Status Quo und Potenziale

Sicherheit in SAP-Systemen hat viel zu tun mit Technik: Netzwerke, Betriebssysteme und Datenbanken bieten Angriffsflächen. Zu deren Schutz stellen die Anbieter von Sicherheitsprodukten ausgereifte Werkzeuge zur Verfügung, so dass das Risiko einer Bedrohung auf ein akzeptables Niveau gesenkt werden kann. Die Absicherung nach aussen ist aber heute nicht mehr das Hauptproblem. Studien haben herausgefunden, dass der Missbrauch von sensitiven Daten zu 80% im Unternehmen selbst, von den eigenen Mitarbeitenden, vorsätzlich oder fahrlässig verübt wird. Diesem Missbrauch ist aber mit technischen Hilfsmitteln alleine nicht beizukommen. Mehr und mehr Verantwortliche erkennen, dass nicht die technischen Aspekte im Vordergrund stehen, sondern dass zuerst organisatorische und betriebswirtschaftliche Hausaufgaben zu lösen sind.

Status Quo

Zu diesem Ergebnis kommt auch eine in 2004 von Wikima-4 initiierte und durchgeführte Studie. Diese ergab ein Bild, wie es von den Initiatoren erwartet wurde. Beruhigend, weil sich die Interviewpartner der Bedeutung von Security bewusst sind und sich selbst hohe Vorgaben setzen. Ernüchternd, weil die notwendigen Konzept- und Realisierungsarbeiten aufgrund von Ressourcenmangel und gegebener Prioritäten nicht konsequent angegangen werden. So stehen bei der Analyse der Lücken nicht etwa technische Anforderungen im Vordergrund, die Topten-Verbesserungsbereiche finden sich fast ohne Ausnahme in den organisatorischen Bereichen.
Andere Ergebnisse waren überraschend. So konnte beispielsweise nicht nachgewiesen werden, dass bestimmte Branchen besonders sicherheitsbewusst operieren. Festzustellen war lediglich eine unterschiedliche Gewichtung der verschiedenen Sicherheitsanforderungen. Dies gilt insbesondere beim Vergleich der Bereiche Retail und Banken. Bei den Banken ist primär die Sorge um eine hohe Datenintegrität ausschlaggebend, für die Sicherheitsanstrengungen bei den Retailern dagegen ist es der Wunsch nach einer hohen Daten- und damit Prozessverfügbarkeit. Weiterhin wurde festgestellt, dass die Beschäftigung mit Security in Unternehmen in Familienbesitz stärker ausgeprägt ist, als bei Grossfirmen, in denen das Haftungsbewusstsein aufgrund der grösseren Anonymität der Verantwortlichen offensichtlich kleiner ist.

Die grössten Herausforderungen bilden nicht etwa das Erkennen und Schliessen bekannter Sicherheitslücken. Betrachtet man die für Sicherheit relevanten Komponenten losgelöst vom konkreten Umfeld, läuft man leicht Gefahr, deren Einfluss als wenig kritisch einzustufen. Häufig ergeben sich im Falle des vorsätzlichen oder fahrlässigen Störfalls durch das Zusammenspiel der einzelnen Bereiche fatale Auswirkungen. Die Kette ist eben nur so stark wie ihr schwächstes Glied. Sind für Angriffs- oder Fehlerszenarien keine Schutz- und Reaktionsmassnahmen vorbereitet, kann im schlimmsten Fall das produktive System nicht mehr aufrecht gehalten werden. Verfügbarkeit und Integrität des im Tagesgeschäft so dringend benötigten Systems sind dann nur mit hohem Aufwand wiederherzustellen, der Schaden beträchtlich.
Auf die geschilderte Situation sind gemäss Studie die wenigsten untersuchten Unternehmen ausreichend vorbereitet. Es bestehen zu viele Lücken und nötige Kontroll- und Monitoring-Aktivitäten sind zu schwach ausgeprägt, als dass sie zur Aufrechterhaltung der geforderten Sicherheitsziele beitragen könnten. Eine in der Beratungspraxis erprobte 10-Punkte-Roadmap kann hier Abhilfe schaffen.

Mit der Umsetzung dieser Empfehlungen werden nicht nur Sicherheitslöcher gestopft. Die Etablierung eines adäquaten Security Levels der eingesetzten SAP-Systeme schafft auch geschäftlichen Nutzen. Zahlreiche Unternehmen haben durch die Beschäftigung mit sicheren Prozessen und Systemen Kosteneinsparungen erreicht, sei es durch die jetzt optimierte Prozessabwicklung, einen verbesserten Reputationsschutz, eine effizientere Wartung oder der quasi nebenbei erreichten Erfüllung von Anforderungen seitens Datenschutzgesetze, Sarbanes Oxley Act oder Basel II. Aufgrund des zunehmenden Gewichts der verschiedenen Regulatoren reagieren Unternehmen mit der Etablierung von IT-Governance. Sie stellt nicht einzelne Massnahmen in den Vordergrund, sondern Gesamtstrategien, die neben technischen und organisatorischen Lösungen auch insbesondere deren Interdependenzen beachtet und Risiko sowie Prozessbetrachtung hoch gewichtet.

Unternehmen kehren davon ab, auf immer neue Anforderungen an die Sicherheit mit immer wieder neuen Massnahmen und investitionsintensiven Projekten zu reagieren. Sie versuchen vielmehr, nachhaltig einen Sicherheitslevel zu etablieren, der in der Unternehmenskultur verankert ist. Mit dieser Security Identity oder Managed Security sind sie in der Lage, eine gelassene und pro-aktive Haltung gegenüber immer neuen Regulatorien, Gesetzesnormen oder Bedrohungsszenarien einzunehmen (siehe Grafik).

Auch die Walldorfer SAP hat erkannt, dass Massnahmen zum sicheren Einsatz von Softwarekomponenten nicht alleine Aufgabe der Unternehmen sind. Unter der Leitung von Chief Security Officer Sachar Paulus hat sie die Abteilung Corporate Security gebildet, die sich strategisch des Themas angenommen hat. Neben einer verstärkten Software-Qualitätssicherung setzt sie dabei auf Massnahmen, die einen direkten Nutzen für die Kunden bringen sollen. Zur Steigerung der Consulting-Qualität hat sie ein Security-Zertifizierungsprogramm aufgelegt und bietet mit dem Security Optimization Service auch einen Sicherheits-Check an, mit dem Kunden sich von SAP auf mögliche Schwachstellen abklopfen können. Die bereits seit längerem existierenden Security-Leitfäden wurden überarbeitet und erweitert. Die Präsenz von Security-relevanten Themen auf dem Service Marketplace wurde erhöht und soll mit der Etablierung des monatlich erscheinenden Security Newsletters verstärkt werden.

Es sind also sehr wohl Mittel zur Sicherung von SAP-Systemen vorhanden. Die Praxis zeigt aber auch, dass Kunden die Empfehlungen meist nicht vollständig umsetzen und so große Lücken offen lassen. «Die Beschäftigung mit Sicherheit wird zukünftig zu den täglichen Aufgaben und Herausforderungen gehören», erklärt denn auch Paulus, «insbesondere auch vor dem Hintergrund, dass Unternehmen ihre IT-Landschaften in Richtung Internet, sowie zu ihren Geschäftspartnern und Kunden öffnen». Und er fügt hinzu: «Bei SAP ist man davon überzeugt, dass neben der reinen Notwendigkeit des Schutzes Überlegungen zur Total Cost of Ownership im Bereich Security eine wesentliche Rolle einnehmen werden».

o Kommunikation
o Pro-aktives Monitoring
o Passwörter
o Datenexport und Drucken
o Risikoregister
o Schutz Produktivsystem
o Customizing-Richtlinien
o Netzwerk-Kommunikation
o Sicherheitsüberprüfung
o Sicherheitsorganisatio

o Geschäftsprozesse transparent machen
o SAP-Security Team etablieren
o Sicherheitsvorgaben auf SAP detaillieren
o Kontinuitätsplanung formalisieren
o Perimeterschutz beachten
o Datenbank und Betriebssystem schützen
o Produktivbetrieb organisieren
o 4-Augen-Prinzip durchsetzen
o Administrationsrechte reduzieren
oPro-aktives Monitoring etablieren