SAP Secruity_nicht zu unterschätzen

Die Sicherheit der SAP-Landschaft ist ein nicht zu unterschätzender Faktor – Teil 2

Interview mit Thomas Werth von der Werth IT GmbH – Teil 2 der Interviewreihe

Seit 2020 ist die Werth IT GmbH Lösungspartner der NTT DATA Business Solutions. In Kundenprojekten arbeiten die SAP Security Experten der NTT DATA Business Solutions aus dem Bereich „Enterprise Integration & Security“ u. a. mit dem Security Scanner des Unternehmens, dem werthAUIDITOR. Der Geschäftsführer der Werth IT, Thomas Werth, ist langjähriger SAP Security Experte und hat diverse Publikationen für das Bundesamt für Sicherheit in der Informationstechnik sowie verschiedene Bücher und Artikel veröffentlicht.

Im Interview stellt er die wichtigsten Komponenten von SAP Security dar, beschreibt, wie sich die Kundenanforderungen auf diesem Gebiet verändert haben und zeigt auf, wie der werthAUDITOR diesen Anforderungen gerecht wird.

Lesen Sie im ersten Teil der Interviewreihe zu SAP Security, welche Komponenten und Tools zu SAP Security gehören und mit welchen Herausforderungen bei der SAP S/4HANA Transition zu erwarten haben.

Seit 2020 ist die Werth IT GmbH Lösungspartner der NTT DATA Business Solutions. Wie kam es zu dieser Kooperation?

Holger Buczior, Solution Architect SAP Security und Head of CoE Data & Cybersecurity bei NTT DATA Business Solutions und ich kannten und schätzten uns schon vor dem Jahr 2020. Das Geschäftsmodel der Werth IT ist zudem auf die Zusammenarbeit mit größeren Beratungshäusern ausgelegt. Dazu bieten wir ein relativ exklusives Leistungsangebot und sind entsprechend für das Portfolio der NTT DATA Business Solutions interessant. Auf dieser Basis ließen sich dann 2020 schnell die ersten gemeinsamen Projekte durchführen.

Die Werth IT GmbH ist Spezialist auf dem Gebiet SAP Security. Trotz der hohen Komplexität des Themas: Würden Sie die wesentlichen Komponenten / Bereiche von SAP Security einmal knapp erklären?

Die Sicherheit eines SAP-Systems ist von vielen Faktoren abhängig. Im Wesentlichen zu nennen sind dabei:

  • Die kritischen Berechtigungen und Rechtekombinationen: Hier ist das Risiko, dass das 4-Augen-Prinzip bei kritischen Geschäftsprozessen verletzt werden kann oder ein Anwender seine Berechtigungen derart ausweitet, dass er faktisch das System voll unter seiner Kontrolle hat.
  • Die Konfiguration und Systemhärtung: Existieren hier unsichere Systemeinstellungen, können Angreifer sich über bekannte Wege in das System schleichen. Bspw. können Passwörter bei schlechter Passwort-Policy geraten werden.
  • Sicherheit von Custom-Code: SAP ist ein Produkt von der Stange und muss für jedes Unternehmen in einem gewissen Grad individualisiert werden. Dies übernimmt der Custom-Code. Dieser kann unsicheren Code enthalten, der bspw. die internen Sicherheitsmechanismen von SAP umgeht (Mandantentrennung, Berechtigungsprüfungen).
  • Sicherheit der Schnittstellen: SAP bietet eine Vielzahl an Diensten im System an. Bekannt sind hier RFC, ICM, SAP-GUI, Message-Server. Diese müssen sicher betrieben werden, sonst kann der Angreifer auch schon mal mit der Tür ins Haus fallen, wie bei einem Angriff über ein offenes SAP-Gateway.
  • Patchmanagement: Bekannte Angriffswege müssen zeitnah geschlossen werden, da die Wege zur Ausnutzung mit dem Patch in der Regel bekannt werden.
  • Auditing: Die Log-Einstellungen im System müssen ausreichend konfiguriert sein und die Logs regelmäßig kontrolliert werden. So erkennt man schnell sicherheitsrelevante Ereignisse im System.
  • Sicherheit des Betriebssystems: Hier dürfen keine Schwachstellen existieren, da Vollzugriff auf das OS auch Vollzugriff auf SAP nach sich zieht.
  • Datenbanksicherheit: Hier liegen die Kronjuwelen von SAP. Schwachstellen in der Datenbank erlauben das Umgehen aller bisherigen Sicherheitsvorkehrungen.
  • Die Sicherheit der gesamten SAP-Landschaft: Durch die Kommunikation und Vernetzung der Systeme untereinander ist es möglich, dass ein unsicheres System einem Angreifer als Sprungbrett in das hochsichere Produktivsystem bietet. Derartiges muss erkannt werden.

Was sind typische Auslöser für Unternehmen, sich mit SAP Security Themen zu befassen?

Die Sensibilisierung durch Berichterstattung über Sicherheitsvorfälle in den Medien oder aus persönlichen Erfahrungen der Kontakte eines Unternehmens führt zu einem geschärften Bewusstsein für das Thema. Doch auch interne Vorfälle können Auslöser für die Beschäftigung mit dem Thema SAP-Sicherheit sein. Es geht aber auch ohne Vorfälle und regulatorische Anforderungen, wenn bspw. die interne Revision die treibende Kraft ist.

Haben sich die Bedarfe und Anforderungen der Unternehmen hinsichtlich Security-Themen in den letzten 2-3 Jahren geändert? Wenn ja, warum?

Der Trend geht klar zur ganzheitlichen Sicherheit. Mehr Sehen durch eine tiefere und breite Prüfung ist die neue Anforderung. Bspw. haben Unternehmen verstanden, dass es nicht ausreicht, nur auf die Berechtigungen zu schauen. Die wesentlichen Komponenten der SAP-Sicherheit sind im allgemeinen Bewusstsein angekommen. Ebenso geht der Trend zu einer kontinuierlichen Sicherheitsüberwachung, statt alle paar Jahre mal einen Security Check zu machen. Denn Sicherheit ist ein Prozess und benötigt fortwährende Kontrollmechanismen. So kommen ja monatlich Patches für neue Schwachstellen und auch das Berechtigungskonzept unterliegt einem ständigen Wandel, um nur zwei Aspekte zu nennen.

Durch Ihre eigene Softwarelösung, den werthAUDITOR, unterstützen Sie Unternehmen dabei, ihre SAP-Systeme zu schützen. Was „macht“ die Software, um diese komplexe Aufgabe zu bewältigen? Was sind ihre Funktionen?

Unsere Lösung automatisiert den Sicherheitsprozess. Unternehmen sparen deutlich Ressourcen und erhalten zudem tiefes Experten-Wissen. Sämtliche Prüfungsbereiche lassen sich automatisch auf Risiken prüfen – dies je nach Anwendungsfall entweder anlassbezogen oder dauerhaft. Zur Prüfung verbindet sich unsere Lösung mit dem System und prüft es auf Herz und Nieren. Es ist jedoch nicht notwendig, die zu prüfenden Systeme für eine Prüfung zu ändern, in dem man Agenten oder Custom Code einspielt. Wir arbeiten mit dem Zerofootprint Ansatz.

Zudem nimmt unsere Lösung dem Thema die Komplexität. Ergebnisse lassen sich intuitiv schon nach kurzer Einarbeitungszeit völlig unkompliziert erzielen. Die Ergebnisberichte liefern alle zur Bearbeitung der Findings notwendigen Informationen und Verweise sowie Schritt-für-Schritt Anleitungen zur Behebung. Die Funktionalität deckt die Prüfung der wesentlichen Sicherheitsbereiche für SAP inklusive Betriebssystem und Datenbank ab. Kundenindividuelle Prüfungen lassen sich einfach mit einem Plugin-Assistenten erstellen. Nachgeschaltete SIEM-Systeme können mit den Ergebnissen unserer Lösung gefüttert und angereichert werden. Die Sicherheit der Landschaft lässt sich mit einem eigenen Analysemodul visualisieren und analysieren.

Eine Vielzahl von Unternehmen steht aktuell vor der großen Herausforderung des Wechsels zu S/4HANA. Welche Security-spezifischen Herausforderungen bringt dieser Wechsel aus Ihrer Sicht mit sich?

Oftmals wird dieser Wechsel zum Anlass genommen, sich überhaupt das erste Mal mit Security zu beschäftigen und diesmal „alles“ richtig zu machen. Das bedeutet dann natürlich, alle Baustellen gleichzeitig zu öffnen. Spezifisch für S/4HANA ist in jedem Fall immer die neue Datenbankebene, die es mit all ihren Eigenschaften abzusichern gilt. Ebenso ist beim Einsatz von S/4HANA oft die Anbindung über das Web nicht weit. Mobile Endgeräte sollen mit einem Browser zugreifen dürfen. Die Realisierung dieses Zugriffs ist demnach ein weiterer Sicherheitsaspekt, der zuvor ggf. nicht existent gewesen ist. Zudem wagen einige den Schritt in die Cloud mit der Einführung von S/4HANA. Hier ergibt sich ein ganzer Stapel aus neuen Sicherheitsfragen, die sich auf den sicheren Betrieb der Cloud an sich beziehen.

Haben Sie noch weitere Anmerkungen oder Ergänzungen, die Sie für das Thema SAP Security / Modernes SAP Portfolio für wichtig halten?

Die Sicherheit der SAP-Landschaft ist ein nicht zu unterschätzender Faktor. Selbst wenn ein System individuell noch so stark geschützt ist, können Schwachstellen in der Landschaft dieses dennoch zu Fall bringen – obwohl es selbst keinerlei Schwachstellen besitzt. Dies erkennt unser werthANALYST und kann solche Risiken direkt visualisieren. Im werthAUDITOR ist der passende Angriff zur Illustration enthalten. Durch die Vernetzung der SAP-Systeme kann ein solcher Angriff sogar Netzwerksegmentierungen und Firewalls überwinden, indem er einfach „auf der SAP-Verbindungen“ zum Ziel reitet. Daher ist es aus meiner Sicht sehr wichtig, die Blickwinkel auf diese Facetten zu erweitern und proaktiv die Robustheit der Landschaft zu verifizieren.

So unterstützt NTT DATA Business Solutions Sie

NTT DATA Business Solutions vereint langjährige Erfahrung mit SAP-Systemen und fundierte Kenntnisse in der IT-Sicherheit. Durch unser eigenes Security Operations Center und unsere Security Management Services können Sie sich rund um die Uhr auf uns verlassen. Weltweit. Wir setzen Ihre individuelle Lösung handlungsorientiert und langfristig um – denn bei Datenschutz und IT-Sicherheit gehen wir keine Kompromisse ein.

Haben Sie Fragen zum Thema SAP Security? Dann nehmen Sie mit uns Kontakt auf, wir beraten Sie gerne! Einfach eine kurze E-Mail an: [email protected].

 

Expertenwissen im Webinar

Unternehmensverkauf: SAP-Systeme schnell und sicher trennen- die richtige Methodik und die passenden Tools!

Werden Unternehmensteile verkauft so muss die IT sehr schnell auf diese veränderte Situation reagieren. Es wird ein eigenständiges SAP-System benötigt, es muss geklärt werden welche...

online
Webinaraufzeichnung
Jetzt anmelden
SAP Cyber Security – Sichere IoT Anwendungen in der Cloud mit HANA und SCP

An SAP Business Security und SAP Cyber Security führt kein Weg vorbei, wenn Unternehmen mit SAP Cloud Platform (ehem. HCP) und SAP HANA ihre Prozesse...

online
Webinaraufzeichnung
Jetzt anmelden
Business Intelligence: Trends, neue Möglichkeiten und innovative Anwendungen

Für die Unternehmenssteuerung ergeben sich in einer SAP-zentrierten Umgebung viele neue und interessante Möglichkeiten. In unserer Webinaraufzeichnung geben wir Ihnen einen Überblick zu den Business...

online
Webinaraufzeichnung
Jetzt anmelden
Den SAP Wartungsvertrag und seine Mehrwerte in puncto Service und Support effektiv nutzen!

In unserem kostenlosen Webinar zeigen wir anhand einer exemplarischen Systemlandschaft und verschiedenen Beispielszenarien aus der Praxis, wie unser Service “Managed CoE” Sie dabei unterstützt, Ihren...

online
Webinaraufzeichnung
Jetzt anmelden
Kernherausforderungen im IT-Betrieb – Vorteile von Application Management Services (AMS)

Erfahren Sie in dieser Webinaraufzeichnung, welche Services über die sogenannten Commodity-Services hinaus sinnvoll eingesetzt werden und welche weiteren Vorteile AMS für Ihre Herausforderungen bieten können.

online
Webinaraufzeichnung
Jetzt anmelden
SAP Cloud Platform Portal – die zukunftssichere Alternative zu SAP NetWeaver

Welche Alternativen gibt es für mein SAP Portal auf Basis NetWeaver 7.0? Der denkbar einfachste Umstieg bietet sich mit dem Wechsel auf das SAP Cloud...

online
Webinaraufzeichnung
Jetzt anmelden
eInvoicing mit dem ZUGFeRD Standard

eInvoicing – Die papierlose Rechnung ist kein Traum mehr Laut einer Studie werden in Deutschland ca. 32 Mrd. Rechnungen ausgedruckt, kuvertiert und versendet. Der Anteil an...

online
Webinaraufzeichnung
Jetzt anmelden
it.x-EDIconnect – die moderne Alternative zu den bestehenden EDI-Systemen

it.x-EDIconnect stellt die neue Alternative zu den technisch veralteten EDI-Konvertern dar. Mit seinen modernen grafischen Oberflächen zur Konfiguration von EDI-Partnern und Monitoring von EDI-Nachrichten hebt...

online
Webinaraufzeichnung
Jetzt anmelden
Mit Business Intelligence Unternehmen effizient und zielgerichtet steuern

Verzichten Sie nicht länger auf einfach zu bedienende Analyse-, Planungs- und Forecasting-Werkzeuge. In unserem Webinar erläutern wir, wie Sie sich mit fachbereichsgerechten Anwendungen unabhängig von...

online
Webinaraufzeichnung
Jetzt anmelden
NTT DATA Business Solutions
NTT DATA Business Solutions

Our experts are keen to stay up to date with new developments and always share their insights, knowledge and opinions from all around the world. They cover a wide range of IT and business-related topics, including SAP and industry expertise as well as management issues. Most of them have gained many years of experience in the area of SAP - always close to the customer. That’s why they know the requirements of the market, of our customers and their customers’ customers/ partners. Get inspired and contact us if you would like to talk to them directly.

Contact Us
Kontakt

Sie haben Fragen? Sie erreichen uns montags bis freitags von 8:00 bis 17:00 Uhr.

Rufen Sie uns gerne an
Schreiben Sie uns