Was bietet die SAP Security Suite? – mit Martin Müller
Autor: Tobias Harmes | 22. Januar 2021
Mit Martin Müller von SAP Deutschland spreche ich über die Ansätze, die SAP selbst intern im Bereich Security fährt, und wie auch Kunden von diesen Erkenntnissen profitieren können. Außerdem verrät er, warum die SAP Security Suite mittlerweile auch interessant für die normale IT Security ist.
…als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
…auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
Feedback? harmes@rz10.de
Welche Veränderung gibt es aktuell bei der SAP?
Dieses Jahr war in vielerlei Hinsicht spannend. So wurden innerhalb der SAP unter anderem alle Prozesse und Tools reflektiert. Dabei fiel auf: Trotz aller Lösungsvorschläge im Bereich der Security gab es bisher nie eine einheitliche Lösung. Da eine ganzheitliche Lösung aber auch für die SAP selbst sehr hilfreich wäre, verwandelte sich diese Idee in ein neues Projekt.
Zunächst mussten dafür einige Fragen geklärt werden. So unterschiedlich die Kunden der SAP sind, so verschieden sind auch ihre Anforderungen. Während zwischen großen, mittleren und kleinen Unternehmen differenziert werden muss, sind sie auch intern unterschiedlich aufgestellt. Manche Betriebe nutzen beispielsweise nur die Cloud, andere hingegen sind hybrid. Dazu kommen Anforderungen aus verschiedenen Abteilungen wie etwa der IT oder von den Auditoren.
Das Projekt wurde im Laufe der Zeit deutlich größer, als ursprünglich gedacht war. Ein dreiviertel Jahr später kann jedoch ein Ergebnis präsentiert werden: Die SAP Security Suite. Sie bietet eine ganzheitliche Lösung, die Unternehmen in Kurzform alle Security Möglichkeiten vorstellt. Im Anschluss an diese Übersicht kann der Kunde dann weitere Informationen und Services anfragen.
Die SAP Security Suite – Nicht nur für die SAP
Das Bedürfnis nach dieser einheitlichen Lösung kam ursprünglich tatsächlich aus der SAP selbst, genauer: Aus dem Bereich Services. Das Feld der Security hat sich stark verändert und diese Veränderungen spürte auch die SAP. Zwar gab es für die Kunden schon die Secure Operations Map, doch auch hier hat sich bereits einiges gewandelt. Zu den üblichen Ebenen wie der Applikationsebene, der Systemebene und der Environment-Ebene kamen neue Bereiche dazu. Hier finden sich nun etwa die Bereiche der Organisation und der Prozesse.
Natürlich muss sich die SAP auch selbst schützen. Neben der eigenen Sicherheit ist die Security der SAP außerdem ein Aushängeschild. Dadurch wird auch von externen Parteien geschaut, welche Maßnahmen die SAP in diesem Bereich ergreift. Darunter fallen zum Beispiel große Kunden, die sich inspirieren lassen und beobachten, wie die SAP ihre eigene Cyber Security sicherstellt.
Wieso ist Cyber Security so wichtig?
Um auf die Relevanz der Security hinzuweisen, führt die SAP interne Awareness-Kampagnen durch. Selbst Martin Müller fiel trotz 15 Jahren Security Erfahrung auf einen internen Phishing-Versuch herein. Der Test zeigt, wie schnell es durch Stress oder Zeitdruck zu solchen Fehlern kommen kann. Liegt ein Phishing-Verdacht vor, können die SAP-Mitarbeiter sich jedoch an eigene Spezialisten wenden. Ähnlich funktioniert auch die Security Response Line für die Kunden der SAP. An diese können Unternehmen sich wenden, wenn sie eine Attacke befürchten.
Die Secure Operations Map durchläuft dann fünf Ebenen: Erst die Organisation, dann die Prozesse, Applikation, das System und schließlich die Environment-Ebene. Von Cyber Angriffen auf die Infrastruktur hört man in der Presse am häufigsten. Viele Unternehmen schützen deshalb nur diese und geben sich mit einer Firewall zufrieden. Es kommt jedoch öfter zu Angriffen auf der Applikationsebene, auf der sich kritische Daten wie etwa die Kundendaten befinden. Genau aus diesem Grund sollte es eine einheitliche Lösung geben, die alle Bereiche umschließt.
Die IT Security und die SAP setzen sich an einen Tisch
Bislang waren die Security und die SAP zwei verschiedene Welten. Wie sollten diese nun vereint werden? Die Lösung dafür ist eine Art Übersetzung der Sprachen und Arbeitsbegriffe. Die Security arbeitet mit NIST, dem National Institute of Standards and Technology. Ein solches Framework hat die SAP nicht. Trotzdem kennt die SAP ähnliche Begriffe. Um nun eine einheitliche Sprache zu finden, wurden die SAP-Lösungen in die NIST gemappt. Dadurch wissen die Leute aus der generellen IT nun grob, worüber die SAP spricht. Diese Gesprächsgrundlage gibt es jetzt zum ersten Mal. Das entsprechende Tool für alle SAP-Kunden ist die SAP Security Suite.
In diesem ca. 1-stündigen Webinar erfahren Sie, welche SAP Produkte und Services Sie im Security-Feld kennen sollten, welche Schutzmaßnahmen wir SAP Kunden empfehlen und wie Sie das Budget für die SAP Security planen können.
Gibt es Ebenen, die für Betriebe besonders wichtig sind?
Alle Bereiche der Secure Operations Map sind gleichermaßen wichtig. Im Bereich der Organisation befindet sich nicht nur Awareness. Es ist zum Beispiel wichtig zunächst festzustellen, wo sich die relevanten Betriebsdaten eigentlich befinden. Viele Unternehmen wissen das nicht. So können sie diese auch nicht richtig schützen. Erst nachdem diese Frage geklärt ist, können Prozesse aufgebaut werden. Die Applikationsebene schließt daran direkt an. Hier wird entschieden, wo Monitoring und Identity Access Management benötigt werden. Welche Tools genau in Verwendung treten sollten, hängt vom Bedarf des einzelnen Kunden ab.
Erste Erfahrungen mit der SAP Security Suite
Wer mit den NIST und SAP-Kollegen arbeitet, der merkt, dass die Begriffe sich trotz leichter Unterschiede ähneln und eine Zusammenarbeit ermöglichen. Häufig steht der SAP mehr Budget zur Verfügung, aber auch die Leute aus der IT haben Interesse an der Security. Die SAP Security Suite ermöglicht deshalb einen Brückenschlag, der das Budget erweitert. Die SAP Suite wirkt nun außerdem viel transparenter. Das ist wichtig, weil auch die Auditoren die SAP immer mehr verstehen. Lücken in der Sicherheit werden aus verschiedenen Winkeln wahrgenommen und können gemeinsam effizienter behandelt werden.
Seitens der SAP-Kunden ist oft keine Bereitschaft dafür vorhanden, in die SAP-Sicherheit zu investieren. Bei Bestandskunden fällt auf, dass die Security häufig dem Hoster überlassen wird. Der geht jedoch nicht die fünf Ebenen der Secure Operations Map durch. Dadurch entstehen Lücken, die man dringend finden sollte. Beispielsweise werden hier die personenbezogenen Daten vernachlässigt. Und das ist kein Einzelfall. Die Logfiles für den Hoster geben hier Aufschluss über abgedeckte Bereiche und die Lücken. Außerdem ist zu klären, wann die Security Notes eingespielt werden und wer diese kontrolliert. Auch das Monitoring und die Applikationsebene werden oft vernachlässigt.
Vorteile der SAP Security Suite
Die Vorteile und der Nutzen der Security Suite sind sehr vielfältig. Das wohl größte Plus ist die Funktion Early Watch. Diese überprüft große Auffälligkeiten und Guidelines der Security völlig kostenlos. Zusätzlich werden alle nötigen Folgeschritte verständlich erklärt. Leider wird dieses Tool bisher jedoch nur von einem Viertel der SAP-Kunden genutzt. Es ist daher eine große Empfehlung.
Auch die Enterprise Threat Detection ist ein hilfreiches Tool. Die arbeitet wie eine Alarmanlage, die über Logdaten-Aggregation Informationen sammelt und Auffälligkeiten anzeigt. Durch den rechtzeitigen Alarm können Veränderungen gemacht werden, die dauerhaft für mehr Sicherheit sorgen.
Insgesamt ist die Nutzung nicht nur etwas für große Unternehmen ab 100 Systemen. Auch im kleineren Ansatz sollte Security betrieben werden, um Schwachstellen zu vermeiden. Bereits ab 10 Systemen ist dies möglich. Immer mehr mittelständische Unternehmen nutzen die SAP Tools, um ihren Schutz gegen Cyber Crime auf ein neues Level zu bringen.
Fazit
Die Security Suite ist ein Produkt von der SAP für die SAP und ihre Kunden. Durch die Übersetzungsarbeit zwischen genereller IT und SAP gelingt eine ganzheitliche Sicherheitslösung. Kunden profitieren auch von kostenlosen Tools und Einsatzmöglichkeiten ab niedrigen Systemanzahlen.
