Eine solide SAP Security Strategie ist zum Schutz unternehmenskritischer Daten unerlässlich. Mit den Anforderungen unserer Kunden aus diesem Bereich kennt sich Holger Buczior, der sich seit einigen Jahren mit SAP Security Themen beschäftigt, bestens aus. Seit 2019 ist Holger im Bereich EIS von Olaf Haag als Solution Architect SAP Security und Head of CoE Data & Cybersecurity für die NTT DATA Business Solutions tätig. Neben den sich wandelnden Kundenanforderungen, kamen im Interview mit ihm u.a. auch Herausforderungen durch den Wechsel zu S/4 HANA sowie die Highlights seiner bisherigen beruflichen Laufbahn zur Sprache.
Modernes SAP Security Portfolio – die Anforderungen unserer Kunden
Ein Interview mit dem SAP Security-Experten Holger Buczior – Teil 1 der Interviewreihe
Holger, Du beschäftigst Dich bereits seit vielen Jahren mit SAP Security Themen. Trotz der hohen Komplexität des „Universums SAP Security“: Könntest Du die wesentlichen Komponenten einmal benennen und kurz erklären?
Wir können drei wesentliche Komponenten der SAP Security unterscheiden:
- SAP System Absicherung & Monitoring
- Sicheres Identity Management
- User Awareness
SAP hat sich in den letzten Jahren mehr und mehr geöffnet. Das bedeutet, dass wir uns nicht mehr nur auf die Kommunikation zwischen reinen SAP Systemen konzentrieren müssen, sondern auch Fremdsysteme in die Betrachtung miteinbeziehen sollten. S/4HANA, S/4HANA Cloud und SuccessFactors – um nur einige zu nennen – sind Themen, die wir aus dem Blickwinkel der Security kritisch bewerten müssen. User Experience vs. Security Requirements stellt eine große Herausforderung dar, da User vermehrt den Zugang zu SAP Infrastrukturen über mobile Endgeräte nutzen. Diese Punkte sollten im Rahmen einer SAP Security Roadmap Review untersucht und zyklisch bewertet werden.
Rund um das Thema SAP Security bist Du als Berater direkter Ansprechpartner unserer Kunden. Welche Anforderungen und Bedarfe siehst Du auf diesem Gebiet aktuell bei unseren Kunden?
Man merkt, dass sich das SAP Leistungsportfolio sehr im Wandel befindet. Die Migration zu S/4HANA / S/4HANA Cloud bspw. beschäftigt derzeit viele Kunden und führt noch häufig zu Verunsicherung, was insbesondere den Bereich Security betrifft. Es gehört daher auch zu unseren Aufgaben, unseren Kunden diese Unsicherheit zu nehmen. Dazu ist es wichtig, bereits vor der Implementation des S/4HANA Systems mit der zielgerichteten Beratung zu beginnen. Schon in der Konzeptphase eines Projektes sollte das Thema Security bewertet und mit dem Kunden eine Security Roadmap entwickelt werden. Nach Klärung der Bedarfe, ist es uns möglich, den Kunden den Weg zu einer sicheren SAP-Landschaft aufzuzeigen und ihn zu coachen.
Was sind weitere Bedarfe unserer Kunden? Mit welchen Themen beschäftigst Du Dich etwa ganz aktuell in Deinen Projekten?
In meinen aktuellen Projekten beschäftige ich mich v. a. mit Identity Management und tiefgreifenden Sicherheitsanalysen. Identity Management betrifft die Frage, wie sich von einem zentralen Punkt aus mehrere digitale Identitäten managen lassen. Häufig treffen wir hier auf hybride Szenarien, in welchen bspw. ein SAP System, das der Kunde selber hostet, und mehrere Cloud Instanzen vorliegen. Diese unterschiedlichen Systeme müssen aus Sicht der Identitäten zusammengebracht werden. Im anderen großen Bereich, den tiefgreifenden Sicherheitsanalysen, scannen wir komplette Systemlandschaften mit speziellen Tools auf Angriffsvektoren, die wir dann im Rahmen eines sog. Penetrationstests angreifen. Mit den Ergebnissen dieser Tests können wir den Kunden dann genau aufzeigen, wo seine Schwachstellen sind, wie sie sich ausnutzen und natürlich, wie sie sich beseitigen lassen.
Gibt es bestimmte „Security Trendthemen“, die immer wieder aufkommen?
Ein Trendthema, das aktuell wieder stark beleuchtet wird, ist das Hacking. Es gibt Untersuchungen von diversen renommierten Sicherheitsunternehmen, die aufzeigen, dass im Darknet derzeit Schwachstellenscanner bzw. Schadcodes, sog. Exploits, in diversen Proof of Concepts getestet werden. Noch hat die Hackerszene hier kein richtiges Businessmodell entwickelt, sie ist jedoch auf dem Weg dorthin. Sobald das Modell steht, wird es Angriffsbereiche rund um SAP geben, von denen wir heute ggf. noch nichts wissen.
Nun sind schon eine Reihe möglicher Kundenbedarfe und Anforderungen im Bereich Security zur Sprache gekommen. Wie begegnet NTT DATA Business Solutions diesen?
Unser Vorgehen in Projekten lässt sich grob in vier Schritte einteilen:
- Zunächst geht es uns darum, den Kunden zu verstehen. Damit uns das gelingt, führen wir in einem ersten Schritt möglichst immer Workshops durch, in denen wir gemeinsam Antworten auf die Frage „Was sind die wirklichen Sicherheitsanforderungen?“ generieren.
- Als zweites entwickeln wir gemeinsam mit oder für den Kunden ein Konzept.
- Im dritten Step nehmen wir dann die eigentliche Beratung vor, in der wir mit Tools, bspw. Berechtigungs- oder Securitytools, arbeiten.
- Im vierten Schritt können wir schließlich gemeinsam mit dem Kunden definieren, ob ein Security Monitoring, also eine zyklische Überwachung der Systeme durch Monitoring Tools, durchgeführt werden soll.
Das konkrete Vorgehen entlang dieser vier Schritte richtet sich dabei immer nach den spezifischen Herausforderungen des Einzelfalls.
Du hast gerade bereits die Nutzung spezifischer Tools angesprochen. Welche Tools sind das?
Wir haben zwei Lösungen, mit denen wir zurzeit arbeiten. Das ist zum einen das Produkt „XAMS“ der Firma Xiting. Mit dieser Lösung können wir z. B. bei einer S/4HANA Migration den IST-Zustand der Systeme feststellen und herausfinden, wie die Rollen aufgebaut sind. Nach dieser Auswertung können teilautomatisiert neue Rollendesigns passend für S/4HANA konzipiert und implementiert werden.
Außerdem arbeiten wir mit dem „werthAUDITOR“ der Firma Werth IT. Damit können wir ganze SAP Landschaften bis hin zur Cloud auf sicherheitsrelevante Details scannen und Angriffsvektoren definieren. Auf dieser Grundlage erhalten die Kunden aussagekräftige Berichte zur Einschätzung ihrer Sicherheitsbedarfe, auf denen wir dann wiederum unsere Beratung aufbauen können.
Wie bereits angesprochen, steht eine Vielzahl unserer Kunden aktuell vor dem Wechsel zu S/4HANA. Welche Security-spezifischen Herausforderungen bringt dieser Wechsel aus Deiner Sicht mit sich?
Ein typisches Security-Thema in S/4HANA Projekten ist die Erstellung von Berechtigungskonzepten. Gemeinsam mit dem Kunden muss geklärt werden, ob und welche Berechtigungsrollen in die neuen Systeme übernommen werden können. Wenn Rollen angepasst werden müssen, betrifft dies den Bereich der Sonderentwicklung. Sollten bspw. die Reports nicht mehr zu den neuen S/4HANA Systemen passen, müssen sie angepasst werden. Da wir uns hierbei zum Teil mit anderen Funktionalitäten auseinandersetzen müssen, stellt dies häufig eine Herausforderung dar. Wie bereits erwähnt, ist es auch für S/4HANA Projekte wichtig, dass die Kunden bereits im Vorfeld eine Beratung zum Thema Security erhalten. Neben den technischen Anforderungen bleibt die eigentliche Herausforderung die, dem Kunden die Unsicherheit vor den neuen S/4 HANA Systemen im Bereich Security zu nehmen.
Wie uns das Jahr 2020 gezeigt hat, können unvorhersehbare Krisen für Unternehmen zu einer aktuellen und akuten Herausforderung werden. Lassen sich Auswirkungen von unvorhersehbaren Krisen auf das Thema Security feststellen?
Ja, Krisen dieser Art haben auf den Bereich SAP Security sehr große Auswirkungen. Eine Security-Bedrohung, die nicht neu ist, aber derzeit wieder stärker im Fokus steht, ist das „Identitäts-Phishing“. Etwa durch geklonte Firmenwebsites oder E-Mails von vermeintlichen Führungskräften versuchen Hacker dabei, die Identität von Mitarbeitenden zu stehlen. Seitdem wir uns in der Pandemie befinden, arbeiten viele Menschen im Home-Office, was potenzielle Angriffsvektoren für ein System darstellt. Gelingt den Hackern das „Identitäts-Phishing“, können sich sie sich über die Verbindung aus dem Home-Office des Mitarbeiters direkt in die IT-Infrastruktur des Unternehmens verbinden und dort die Daten ohne weitere Sicherheitsprüfung aus den Systemen herauszuziehen. Es gibt Untersuchungen, wonach sich diese Angriffe seit Beginn der Pandemie um ein Vielfaches verstärkt haben – wir bewegen uns im dreistelligen Prozentbereich.
Arbeitest Du grade aktiv an weiteren Portfolio-Elementen im Bereich SAP Security?
Um unser Portfolio weiter zu modernisieren, verbinden wir derzeit innovative Ansätze aus anderen Bereichen mit dem Thema Security. Konkret entwickle ich gerade gemeinsam mit Manuel Busse, unserem Design Thinking Coach, ein Format, das wir „Security Thinking“ getauft haben. Dabei handelt es sich um Workshops, die methodisch nach Design Thinking Prinzipien verfahren und diese inhaltlich auf Security Themen anwenden. Ziel ist es, unsere Kunden für Security Themen zu sensibilisieren. Weitere Zukunftsthemen, mit denen wir uns beschäftigen, sind u.a. der KI-basierte Security Advisor und der Face ID Verificator.
So unterstützt NTT DATA Business Solutions Sie
NTT DATA Business Solutions vereint langjährige Erfahrung mit SAP-Systemen und fundierte Kenntnisse in der IT-Sicherheit. Durch unser eigenes Security Operations Center und unsere Security Management Services können Sie sich rund um die Uhr auf uns verlassen. Weltweit. Wir setzen Ihre individuelle Lösung handlungsorientiert und langfristig um – denn bei Datenschutz und IT-Sicherheit gehen wir keine Kompromisse ein.
Haben Sie Fragen zum Thema SAP Security? Dann nehmen Sie mit uns Konakt auf, wir beraten Sie gerne! Einfach eine kurze E-Mail an: [email protected].