Security first?!

Ob Software-Mängel, Fehlkonfigurationen oder unberechtigte Zugriffe: Die Gefahren für SAP-Systeme sind groß. Etwaige Risiken in den Unternehmen zu minimieren oder gar zu beseitigen, ist Aufgabe der SAP-Security. Doch wie ist es um das Thema SAP-Sicherheit in den DSAG-Mitgliedsunternehmen bestellt? Der Arbeitskreis Security und Vulnerability Management führte im Rahmen eines virtuellen Treffens Ende April 2020 eine von DSAG und SAP erarbeitete Live-Umfrage mit 64 Teilnehmenden zum Thema SAP- bzw. Cloud-Sicherheit durch. Das eindeutige Ergebnis: Es braucht ein einheitliches Portal für sämtliche Security-Dokumente, ein einheitliches Dashboard, Security-by-Design und Security-by-Default.

Innerhalb der DSAG-Live-Umfrage wurden die Mitglieder unter anderem nach ihren Landschaftsmodellen im Cloud-Umfeld befragt. On-Premise und Hybrid liegen mit jeweils 45 Prozent gleichauf, gefolgt von Infrastructure-as-a-Service mit sechs Prozent. Ein deutliches Signal, dass die Cloud-Produkte noch nicht bei den SAP-Kunden angekommen sind. Das könnte daran liegen, dass manche Unternehmen in den letzten Jahren erst On-Premise-Produkte aufgesetzt haben, die nicht von heute auf morgen abgelöst werden können. „Ich sehe auch einen Grund darin, dass die Cloud-Produkte vielfach noch nicht denselben Funktionsumfang abdecken wie eine On-Premise-Lösung. Zudem gibt es aktuell auch noch nicht für alle Lösungen eine Cloud-Variante“, gibt Andreas Kirchebner, Sprecher der DSAG-Arbeitsgruppe Cloud-Security, zu Bedenken.

Dr. Alexander Ziesemer, Sprecher des Arbeitskreises Security und Vulnerability Management.

Zudem ergänzt Dr. Alexander Ziesemer, Sprecher des Arbeitskreises Security und Vulnerability Management: „Der Vorteil der SAP-Systeme, dass sie gut zu integrieren sind, greift bei den Cloud-Lösungen noch nicht richtig. Es fehlen hier und da noch zentrale Schnittstellen und Funktionen.“ Durch die Security-Brille betrachtet, heißt das, für eine saubere Integration müssen noch Zusatzlösungen wie Cloud-Identity-Services und Provisioning-Services gekauft werden. Denn bestimmte Security-Funktionen werden bislang nur für die On-Premise-Landschaften angeboten. Hier hofft der DSAG-Arbeitskreis auf die von SAP bereits angekündigte API-Strategie.

SAP Trust Center kaum bekannt

Das SAP Trust Center sollte eigentlich der zentrale Einstiegspunkt bei SAP in Sachen Sicherheit sein, um von dort in weitere Themen zu verzweigen. Das Center ist aber nur 21 Prozent der Befragten bekannt, und 43 Prozent kennen weder dieses noch das My SAP Trust Center. Für Andreas Kirchebner kein überraschendes Ergebnis: „Das SAP Trust Center ist auf der SAP-Homepage sehr gut versteckt. Unter dem Stichwort Security finden sich auf den ersten Blick nur Sicherheitsprodukte und Whitepapers. Erst ganz unten auf der Seite beim Impressum findet sich der Verweis.“ Zudem gibt es zum Trust Center noch das My SAP Trust Center. Und für die On-Premise-Welt die SAP-Security-Optimization-Services-­Portfolio-Seite.

Die Cloud-Lösungen sind dann nochmal eine ganz eigene Welt in Sachen Security. „Ohne über Jahre gepflegte Quicklinks und Bookmarks sind Informationen im Security-Umfeld nur schwer zu finden“, weiß Andreas Kirchebner aus Erfahrung. Und Alexander Ziesemer ergänzt: „Mit dem Solution Manager und dem Diagnoseservice EarlyWatch Alert war die Sicherheit bislang gut zu managen. Jetzt kommen nach und nach die Cloud-Lösungen dazu, und viele beginnen mit ihren Sicherheitsaktivitäten wieder von vorn.“ Daher lautet eine der wichtigsten Forderungen an SAP nach wie vor: Es braucht ein zentrales Security-Dashboard für die Cloud- und die On-Premise-Welten, z. B. mit Dokumenten, Handlungsempfehlungen, dem Patch-Stand, Use-Cases sowie Berechtigungen für alle SAP-Lösungen und -Services.

Keine einheitliche Strategie erkennbar

Jan Stölting, stellvertretender Sprecher des Arbeitskreises Security und Vulnerability Management

Für eine zentrale Einstiegsseite sowohl für On-Premise als auch Cloud-Produkte ist bislang leider noch keine einheitliche SAP-Strategie erkennbar. Als Grund vermutet Andreas Kirchebner, dass das Thema wohl noch nicht für wichtig genug erachtet wird. Aber auch hinsichtlich der vielen Ansprechpartner und Verantwortlichen in der SAP-Security-Welt sieht er die Notwendigkeit zu vereinheitlichen. Dafür braucht es ein neues Mindset sowie eine einheitliche Roadmap. Ein zentrales Dashboard ist zudem wichtig, um die Übersicht insgesamt zu behalten.

Beim SAP-Cloud-Framework-Dokument, das lediglich zwölf Prozent der Befragten kannten und 85 Prozent gar nicht, zeigt sich ein Grundproblem: Die SAP-Security ist oftmals in den Unternehmen noch Teil der Basis, Cloud-Lösungen gehen aber gerne an der Basis vorbei. Zudem ist die Cloud-Security aktuell noch ein sehr geringer Teil im SAP-Security-Baseline-Template.

DSAG als Anlaufstation für Informationen

Über die SAP-Cloud-Platform-Security-Services informieren sich 78 Prozent der Befragten über die DSAG-Community. Bei einer Umfrage unter DSAG-Mitgliedern kein überraschendes Ergebnis. „Sicherheit ist Vertrauenssache, und im DSAGNet kann ich Fragen stellen und bekomme Antworten, die nicht gleich in einem öffentlichen Blog abgehandelt werden“, so Andreas Kirchebner. Außerdem kommt hier wieder das bekannte SAP-Problem zum Tragen: „SAP hat zweifelsohne gute Dokumentationen, aber es ist extrem schwierig, konsolidierte Abhandlungen zu finden, an denen man sich orientieren kann“, erklärt Jan Stölting, stellvertretender Sprecher des Arbeitskreises Security und Vulnerability Management. Womit wir wieder bei den weit verzweigten und verlinkten Quellen und Anlaufpunkten bei SAP wären.

Schierigkeiten, sich zu informieren, haben die Umfrageteilnehmenden auch bei den Themen SAP-Cloud-Security und SAP-Cloud-Platform-Services. Gut die Hälfte findet es schwierig, Informationen dazu zu recherchieren und zu finden. Nur 13 Prozent der Befragten fühlen sich ausreichend informiert, 61 Prozent jedoch nicht. „Die DSAG-Leitfäden hingegen, in Kombination mit Erfahrungsberichten, Webinaren und Best Practices sind mittlerweile Standardwerke mit Reichweite und Relevanz“, sagt Jan Stölting und ergänzt: „Hier sind die Management-Summaries ein gutes Argument. Sie fassen allgemeinverständlich für alle Fachbereiche, die sich mit dem Thema Security beschäftigen, zusammen, was es anfangs braucht, um die erste Bresche in den Security-Dschungel zu schlagen und einem Weg zu folgen.“

Risk- und Compliance-Management wichtig

Andreas Kirchebner, Sprecher der DSAG-Arbeitsgruppe Cloud Security

In der Umfrage wurde auch nach ISO-Zertifizierungen und SOC-Berichten mit Informationen zu den internen Kontrollmechanismen einer Service-Organisation im Hinblick auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit oder Datenschutz gefragt. 41 Prozent der Befragten gaben an, damit keine Erfahrung zu haben. Für Andreas Kirchebner weder alarmierend noch verwunderlich: „Die SAP-Sicherheit kommt aus der Basis heraus. Da sind Administratoren beschäftigt, ausgewiesene Experten, was IT-Security, Konfigurationen, Einstellungen etc. betrifft.“

Risk- und Compliance-Management mit 34 Prozent gefolgt vom User-and-Identity-Management mit 23 Prozent haben die höchste Priorität unter den Security-Themen. Das heißt, der Weg führt zum Management. Patches und Security-Notes einzuspielen, um eine entdeckte Schwachstelle zu beseitigen, ist das eine. Eine Datenpanne oder eine Abweichung von einer Norm zu beseitigen, braucht hingegen mehr als Konfiguration oder das Setzen von Parametern. Es geht um den Impact, um das Risiko, das damit verbunden ist, und um die Abstimmung mit dem Risk-Management, dem Compliance-, dem Information-Security- und dem Legal-Department. Das macht es für den Basis-Administrator, der in diese Rolle hineinwächst, schwierig. „Er muss Standards definieren, sich mit zig Parteien im Unternehmen abstimmen und ist nicht selten der ungeliebte Gast bei Meetings, wenn er als derjenige wahrgenommen wird, der auf die Bremse tritt“, erläutert Andreas Kirchebner. Aber Security kann nicht nebenbei erledigt werden, dafür braucht es feste Ansprechpartner, die sich darum kümmern, ohne Wenn und Aber. Auf den Management-Ebenen vieler Unternehmen ist das Thema Sicherheit mit dem Security-by-Design- und Security-by-Default-Grundgedanken jedoch noch nicht angekommen. Wie die SAP-Sicherheits-Trendumfragen der letzten Zeit zeigen, gilt das wohl auch für SAP.

Hilfreiche Links

Die Forderungen liegen auf dem Tisch

Die zentralen Punkte, die sich aus der Live-Umfrage für den DSAG-Arbeitskreis ergeben, lauten: Ein Security-Portal bei SAP als Einstiegspunkt, über den sich alle sicherheitsrelevanten Dokumente und Informationen sowohl zu den Cloud- als auch zu den On-Premise-Produkten aufrufen lassen, und über den auf das SAP Trust Center abgesprungen werden kann, wäre wünschenswert. Zudem liegen die Forderungen nach einem einheitlichen Security-Dashboard, Security-by-Design und Security-by-Default bei SAP auf dem Tisch. Aus DSAG-Sicht bleibt nun zu hoffen, dass SAP diese Themen zeitnah angeht und vor allem auch Ergebnisse liefert.


Über die Zwischenergebnisse tauschen sich der Arbeitskreis, der DSAG-Technologievorstand Steffen Pietsch und Jürgen Müller, Chief Technology Officer und Vorstandsmitglied der SAP SE, regelmäßig aus.

Bildnachweis: Daniella Winkler + iStock, DSAG

Thomas Kircher

Autor: Thomas Kircher
blaupause-Redaktion
blaupause@dsag.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert