5 Best Practices für die SAP Cyber Security

Autor: Yannick Rech | 3. August 2020

19

Von der europäischen Kommission bis zur Dorfkneipe: Der Begriff der Cyber Security oder IT-Sicherheit ist omnipräsent. Oftmals wird er fälschlicherweise mit Hackern, buntem Coding und Kapuzenpullovern gleichgesetzt. Doch auch für ihr Unternehmen und Ihr SAP-System ist die Sicherheit Ihrer Daten die Grundlage jeglicher Wirtschaftlichkeit.

Was zur Hölle ist SAP Cyber Security?

Im Kern behandelt SAP Cyber Security den Gedanken, unternehmensrelevante Daten und Informationen sicher zu verschließen. Dabei bekämpft man aber nicht nur unbefugte Zugriffe von außen auf SAP-Systeme, sondern sorgt auch für die größtmögliche Sicherheit von innen.

Oftmals nimmt Wirtschaftsspionage nicht den schweren und komplexen Weg durch Sicherheitsmechanismen. Stattdessen wird die offensichtlichste “Schwachstelle” einer jeden Software ins Visier genommen. Dabei ist der Fehler meist nicht in der Software zu suchen, sondern beim Anwender. Dennoch sei es an dieser Stelle irrelevant, ob der Nutzer freiwillig oder unfreiwillig für den Missbrauch benutzt wird. Hier spricht man von der inneren Sicherheit, also der Sicherheit Ihrer SAP-Anwendungen vor Zugriffen aus dem Inneren selbst. Dieser Aspekt wird bei der Betrachtung der SAP Cyber-Sicherheit oft vergessen.

Innere Sicherheit

Um solche Zugriffe im Keim zu ersticken, sollte sichergestellt werden, dass so wenige Nutzer wie möglich in der Lage sind auf essenzielle Bestandteile Ihres SAP-Systems zuzugreifen. Oftmals wird hier versucht wichtige Kombinationen von Tätigkeiten dem Vier-Augen-Prinzip zu unterziehen, sodass nie ein Nutzer alleine in eine zu machtvolle Position gelangt.

1. Sichere Berechtigungen

Um nicht mit Kanonen auf Spatzen zu schießen, ist es sinnvoll einen SAP-Security-Workshop durchzuführen. In diesem wird die aktuelle Sicherheitslage Ihres Systems hinsichtlich der Berechtigungen überprüft. Aus diesen Ergebnissen lassen sich oftmals bereits Quick-Wins erkennen. Das wird nur durch ein vollständig durchdachtes Berechtigungskonzept erreicht, welches nicht nur für den Zeitpunkt der Einführung die maximale Sicherheit liefert, sondern auch Anpassungen über Zeit vorsieht.

Im Fokus eines solchen Berechtigungskonzepts steht jedoch nicht ausschließlich das Einschränken der Berechtigungen. Vielmehr ist es in einem unserer Berechtigungsredesigns wichtig, einen Einklang zwischen der Sicherheit und der Arbeitsweise des jeweiligen Unternehmens zu finden. Dafür sollte mit speziellen Tools beobachtet werden, was die Nutzer tatsächlich für Ihre Arbeit brauchen. Dadurch werden nicht fahrlässig zu viele Berechtigungen vergeben.

2. Notfalluser-Konzept

Da nicht immer die Berechtigungen, die ein User dauerhaft zugewiesen bekommt, ausreichen, empfiehlt sich die Entwicklung eines SAP-Firefighter-Konzeptes. Das Firefighter-Konzept beschreibt ein Szenario, bei dem einem “Firefighter”-User zusätzliche Berechtigungen erteilt werden. Dadurch soll im Notfall ein Brand gelöscht werden. Diese Berechtigungen werden kontrolliert und mindestens unter dem Vier-Augen-Prinzip eingesetzt. Außerdem sollten diese unbedingt nur temporär vergeben werden und der Prozess idealerweise unter dem Einsatz eines Tools erfolgen.

Ein solches Notfallbenutzer-Szenario kann mit verschiedenen Tools entworfen und realisiert werden. Wichtig ist hierbei, dass der Fokus gleichermaßen auf Sicherheit und Praktikabilität liegt. Denn, wenn ein solcher Brand ausbricht, ist es wichtig direkt und ohne komplexen Prozess handeln zu können.

Webinar: Wie kann ich SAP einfach in meine IT-Security integrieren?

Im Webinar erhalten Sie einen Überblick, wie Sie SAP in Ihre IT Security integrieren können und welche Tools dabei unterstützen können.
Jetzt anmelden!

Äußere Sicherheit

Das zu Beginn verwendete Vorurteil des klassischen Hackers, der sich von außen Zugriff auf ein System verschafft, kommt jedoch auch nicht von ungefähr. Keineswegs handelt es sich nur um Banken oder andere Big-Player, die Ziel eines solchen Angriffs werden. Um auch diese Art der Attacken zu unterbinden, ist es ebenso wichtig für die Sicherheit von Außen zu sorgen.

3. Passwörter schützen

Die sogenannte Zugriffssicherheit stellt dabei einen der Hauptangriffspunkte dar. Dabei wird versucht, den Zugriff des echten Nutzers zu imitieren, um so einen regulären Zugang zum System zu erhalten. Da die klassischen Passwörter mit der heute möglichen Rechenleistung kaum mehr als eine Geduldsprobe für Angreifer darstellen, gibt es auch hier weitere Sicherheitsmechanismen. Dabei sind Passwortsafes wie KeePass2 (Single-Sign-On) oder die 2-Faktor-Authentifizierung unsere Best-Practice-Lösungen, die schnell und unkompliziert große Sicherheit liefern.

4. Systeme härten

Weitere Schwachstellen Ihres SAP-Systems stellen ungebrauchte veraltete Systemkomponenten oder Tools von Drittanbietern dar. Durch fehlende Updates oder gänzlich fehlende Berechtigungsprüfungen, bieten diese angebundenen Teile häufig indirekten Zugriff quer durch das System – am Berechtigungskonzept vorbei. Durch einen sogenannten Penetration Test mit anschließender Systemhärtung wird schnell ein Überblick über diese Sicherheitslücken erlangt.

5. Alarmanlage im SAP

Um nicht nur die Möglichkeit eines Angriffs so gering wie möglich zu halten, sondern im Falle einer Attacke handeln zu können, gibt es sogenannte SIEM Tools (Security Information- and Eventmanagement). Diese analysieren das Nutzerverhalten und erkennen als Alarmanlage des SAP-Systems frühzeitig einen unregelmäßigen Zugriff, der sich möglicherweise als Attacke herausstellt.

Fazit

Wie so häufig ist der erste Eindruck nicht falsch, aber unvollständig. Klischees kommen nicht von irgendwoher, sondern haben oft einen wahren Hintergrund. Auch in dem hochkomplexen Feld der SAP Cybersicherheit trifft das zu.

In Zeiten, in denen sogar Länder systematisch und ohne jegliche Skrupel in die Privatsphäre der Menschen eindringen, Wahlen mithilfe von IT beeinflussen und für den wirtschaftlichen Vorteil den Einbruch in Systeme europäischer Marktführer fast schon als Sport betreiben, ist die Cybersicherheit das wohl am meisten unterschätzte Feld der IT. Nicht nur der Fortschritt in der Technik und das Erreichen jeglicher Innovation ist wichtig, sondern auch das kontinuierliche Festhalten an dieser.

Um sich diesem Thema jedoch nicht mit Furcht zu stellen, sondern mit Optimismus, helfen Ihnen die Best-Practices, die wir als RZ10 jeden Tag machen. Sie brauchen Unterstützung beim Thema SAP Security? Seien Sie bei unserem Webinar dabei:

Oder haben Sie direkt eine Frage? Dann gerne melden.


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Yannick Rech

Autor

Yannick Rech

B. Sc. Wirtschaftsinformtiak

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Weitere Beiträge:

SAP Berechtigungen » Identity Management

SAP IDM: Fehlerbehandlung für PowerShell Aufrufe

Aufrufe aus SAP Identity Management via PowerShell benötigen eine spezielle Vorgehensweise um die Fehlermeldung in das Joblog des IDM zu übertragen.
Artikel lesen
SAP Security

SAP Enterprise Threat Detection als Testversion verfügbar

Das Security Monitoring und SIEM-Tool, SAP Enterprise Threat Detection (ETD), ist nun der CAL verfügbar. Im Beitrag gibt es die wichtigsten Features.
#sap etd
Artikel lesen
Podcast

5 Tipps für schlanke Fiori Berechtigungen

Bei der Einführung von SAP Fiori herrscht in manchen Unternehmen beinahe Chaos. Was kann ich tun, damit der Umstieg nicht in SAP_ALL Berechtigungen endet?
2 #Fiori, #podcast
jetzt anhören

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage