Die Brücke zwischen IT-Security und SAP – mit Christoph Nagy
Autor: Tobias Harmes | 17. April 2020
Mit Christoph Nagy, Gründer und Geschäftsführer von SecurityBridge, spreche ich über die Herausforderung, die technische und sprachliche Barriere zwischen SAPlern und "den anderen" in der IT- Security zu überwinden. Sein Unternehmen bietet mit dem Produkt SecurityBridge ein Produkt, welches die Lücke zwischen IT-Security und SAP wirksam schließen will.
Beitrag
…zum Anschauen
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
…zum Hören
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
Feedback? harmes@rz10.de
Die Kluft zwischen IT-Security und SAP
Christoph Nagy berichtet, dass viele Unternehmen mittlerweile einen hohen Reifegrad erreicht haben, wenn es um Netzwerkmonitoring geht. Tools wie Virenscanner sind zwar 24/7 im Einsatz, das Security-Monitoring von SAP-Applikationen wird jedoch noch vernachlässigt. Das ist verwunderlich, denn gerade im SAP laufen die geschäftskritischen Prozesse ab.
Die Gründe dafür sind vielfältig. Christoph bezeichnet SAP als „gallisches Dorf“ – so innovativ die Produkte des Unternehmens zwar sein mögen, die SAP-Sprache ist für viele IT‘ler schwer nachzuvollziehen. Security-Spezialisten oder -Analysten haben nicht immer die ausreichende (SAP-)Expertise, um auch das SAP-Monitoring zu übernehmen.
Obwohl SIEM-Tools eingesetzt werden, können diese nicht immer alle SAP-Daten integrieren, sodass keine vollständige Übersicht der Log-Daten garantiert werden kann. Die SecurityBridge setzt dort auch technologisch an. Sie funktioniert als Schnittstelle zwischen SAP und IT-Security und kann dabei auch ohne großes SIEM-Tool im Rücken. Zum einen überwacht die Security Bridge anhand der einzelnen Log-Daten das SAP-System. Diese werden gesammelt, normalisiert und in einem übersichtlichen Dashboard dargestellt. Zum anderen wird der Härtungsgrad des SAP-Systems kontinuierlich überwacht. Dabei werden beispielsweise die Passwort-Policies überprüft.
Security Standards für SAP
Für alle, die sich stärker in das Thema SAP-Security einsteigen möchten, gibt es Leitfäden und Tipps, auf die sich ein Blick lohnt:
- Die SAP bietet mit dem SAP Security Baseline Template eine generische Best Practice über die Überwachung und das Hardening eines SAP-Systems. Darin verfolgt SAP einen ganzheitlichen Ansatz: Nicht nur die Applikationen, sondern auch das Netzwerk, die Client-Sicherheit und die Datenbanken werden betrachtet.
SAP Security Baseline Template (Version vom 02.04.2020) https://launchpad.support.sap.com/#/notes/0002253549 (OSS Login benötigt)
- Zusätzlich sollte man auch den Security Patch Day von SAP auf der Agenda haben. An jedem zweiten Dienstag im Monat werden hier die neuesten Sicherheits-Updates vorgestellt.
- Auch die aktuellen Empfehlungen und Leitfäden der DSAG sind hierbei zu beachten: https://www.dsag.de/leitfaeden
Security Awareness: Mehr ist mehr
Obwohl die Awareness zur allgemeinen IT-Sicherheit derzeit sicherlich auf einem guten Level ist – mehr und besser geht hier immer. Christoph empfiehlt Unternehmen, die ihre Security weiter ausbauen wollen, dass sie zunächst eine Risikoabschätzung machen. Dazu muss geschaut werden: Wie geschäftskritisch sind die Daten im SAP und was wäre das absolute Worst-Case-Scenario bei einer Sicherheitslücke im System? Kann das System vielleicht sogar mehrere Tage ausfallen und geht dann unter Umständen gar nichts mehr?
Nach Christophs Erfahrungen sind die Ergebnisse, die solche Risikoabschätzungen hervorbringen, beängstigend. Setzt ein Unternehmen auf ein SAP-System, ist dieses oft auch unter den TOP 10 der Systeme, die für den Geschäftserfolg indirekt relevant sind. Unter diesen Umständen heißt IT-Sicherheit eben auch SAP-Sicherheit.
IT-Sicherheit und SAP-Sicherheit vereinen
Ist sich das Unternehmen einig, dass mehr in die Sicherheit des SAP-Systems investiert werden kann, müssen Entscheider, Admins, Analysten und IT’ler an einen Tisch gebracht werden. Der nächste Schritt: konkrete Maßnahmen durchführen.
Je nachdem wie gut das Unternehmen bereits aufgestellt ist, fallen diese Maßnahmen umfangreicher aus. Ist zum Beispiel schon ein SIEM-Tool im Einsatz, müssen die SAP-Applikationen in das Monitoring aufgenommen werden.
Christoph empfiehlt das Thema Monitoring zu priorisieren. Das spart Zeit, Ressourcen und Budget und ist gemeinsam mit einer Absicherung des Systems letztendlich zielführender als im System nur nach Schwachstellen zu suchen. Monitoring-Tools können oft in Echtzeit darüber informieren, ob es einen Incident gibt und diesen auch nachvollziehbar machen.
Die Mischung macht’s
Um das SAP-System kontinuierlich und nachhaltig abzusichern bedarf es der Mischung aus einer proaktiven Absicherung und dem Monitoring. Patches sollten also immer gepflegt sein und trotzdem sollte man immer unterstellen, dass man etwas übersehen hat. An dieser Stelle greift dann ein Monitoring, das alarmiert, falls es zu Unregelmäßigkeiten kommt.
Weitere Informationen
- SecurityBridge
- SAP Security Monitoring – ein Begriff mit vielen Gesichtern
- Day after Verschlüsselungstrojaner: Kann ich dem SAP noch vertrauen?
- DSAG Leitfäden und Handlungsempfehlungen