SAP in die IT-Security integrieren – konzeptuelle vs. technische Integration

Autor: Yannick Rech | 24. November 2021

SAP in IT-Security integrieren

Die zunehmende Anzahl an Hackerangriffen ist nur ein Beispiel für die Notwendigkeit einer sicheren IT-Landschaft. Im folgenden Beitrag wird erläutert, warum die Integration von SAP in die IT-Security eines Unternehmens von großer Bedeutung ist. Wir stellen zwei Integrationsszenarien vor.

Warum das Thema SAP Security immer wichtiger wird

In den vergangenen Jahren hat das Thema IT-Sicherheit für Unternehmen nochmal an Bedeutung gewonnen. Dies liegt einerseits an bekannten Hackerangriffen, wobei auch die jeweilige SAP-Landschaft stark in Mitleidenschaft gezogen worden ist. Beispielsweise wurden sowohl das Universitätsklinikum Düsseldorf als auch die Technische Universität Berlin zum Opfer dieser Angriffe.

Andererseits haben sich die gesetzlichen Anforderungen erhöht. Hierbei steht unteranderem das IT-Sicherheitsgesetz 2.0 im Mittelpunkt, welches eine aktive Überwachungspflicht für alle KRITIS-Unternehmen vorschreibt. Demnach reicht es nicht mehr aus, Log-Daten lediglich aufzuzeichnen. Das IT-Sicherheitsgesetz 2.0 schreibt nun eine zusätzliche Überwachung dieser Log-Daten vor. Darunter fallen auch SAP-Systeme. Aber auch branchenspezifische Gesetze wie zum Beispiel das Aktiengesetz, welches die Einrichtung eines Überwachungssystems thematisiert, verdeutlichen die zunehmende Bedeutung der SAP Sicherheit für Unternehmen.

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Warum SAP oftmals noch nicht in die IT-Security integriert ist

Viele Unternehmen haben die SAP-Systeme als IT-Komponenten häufig noch nicht ausreichend in die IT-Sicherheit integriert. Dies kann unter anderem an der On-Premise-Natur von SAP liegen. Im Gegensatz zur Cloud, die nicht im Unternehmen gehostet wird, liegt SAP auf den eigenen Systemen und erfordert somit ein aktives Kümmern seitens des Unternehmens.

Darüber hinaus ist SAP oftmals organisatorisch von der restlichen IT getrennt, da den SAP-Systemen und der restlichen IT unterschiedliche Unternehmens-Ressorts zugrunde liegen. Aber auch eine unzureichende SAP-Expertise beim CSOC (Cyber Security Operation Center) kann die Ursache für eine fehlende Integration von SAP in die IT-Sicherheit sein. Daneben kann diese Integration ebenfalls durch eine große Anwender/Admin-Durchmischung im SAP erschwert werden. Dies geht mit großen Herausforderungen im Kontext der Auslagerung von SAP in die IT einher. 

Unterscheidung: Konzeptuelle Integration vs. Technische Integration

Bei der Integration von SAP in die IT-Sicherheits-Landschaft unterscheiden wir zwischen der konzeptuellen und der technischen Integration:

Konzeptuelle Integration

Im Kontext der konzeptuellen Integration handelt es sich um die Integration von SAP in ein bestehendes IT-Sicherheitskonzept, welches oftmals aus dem vergangenen EU-DSGVO-Projekt besteht. Folglich liegt bereits ein Konzept vor, in dem SAP berücksichtigt werden soll.

Mithilfe einer Schutzbedarfsanalyse wird das SAP-System betrachtet und die wichtigsten Unternehmensgüter/-werte (Assets) aus der Sicht des Unternehmens identifiziert und im Anschluss klassifiziert, damit diese innerhalb des technischen Projektes entsprechend geschützt werden können. Weiterhin können die fachlichen Risiken und Angriffspotentiale der unternehmerischen Assets identifiziert und bewertet werden.

Bei der Umsetzung der konzeptuellen Integration sind sowohl die Fachbereiche (z.B. Finance, Controlling, etc.), die Rechtsabteilung als auch die IT-Abteilung betroffen, da die IT auf die Unterstützung der anderen Abteilungen angewiesen ist.

 Technische Integration

Im Gegensatz zur konzeptuellen Integration von SAP in die IT-Sicherheits-Landschaft eines Unternehmens liegt bei der technischen Integration kein bestehendes Konzept vor. Die SAP wird demnach in bestehende technische Hilfsmittel und Tools eingebunden, welche bereits von der IT-Sicherheit genutzt werden. Auf diese Weise soll eine ganzheitliche IT-Security hergestellt werden, die SAP beinhaltet.

Darüber hinaus erfolgt die Einbindung in ein zentrales SIEM (Security Information and Event Management), welches oftmals eine Cloud-Software ist. Ein SIEM wird zentral für die IT als Komponente genutzt. Es fasst Log-Dateien aus verschiedenen IT-Komponenten zusammen und bereitet diese auf, um im Notfall einen Alarm auslösen zu können.

Weiterhin können durch die Einbindung in ein zentrales Netzwerk Lizenzkosten gespart und der Aufwand minimiert werden. Da die IT oftmals ihr eigenes Basis-Monitoring besitzt und die SAP wiederum ein anderes nutzt, ist eine Zusammenfassung von IT und SAP an dieser Stelle empfehlenswert, um innerhalb vom Unternehmen agilere Arbeitsweisen zu ermöglichen. Diesbezüglich lohnt sich auch eine Anbindung von Tools zum Verwalten und Administrieren der Systeme an SAP Prozesse.

Insgesamt besteht das Ziel der technischen Integration in dem Abbau der Hürden zwischen IT und SAP, sodass durch das Finden eines gemeinsamen Nenners das Auseinanderdriften von IT und SAP verhindert wird. In diesem Zusammenhang liegt der Fokus bei der Umsetzung auf der allgemeinen IT-Abteilung sowie auf der SAP-IT.

 Empfohlene Zielarchitektur für die Integration

Im Rahmen der Integration der SAP in die Zielarchitektur eines IT-Sicherheitskonzeptes sollte auch das CSOC-Team, als zentrale Sicherheitskomponente im Unternehmen, die Sicherheitshoheit über SAP haben.

Integration der SAP in das IT-Sicherheitskonzept

Integration der SAP in ein IT-Sicherheitskonzept

Um Details abzuklären, eignet sich ein Konzeptionsprojekt. Außerdem ist auch die technische Integration in gesamtheitliche IT-Security-Applikationen wie beispielsweise SIEM oder Deployment-Tools entscheidend. Grundsätzlich müssen jedoch immer die Bedürfnisse in Puncto SAP im Sicherheitskonzept berücksichtigt werden, da sich diese zum Teil von anderen unterscheiden.

Fazit

Vor dem Hintergrund schwerwiegender Hackerangriffe und den erhöhten Anforderungen des IT-Sicherheitsgesetztes 2.0 ist die Integration der SAP in die IT-Security eines Unternehmens empfehlenswert, um der zunehmenden Bedeutung der SAP-Security gerecht zu werden und das Unternehmen zu schützen. Hierbei kann auf zwei unterschiedliche Integrationskonzepten zurückgegriffen werden.

Diesbezüglich stellen wir Ihnen unserem Webinar „Wie kann ich SAP einfach in meine IT-Security integrieren?“ die gängigsten Tools im Bereich IT-Security und SAP sowie typische Missverständnisse vor und teilen unsere Erfahrungen aus der Praxis. Sollten Sie Fragen oder Beratungsbedarf haben, schreiben Sie uns gerne eine Mail an info@rz10.de.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Yannick Rech

Autor

Yannick Rech

B. Sc. Wirtschaftsinformtiak

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice