Wie kann ich eine Kultur für SAP Sicherheit aufbauen? – mit Marco Hammel
Autor: Tobias Harmes | 4. Juni 2021
Mit Marco Hammel, Mitgründer und Geschäftsführer von NO MONKEY, spreche ich über die Herausforderungen und Ansätze zur Etablierung einer SAP-Sicherheitskultur in Unternehmen. Er erzählt, wie ich meinem Informationssicherheitsbeauftragten SAPisch erklären kann.
…zum Anschauen
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
…zum Hören
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
Feedback? harmes@rz10.de
Warum wird das Thema SAP-Security in Unternehmen häufig vernachlässigt?
Unternehmen widmen sich häufig erst durch regulatorischen Druck dem Thema SAP Security. Demzufolge sind oftmals bestimmte Verhaltensmuster im langfristigen Umgang mit der Sicherheit von SAP erkennbar. Konkret bedeutet dies, dass Kommunikationsschwierigkeiten zwischen Abteilungen sowie eine nicht offen kommunizierte Fehlerkultur zu einer Vernachlässigung der SAP Security führen können. Denn die Mitarbeiter wissen häufig nicht, wer ihre Ansprechpartner sind oder ihnen fehlt das notwendige Problemverständnis und die damit verbundene Tragweite und Transparenz.
Marco Hammel beschreibt dieses Szenario, welches in unterschiedlichen Unternehmensprozessen vorkommen kann, mit den drei Sätzen: „Ich sehe nichts. Ich höre nicht. Ich sage nichts.“ Da das Thema SAP Security eine Nische im Bereich der Cyber Security und Compliance darstellt, kann es sogar passieren, dass sich die genannten Verhaltensmuster verstärken.
Ermittlung von Bewusstsein und Zuständigkeiten für SAP Security
Viele Unternehmen fühlen sich durch die regelmäßige Durchführung von Audits und die Einhaltung von Rechten, Gesetzen und Ordnungen (Compliance) sicher. Aber was ist Sicherheit überhaupt?
Entscheidend sei zunächst die Erkenntnis, dass Sicherheit ein Prozess und kein Zustand ist, betont Marco Hammel. Es ist ein fortlaufendes, bewegliches Ziel, welches von den wirtschaftlichen Zielen und der Arbeitsweise eines Unternehmens abhängig ist.
An dieser Stelle besteht die Gefahr der Fehlallokation von Ressourcen und Arbeitsmitteln, da beispielsweise nur eine begrenzte Geldsumme zur Verfügung steht, um die Sicherheit von SAP zu fördern. Jedoch ist der Umgang mit Ressourcen zur Etablierung eines gemeinsamen Problembewusstseins ein wesentlicher Bestandteil der SAP Security in Unternehmen.
In diesem Zusammenhang muss ein Ansatz gefunden werden, wie mit allen Beteiligten eine Entscheidung bezüglich des Umgangs mit den Ressourcen getroffen werden kann. Dabei ist die Etablierung einer gemeinsamen Verständniskultur und eines gemeinsamen Problembewusstseins die Grundlage, um eine Unternehmenskultur für SAP Security einzuführen.
Somit ist die IT-Abteilung auf Mitarbeiter angewiesen, die sich mit z.B. einer SIEM-Anbindung auskennen. Aber auch die Mitarbeiter aus der SAP-Abteilung müssen über ein Organisationsverständnis und die regulatorischen Anforderungen verfügen, um diese zu unterstützen. Nur so kann das Thema SAP Security langfristig und erfolgreich in Angriff genommen werden.
Welche kommunikativen Barrieren existieren zwischen SAP-Abteilung und IT-Abteilung?
Ein Security Operation Center (SOC) arbeitet üblicherweise in einem bestimmten Framework, wie beispielsweise dem Standardisierungskonzept ISO 27001. Da eine SAP-Abteilung mit einer Vielzahl an Informationen (z.B. Security Guides und Security Baseline Templates) arbeitet, erweist sich die Etablierung von Normen wie der ISO 27001 in ihre Prozesse zunächst als problematisch.
Umgekehrt muss auch ein SOC die Informationsdarstellung und „SAP-Sprech“ verstehen. Diese kommunikative Überbrückung zwischen zwei Bereichen oder auch Abteilungen könne mithilfe eines SAP Security Maturity Models erfolgen, erklärt Marco Hammel.
Ist die Nutzung des SAP Security Baseline Templates und der SAP Secure Operations Map ausreichend?
Vergleicht man das SAP Security Baseline Template beispielsweise mit einer ISO 27001 oder dem Cybersecurity Framework hinsichtlich der Funktionen, Aktivitäten und Maßnahmen, so deckt es nicht den kompletten Bereich ab.
Da die IT-Sicherheitsstrategie eines Unternehmens nicht gegen das SAP Security Baseline Template definiert wird, kommt auch die SAP Secure Operations Map bei der strategischen IT-Gesamtausrichtung eines Unternehmens nicht in Frage.
Zunächst kann über die Implementierung eines Security Baseline Templates nachgedacht werden. Auf dieser Basis erweisen sich ISO 27001 und das Cybersecurity Framework als hilfreiche Werkzeuge, um zu ermitteln, an welcher Stelle bei der Umsetzung noch was getan werden sollte.
Folglich geht es nicht um die Ersetzung des SAP Security Baseline Templates, sondern um eine andere Sichtweise auf dieses. Dies erleichtert gleichzeitig die Lösung des Kommunikationsproblems.
Welche Voraussetzungen müssen zur Etablierung einer Kultur für SAP Security erfüllt sein?
Zunächst müssen das Problembewusstsein und die Interpretation zum Thema SAP Security betrachtet werden. Auf dieser Basis kann dann wertfrei geklärt werden, wo Zuständigkeits- und Verantwortlichkeitslücken existieren. Dies geht mit den Fragen einher, was es überhaupt bedeutet, eine Zuständigkeit zu haben, welches Knowhow dafür erforderlich ist und welche Ressourcen benötigt werden. Des Weiteren muss ein Unternehmen prüfen, ob Personal mit den entsprechenden Kompetenzen zur Verfügung steht oder ob der Lieferant über das entsprechende Knowhow zum Thema SAP Security verfügt.
Das SAP Security Apitute Assessment ist ein Excel Dokument von NO MONKEY, welches einen einfach auswertbaren Fragebogen beinhaltet, und dabei hilft, die oben genannten Fragen zu klären. Wer das nicht alleine machen möchte, kann auch die passende Dienstleistung nutzen, siehe dazu auch Security Aptitude Assessment Service von NO MONKEY
Fazit
Kommunikationsschwierigkeiten zwischen Abteilungen, Zuständigkeits- und Verantwortlichkeitslücken sowie eine nicht offen kommunizierende, negative Fehlerkultur führen häufig zu einer Vernachlässigung der SAP Security. Da Sicherheit ein Prozess und kein Zustand ist, ist eine gemeinsame Verständniskultur und ein gemeinsames Problembewusstsein die Grundlage für die langfristige Etablierung einer Kultur für SAP Security in Unternehmen.
Weitere Informationen:
- OWASP Core Business Application Security Projekt mit allen Teilprojekten, wie dem Security Aptitude Assessment und SAP Security Maturity Model
- Weitere Informationen zum SAP Security Aptitude Assessment Service durch die NO MONKEY’s