einer jeden Software ins Visier genommen. Dabei ist der Fehler meist nicht in der Software zu suchen, sondern beim Anwender. Dennoch sei es an dieser Stelle irrelevant, ob der Nutzer freiwillig oder unfreiwillig für den Missbrauch benutzt wird. Hier spricht man von der inneren Sicherheit, also der Sicherheit Ihrer SAP-Anwendungen vor Zugriffen aus dem Inneren selbst. Dieser Aspekt wird bei der Betrachtung der SAP Cyber-Sicherheit oft vergessen.

Innere Sicherheit

Um solche Zugriffe im Keim zu ersticken, sollte sichergestellt werden, dass so wenige Nutzer wie möglich in der Lage sind auf essenzielle Bestandteile Ihres SAP-Systems zuzugreifen. Oftmals wird hier versucht wichtige Kombinationen von Tätigkeiten dem Vier-Augen-Prinzip zu unterziehen, sodass nie ein Nutzer alleine in eine zu machtvolle Position gelangt.

1. Sichere Berechtigungen

Um nicht mit Kanonen auf Spatzen zu schießen, ist es sinnvoll einen SAP-Security-Workshop durchzuführen. In diesem wird die aktuelle Sicherheitslage Ihres Systems hinsichtlich der Berechtigungen überprüft. Aus diesen Ergebnissen lassen sich oftmals bereits Quick-Wins erkennen. Das wird nur durch ein vollständig durchdachtes Berechtigungskonzept erreicht, welches nicht nur für den Zeitpunkt der Einführung die maximale Sicherheit liefert, sondern auch Anpassungen über Zeit vorsieht.

Im Fokus eines solchen Berechtigungskonzepts steht jedoch nicht ausschließlich das Einschränken der Berechtigungen. Vielmehr ist es in einem unserer Berechtigungsredesigns wichtig, einen Einklang zwischen der Sicherheit und der Arbeitsweise des jeweiligen Unternehmens zu finden. Dafür sollte mit speziellen Tools beobachtet werden, was die Nutzer tatsächlich für Ihre Arbeit brauchen. Dadurch werden nicht fahrlässig zu viele Berechtigungen vergeben.

2. Notfalluser-Konzept

Da nicht immer die Berechtigungen, die ein User dauerhaft zugewiesen bekommt, ausreichen, empfiehlt sich die Entwicklung eines SAP-Firefighter-Konzeptes. Das Firefighter-Konzept beschreibt ein Szenario, bei dem einem “Firefighter”-User zusätzliche Berechtigungen erteilt werden. Dadurch soll im Notfall ein Brand gelöscht werden. Diese Berechtigungen werden kontrolliert und mindestens unter dem Vier-Augen-Prinzip eingesetzt. Außerdem sollten diese unbedingt nur temporär vergeben werden und der Prozess idealerweise unter dem Einsatz eines Tools erfolgen.

Ein solches Notfallbenutzer-Szenario kann mit verschiedenen Tools entworfen und realisiert werden. Wichtig ist hierbei, dass der Fokus gleichermaßen auf Sicherheit und Praktikabilität liegt. Denn, wenn ein solcher Brand ausbricht, ist es wichtig direkt und ohne komplexen Prozess handeln zu können.

Äußere Sicherheit

Das zu Beginn verwendete Vorurteil des klassischen Hackers, der sich von außen Zugriff auf ein System verschafft, kommt jedoch auch nicht von ungefähr. Keineswegs handelt es sich nur um Banken oder andere Big-Player, die Ziel eines solchen Angriffs werden. Um auch diese Art der Attacken zu unterbinden, ist es ebenso wichtig für die Sicherheit von Außen zu sorgen.

3. Passwörter schützen

Die sogenannte Zugriffssicherheit stellt dabei einen der Hauptangriffspunkte dar. Dabei wird versucht, den Zugriff des echten Nutzers zu imitieren, um so einen regulären Zugang zum System zu erhalten. Da die klassischen Passwörter mit der heute möglichen Rechenleistung kaum mehr als eine Geduldsprobe für Angreifer darstellen, gibt es auch hier weitere Sicherheitsmechanismen. Dabei sind Passwortsafes wie KeePass2 (Single-Sign-On) oder die 2-Faktor-Authentifizierung unsere Best-Practice-Lösungen, die schnell und unkompliziert große Sicherheit liefern.

4. Systeme härten

Weitere Schwachstellen Ihres SAP-Systems stellen ungebrauchte veraltete Systemkomponenten oder Tools von Drittanbietern dar. Durch fehlende Updates oder gänzlich fehlende Berechtigungsprüfungen, bieten diese angebundenen Teile häufig indirekten Zugriff quer durch das System – am Berechtigungskonzept vorbei. Durch einen sogenannten Penetration Test mit anschließender Systemhärtung wird schnell ein Überblick über diese Sicherheitslücken erlangt.

5. Alarmanlage im SAP

Um nicht nur die Möglichkeit eines Angriffs so gering wie möglich zu halten, sondern im Falle einer Attacke handeln zu können, gibt es sogenannte SIEM Tools (Security Information- and Eventmanagement). Diese analysieren das Nutzerverhalten und erkennen als Alarmanlage des SAP-Systems frühzeitig einen unregelmäßigen Zugriff, der sich möglicherweise als Attacke herausstellt.

Fazit

Wie so häufig ist der erste Eindruck nicht falsch, aber unvollständig. Klischees kommen nicht von irgendwoher, sondern haben oft einen wahren Hintergrund. Auch in dem hochkomplexen Feld der SAP Cybersicherheit trifft das zu.

In Zeiten, in denen sogar Länder systematisch und ohne jegliche Skrupel in die Privatsphäre der Menschen eindringen, Wahlen mithilfe von IT beeinflussen und für den wirtschaftlichen Vorteil den Einbruch in Systeme europäischer Marktführer fast schon als Sport betreiben, ist die Cybersicherheit das wohl am meisten unterschätzte Feld der IT. Nicht nur der Fortschritt in der Technik und das Erreichen jeglicher Innovation ist wichtig, sondern auch das kontinuierliche Festhalten an dieser.

Um sich diesem Thema jedoch nicht mit Furcht zu stellen, sondern mit Optimismus, helfen Ihnen die Best-Practices, die wir als RZ10 jeden Tag machen. Sie brauchen Unterstützung beim Thema SAP Security? Seien Sie bei unserem Live-Webinar dabei:

Oder haben Sie direkt eine Frage? Dann gerne melden.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Yannick Rech

Autor

Yannick Rech

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support