SAP Security Monitoring – ein Begriff mit vielen Gesichtern

Autor: Luca Cremer | 9. April 2020

6

Oft ist die Rede von einem SAP Security Monitoring um den Überblick über seine Systeme zu halten. Revisionen und externe Wirtschaftsprüfungen fordern ebenfalls ein Überwachungsinstrument. Ich gehe in dem Beitrag einmal auf die verschiedenen Varianten einer Überwachung ein und gebe auch meine Erfahrungswerte dazu mit.

SAP Security Monitoring – Begriff und Abgrenzung

Der Begriff “SAP Security Monitoring” wird teilweise sehr häufig verwendet. Um das einmal abzugrenzen, gehe ich kurz auf die verschiedenen Varianten einer Security-Kontrolle oder eines Monitoring ein.

Vorab: Ein SAP Security Monitoring auf reale Angriffsszenarien hat sich in jedem Fall als sinnvoll erwiesen – nur hier erkennen Sie, ob wirklich etwas passiert ist.

Internes Kontrollsystem (IKS) – präventiv

Ein internes Kontrollsystem kontrolliert grundsätzlich die Einhaltung eines Berechtigungskonzeptes. Hier wird also grundsätzlich auf kritische Berechtigungsvergaben, Funktionstrennungskonflikte und Prozesskonformität der im Berechtigungskonzept beschriebenen Prozesse kontrolliert.

Grundsätzlich gilt: Alles, was im Berechtigungskonzept definiert ist, sollte auch eingehalten werden – genau das wird in Form eines internen Kontrollsystems regelmäßig überprüft.

Monitoring von Systemeinstellungen – präventiv

Hierbei handelt es sich um die Überwachung von sicherheitskritischen Systemeinstellungen, wie z.B. Profilparameter. Dabei wird meist von einem Zentralsystem eine Kontrolle auf die angeschlossenen Satellitensysteme durchgeführt. Eine Abweichung ist dann meist in Form eines Dashboards oder einer Benachrichtigung sichtbar und sollte behoben werden.

So etwas kann z.B. mit der Solution Manager Configuration Validation umgesetzt werden.

SAP Security Monitoring zur Identifikation von realen Systemvorfällen – detektiv

Die dritte und letzte Variante von Monitoring-Möglichkeiten zielt auf die Überwachung von SAP Logs an zur Erkennung von Vorfällen, welche real im System passieren. Jemand könnte seine Berechtigungen ausnutzen und Dinge im System tun, welche so nicht vorgesehen sind. Hierbei sprechen wir u.a. von:

  • Überwindung von Sicherheitsbarrieren
  • Vertuschen von Manipulationen
  • Download von großen Datenmengen

Das Ergebnis einer solchen Kontrolle sind meist Events / Findings, welche im Nachgang analysiert werden müssen.

Erfahrungswerte zum SAP Security Monitoring

Generell gilt natürlich: Jede Maßnahme schützt das System und kann Ihnen mehr Sicherheit für die geschäftskritischen Bereiche bieten.

Internes Kontrollsystem (IKS)

Kostenloses E-Book
Unser E-Book zum Thema SAP Security & Berechtigungen

Eine Kontrolle auf die Einhaltung des Berechtigungskonzepts ergibt eigentlich nur wirklich Sinn, wenn ein einheitliches Berechtigungskonzept definiert und einmalig umgesetzt worden ist. Im Nachgang ist es dann sinnvoll und notwendig die Einhaltung auch zu kontrollieren und regelmäßige Maßnahmen zu fahren.

Dennoch ist es äußerst hilfreich einmal den IST-Stand Ihrer Berechtigungssituation zu kontrollieren und zu dokumentieren. Das führen wir bei unserem Kunden z.B. mittels eines initialen SAP Security Check durch.

Monitoring von Systemeinstellungen

Diese Kontrolle verhält sich erfahrungsgemäß ähnlich zu der eines internen Kontrollsystems – oftmals werden auch die Systemparameter mit einem internen Kontrollsystem überwacht. Genauso wie bei den Berechtigungen ist es sinnvoll hier zuerst für einen sauberen Stand zu sorgen und dann regelmäßig Veränderungen der initialen Einstellung zu überprüfen und ggfs. Maßnahmen zu ergreifen. Eine solche initiale Einstellung wird als Systemhärtung bezeichnet, welche wir auch bei unseren Kunden durchführen.

SAP Security Monitoring

Wenn von einem Monitoring auf reale Systemvorfälle gesprochen wird, denken viele direkt an ein “Echtzeitreporting” welches dem Anwender in nahezu Echtzeit Alarme reported welche dann behandelt werden können. Die SAP setzt hierfür Ihr Tool die SAP Enterprise Threat Detection (ETD) ein.

Die Lösung eines Echtzeitreportings ist sinnvoll, bringt jedoch auch hohe Investitionskosten und laufende Kosten mit sich. Die Systemlandschaft muss konfiguriert und Prüfregeln aktiviert werden. Der wahre Aufwand liegt jedoch in der Abarbeitung der Alarmmeldungen – wer kümmert sich darum? Diese Frage wird oft außen vor gelassen, weshalb sich die hohen Kosten oftmals nicht rentieren.

Alternativ zu einem Echtzeitreporting können Sie auch in regelmäßigen Abständen (z.B. monatlich) Ihr SAP System auf reale Vorfälle kontrollieren (lassen). Das SAP Security Audit Log liefert hierfür u.a. gute Hinweise auf die Verletzung der Systemintegrität. Wir bieten für unsere Kunden eine SAP Einbruchserkennung als Komplettservice an. Sie erhalten als Ergebnis monatlich einen von unseren Experten individuell aufbereiteten Report mit konkreten Handlungsempfehlungen. Darauf basierend können Sie dann Maßnahmen ergreifen oder alternativ auch mitigieren.

Den Einbruch wenigstens bemerken

Man muss nicht alles im Bereich SAP Security machen, was geht. Aber man sollte zumindest wissen, wo man steht. Wir können Ihnen dabei helfen. Informieren Sie sich unverbindlich.

Ich hoffe, ich konnte Ihnen mit diesem Beitrag einmal aufzeigen, welche Möglichkeiten Sie haben um die Sicherheit Ihres Systems zu kontrollieren. Kontaktieren Sie mich gerne, wenn Sie weitere Informationen dazu wünschen – ich stehe gerne für ein Gespräch bereit!

Wenn Sie Fragen dazu haben, schreiben Sie gerne auch ein Kommentar direkt unter diesen Beitrag.

Sie benötigen Unterstützung bei der Umsetzung? Unser Autor ist Berater für dieses Thema. Fragen Sie ihn an über das RZ10.de Partnerprodukt Berater für SAP Berechtigungen und Security


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Luca Cremer

Autor

Luca Cremer

Fachbereichsleiter Security | Projektleiter | Security Consultant

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support