5 Hindernisse der SAP Protokollierung

Autor: Yannick Rech | 4. Oktober 2021

1

Auf dem Weg zur sinnvollen und ressourcensparenden Arbeit mit Logs stehen Unternehmen vor verschiedenen Hindernissen. Dieser Beitrag verrät Störfaktoren einer erfolgreichen SAP Protokollierung und gibt Tipps und Ideen zur Bewältigung dieser Probleme.

Nur wenige SAP Spezialisten können glauben, dass die SAP Protokollierung nicht wichtig ist. Trotzdem gibt es bei diesem Thema in der gesamten SAP Community einen erheblichen Verbesserungsbedarf, da immer noch wenige Unternehmen proaktiv mit den Protokollen arbeiten. Manche haben ihre SAP Protokolle nicht einmal aktiviert. Typischerweise stehen Unternehmen für eine erfolgreiche Protokollierung die folgenden fünf Störfaktoren im Weg:

1. Die Menge an Protokollen

In einem SAP-System mit gerade einmal 100 Usern kommen pro Tag erfahrungsgemäß weit mehr als 5000 Einträge in einem voll aktivierten Security Audit Log zustande. Diese 5000 Einträge manuell zu durchleuchten, ist eine sehr umfängliche Aufgabe, für die man sogar Mitarbeiter einstellen könnte. Da die meisten Unternehmen sich dies nicht leisten können, wird oft gänzlich auf proaktive Prüfung verzichtet.

Bevor gar nicht proaktiv in die Logs gesehen wird, ist es empfehlenswert, mit der Kritikalität des Security Audit Logs zu arbeiten. Filtern Sie beispielsweise die Kritikalität auf “Hoch” und “Sehr hoch” und sehen Sie sich diese Treffer an. Wenn dann ein Sicherheitsverstoß entdeckt wird, kann nachträglich immer noch detaillierter geforscht werden. Damit ist zwar nur ein Bruchteil aller möglichen Sicherheitsverstöße abgedeckt, aber das ist immer noch besser, als gar nicht über die Logs zu schauen.

2. Toolunterstützung gebraucht, aber nicht gesucht

Ab einer gewissen Unternehmensgröße ist es einfach nicht realisierbar, Security-Log-Analyse manuell im SAP durchzuführen. Entsprechende Tools helfen Ihnen dabei, die Einträge zu visualisieren und in Zusammenhang zu bringen. Jedoch kosten diese Tools Geld, das viele IT-Abteilungen nicht für die IT-Sicherheit haben – bis die Security-Feststellung auf dem Tisch liegt. Was bei diesem Punkt oftmals untergeht und vielen Unternehmen gar nicht klar ist: Fehlende IT-Sicherheit ist ein Münzwurf. Wenn nichts passiert, dann ist es gespartes Geld. Wenn etwas passiert, dann steht oftmals ein Vielfaches der Kosten für die ursprüngliche Sicherheit im Raum. Dazu kommen strafrechtliche Konsequenzen für die Verantwortlichen, also in erster Linie die Geschäftsführung.

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

3. Fehlendes Know-How

Forensische oder auch präventive Analyse von Protokollen erfordert nicht nur einen breiten Werkzeugkasten an Tricks und Kniffen, sondern auch ein breites Wissen an SAP-spezifischen Prozessen und Ideen. Von SAP Basis über Personalprozesse und Berechtigungen bis hin zu Funktionen verschiedener Systemkomponenten und Analysen direkt im Quellcode, könnte alles an gewisser Stelle relevant werden. Dieses breite Wissen aufzubauen, ist ein langwieriger Prozess, geprägt von diversen Suchmaschinen des Internets und entsprechender Fachliteratur. Unterstützung von außen kann hier bereits in der Konzeptionsphase Ihres Projekts erfolgen. Dabei kann der Experte bei der Einrichtung der Maßnahme unterstützen, den späteren Betrieb der Software und Technik coachen oder das Ganze in einem umfassenden Service umsetzen.

4. False Positives in der SAP Protokollierung

“False Positives”, also falsche Sicherheitsmeldungen, sind innerhalb des Security Handlings ein großer Zeit- und Ressourcenfresser. Sicherheitstools mit Alarmfunktionen arbeiten nach vorkonfigurierten, aber individuell anpassbaren Mustern. Tritt dieses Muster auf, wird ein Alarm getätigt und entsprechende Stellen werden informiert. Oft geschieht dies via E-Mail oder SMS. Nachfolgend tritt ein Security Incident Prozess in Kraft, mit dem diese Feststellung überprüft und behandelt wird. Dabei kann es auch zu Fehlmeldungen kommen. Diese beschreiben aus “normalen” oder auch irregulärem Systembetrieb stammende, aber keineswegs sicherheitskritische Tätigkeiten. Die Zeit, die in die Analyse dieser Feststellungen geflossen ist, ist dann verschwendet. Oder?

Keineswegs, da eben genau die analysierten Erkenntnisse dazu dienen könnten und sollten, die Alarmfunktion weiterzuentwickeln, sodass das nächste Mal kein Incident entsteht. Vorkonfigurierte Regelwerke müssen erst noch wachsen und erfordern sicherlich anfangs viel Zeit. Das sollte sich jedoch in einem korrekt laufenden Service verbessern. Empfehlenswert ist es, in Ihrem Security Dashboard eine False Positive Quote einzubauen und so einen Blick auf diese Verbesserung zu haben.

Best Practices Sicherheitsprotokolle im SAP

In diesem ca. 1-stündigen Webinar klären wir, welche Möglichkeiten SAP Kunden beim Security Monitoring haben. Wir zeigen die Unterschiede aus dem Standard, SIEM sowie SAP ETD und helfen Ihnen, die passende Lösung für sich zu finden.

5. Warum aufpassen, wenn sowieso nichts besser wird?

Viele Security-Ansprechpartner beklagen sich darüber, dass aufmerksame Überwachung der Security Logs keinen Sinn ergibt, da ihre Unternehmen nicht bereit sind, die entdeckten Lücken zu schließen. Sie würden ihre Zeit nur damit verbringen, Workarounds und Ähnliches zu finden, jedoch niemals die eigentlich schlechten Berechtigungen angehen.
Unabhängig davon, dass es ohne das Überwachen der Daten weniger Argumente für neue Berechtigungen gibt, kann es nicht das Ziel sein, blindlings in eine Cyberattacke auf Ihr SAP-System zu laufen. Oft fehlt es an Geld für die großen Maßnahmen, doch bereits kleine Tätigkeiten und Stellschrauben können große Lücken zu kleinen Randerscheinungen schrumpfen lassen.

Fazit

Hindernisse in der Arbeit mit der Sicherheitsprotokollierung im SAP mögen umfangreich sein und gerne abschrecken, aber sie sind zu handhaben. Mit genügend Expertise kann man diese Aufgabe angehen und zum Abschluss bringen.

Mehr Informationen zum Thema Sicherheitsprotokolle finden Sie auch in unserem Webinar “Best Practices Sicherheitsprotokolle im SAP”. Zur Anmeldung geht es hier


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Yannick Rech

Autor

Yannick Rech

B. Sc. Wirtschaftsinformtiak

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Expert Session