Was leisten Security Dashboards für die SAP-Sicherheit? – mit Ralf Kempf
Autor: Tobias Harmes | 6. August 2021
Ralf Kempf, Verantwortlicher für den Bereich SAST Solutions bei der akquinet AG, war zu Gast im RZ10-Podcast. Im Interview sprechen wir darüber, wie Security Dashboards bei der frühzeitigen Erkennung von Bedrohungen helfen, welche Vorteile sie bieten und ob Security Dashboards zusammen mit S/4HANA implementiert werden sollten.
…als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
…auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
Feedback? harmes@rz10.de
Was macht ein brauchbares Security Dashboard aus?
Ein Security Dashboard dient der übersichtlichen Darstellung von Security-relevanten Informationen, angepasst auf die jeweilige Rolle des Nutzers. Damit das Dashboard wirklich als Werkzeug genutzt werden kann, muss es auf die jeweilige ‚Sprache‘ des Nutzers ausgerichtet sein. Diese Sprachen können aufgrund unterschiedlicher Bedarfsträger wie zum Beispiel dem Security-Management oder Systemrichtlinienverantwortlichen, variieren.
Welche Vorteile bietet ein Security Dashboard?
Häufig arbeitet jeder Bereich eines Unternehmens mit eigenen Methoden, sodass aufgrund verteilter Informationen keine Gesamtübersicht über die Assets und Zuständigkeiten besteht. Zusätzlich erschwert die Komplexität der SAP-Systeme in Verbindung mit anderen Unternehmensprozessen die Übersicht im Unternehmen. Security Dashboards schaffen in Form einer ganzheitlichen Echtzeit-Überwachung Transparenz hinsichtlich beliebiger Security-Landschaften eines Unternehmens, indem die unterschiedlichen Sichtweisen und Umgangsmethoden gebündelt und standardisiert werden. Zusätzlich reagieren Security Dashboards unmittelbar auf unvorhergesehene Bedrohungen. In diesem Zusammenhang können gleichzeitig Ressourcen gespart werden, da weniger Mitarbeiter für die Überwachung diverser Systeme benötigt werden.
Welche Rolle spielt die Transparenz bei der Sicherheit von Unternehmen?
Jedes Unternehmen muss sich dem Thema IT-Sicherheit ausreichend widmen. Hierfür existieren unterschiedliche Mittel und Methoden. Viele Unternehmen konnten einer bevorstehenden bereits Katastrophe knapp ausweichen. Die Unternehmen, die schwer von einem Hacker-Angriff getroffen sind, sind aus Angst vor einem Imageschaden nicht bereit, über ihre Fehler und Lösungsstrategien zu reden. Während die einen aus ihren Fehlern lernen, tangieren diese Fehler das Tagesgeschäft anderer Unternehmen kaum. Grundsätzlich reagiert jedes Unternehmen anders auf derartige Angriffe.
Entscheidend ist jedoch der Faktor der Transparenz, sobald das Thema Security innerhalb einer unternehmerischen IT-Infrastruktur aufgegriffen wird. Da viele Unternehmensbereiche situativ an Aufgaben arbeiten, mangelt es an einer strategischen Ausrichtung in Form von bereichsübergreifenden, einheitlichen sowie transparenten Standards. Diese strategische Ausrichtung kann jedoch nicht von heute auf morgen umgesetzt werden. Vielmehr handelt es sich um einen Reifeprozess, den jedes Unternehmen für sich selbst durchlaufen muss. Dabei sind die monetären und personellen Investitionen in die Transparenz und somit in ein Security Dashboard wesentlich geringer als der Schaden, der durch unvorhergesehene Angriffe auf das Unternehmen entstehen kann.
Sind Dashboards ein Management-Werkzeug oder ein operatives Werkzeug?
Das Dashboard ist ein operatives Werkzeug, das nicht nur als C-Level (CEO, CIO, …) Komponente fungiert. Folglich besteht das Ziel in einer sinnvollen On-Premise-Unterstützung der operativen Elemente, wobei auch Cloud-Aspekte abgebildet werden können.
Das Thema der Transparenz ist dabei weit unter den Ebenen des C-Levels angesiedelt. In diesem Zusammenhang müssen im ersten Schritt Assets erhoben sowie Betriebs- und Härtungsgrundlagen in der Fläche abgebildet und Zuständigkeiten geklärt werden. Im nächsten Schritt werden die erhobenen Assets, die Betriebs- und Härtungsgrundlagen und die geklärten Zuständigkeiten beobachtet.
Ist ein Security Dashboard nur für den SAP-Bereich eines Unternehmens sinnvoll?
In der SAP-Welt existieren zum Teil andere Regeln hinsichtlich der lokalen Zuständigkeiten. Demzufolge besitzen die meisten Unternehmen zweistufige Hierarchien, wobei das SAP-Team mit den SAP Security Dashboards eine eigene Hierarchiestufe bildet. Da die Mitarbeiter des SAP-Teams auf einer anderen Verständnisebene operieren, besteht eine große Herausforderung in der Übersetzung dieser Dashboards, damit diese für andere Bereiche verständlich sind. Bei dieser Übersetzung handelt es sich um einen Prozess, der auf die Sicherheitsstandards, das Berichtswesen und das Exception-handling abgestimmt werden muss. Kurz gesagt bestünde hierbei ein großer Aufwand, da die unterschiedlichen Mitarbeiter der diversen Bereiche bei der Übersetzung und Befolgung von Anweisungen über viel Hintergrundwissen verfügen müssten. Daher empfiehlt sich eine gemeinsame Sichtweise auf das Dashboard, in dem die Daten aus unterschiedlichen Bereichen situationsspezifisch gebündelt werden.
In diesem Zusammenhang bietet SAST Solutions eine vorkonfigurierte Lösung, die den Bedürfnissen der Zielgruppen entspricht, ohne dass verschiedene Reporting-Lösungen von SAP zum Thema Sicherheit durchgespielt werden müssen. Im Rahmen dieser vorkonfigurierten Lösungen bildet man bei Bedarf auch die Mitarbeiter von Unternehmen aus.
Sollte ein Security Dashboard zusammen mit S/4HANA implementiert werden?
Im Zuge neuer Zugriffswege durch S/4HANA lohnt es sich auch das Thema Sicherheit in Angriff zu nehmen. Da sich die Integration eines Dashboards schwieriger gestaltet, wenn das S/4HANA System bereits aktiv genutzt wird, ist der Aufbau eines Dashboards direkt zu Beginn zu empfehlen. Auf diesem Weg kann gleich ein definierter Standard überwacht und Richtlinien hochgehalten werden.
Haben Sie Fragen oder Beratungsbedarf? Schreiben Sie uns gerne eine Mail an info@rz10.de.