SAP muss die Kunden bestmöglich unterstützen, um die Sicherheit der IT-Landschaften zu gewährleisten – so die Sichtweise der DSAG. Eine Kernforderung der Interessenvertretung ist daher, dass die Software bereits im Auslieferungszustand sicher konfiguriert sein muss. Vor welche Herausforderungen das Thema Security die Anwenderunternehmen stellt, was SAP leistet, um diese zu meistern, und was Unternehmen selbst tun können, um ihre Systeme sicher zu gestalten, erörtern Steffen Pietsch, DSAG-Technologievorstand, und Tim McKnight, Chief Security Officer der SAP SE.
Welche Herausforderungen muss SAP beim Thema IT-Security meistern und vor welchen stehen die SAP-Anwender?
Steffen Pietsch: Die Systemlandschaften werden zunehmend komplexer. Gründe dafür sind, dass die Heterogenität der Technologien zunimmt und hybride Landschaften zum Standard werden. Gleichzeitig werden die Release-Zyklen immer kürzer und die Anzahl der Beteiligten und Partner wächst. Zudem wird mehr und mehr digitalisiert, und damit steigt das Schadenspotenzial von Cyber-Kriminalität. Wenn Prozesse manuell abgewickelt werden, ist die Gefahr und das Ausmaß einer Cyber-Attacke vergleichsweise gering. Bei durchgängiger Digitalisierung, bieten sich größere Angriffsflächen und weitreichendere Folgen.
Tim McKnight: Die SAP überprüft ihre Landschaft, die sich aus den Übernahmen der letzten zehn Jahre ergeben hat. Dabei analysiert sie die besten Sicherheitslösungen der Branche und baut bei der Integration darauf auf, um unsere grundlegenden IT-Sicherheitsmaßnahmen noch weiter zu verbessern.
Aktuell ist die Corona-Krise überall Thema. Hat die Pandemie Auswirkungen auf die IT-Sicherheit und damit die Arbeit von SAP bzw. der Anwenderunternehmen?
Pietsch: Cyber-Kriminelle nutzen die Pandemie verstärkt, um Phishing-Angriffe durchzuführen. Eine E-Mail, die z. B. den Anschein erweckt, dass sie von einem internen Service-Desk gesendet wurde und dazu auffordert, über ein Formular die Homeoffice-Regularien zu bestätigen, hat großes Potenzial, von vielen geöffnet zu werden. Auch können Gewohnheiten von Mitarbeitenden ausspioniert und mit falschen Telefonanrufen relevante Informationen entlockt werden, um Zugang zu Systemen zu erhalten. Ein sicherheitsrelevanter Punkt ergibt sich auch daraus, dass bei der Arbeit aus dem Homeoffice teilweise privates IT-Equipment oder nicht freigegebene Cloud-Anwendungen, z. B. zur Kollaboration, zum Einsatz kommen. Allein dadurch ergibt sich ein weiterer Angriffsvektor.
McKnight: Wir haben uns sehr früh mit den Auswirkungen von COVID-19 befasst. Dies erstreckt sich auf die Sicherheit von über 100.000 Mitarbeitenden, auf die Belastbarkeit unserer Geschäftsabläufe, auf den Schutz unserer Infrastruktur und schließlich auf die Sicherheit der Daten unserer Kunden. Es gibt eine größere Wachsamkeit gegenüber der Internet-Kriminalität mit neuen Phishing-Kampagnen und Watering-Hole-Attacken, bis hin zu physischen Verbrechen, die auf leere physische Arbeitsplätze abzielen.
Die IT-Zukunft ist hybrid, was bedeutet das für das Sicherheitskonzept von SAP?
Pietsch: Durch neue Technologien wächst die Komplexität, und dadurch erhöht sich das Risiko von Fehlkonfigurationen oder unentdeckten Sicherheitslücken. Aus Anwendersicht brauchen wir eine höhere Standardisierung, um der Komplexität Herr zu werden. Es ist deutlich schwieriger, alle Applikationen abzusichern, wenn jede Lösung eigenen Sicherheitskonzepten und -konfigurationen folgt. Einheitliche Standards würden es uns als Anwendern erleichtern, weil wir einfach in jeder Applikation wüssten, was zu tun ist. Damit gehen Security-by-Design und Security-by-Default einher sowie ein möglichst hoher Automatisierungsgrad in einer verteilten hybriden Landschaft. Dazu zählt auch das seit längerer Zeit geforderte Security-Dashboard.
McKnight: Wir bewegen uns über unsere klassischen Netzwerkgrenzen hinaus – von den Interoperabilitäts- und Integrationspunkten der SaaS-basierten Entwicklung für die Feature-Funktionalität bis hin zur Benutzererfahrung am Endpunkt sowie im Bereich mobiler Plattformen auf der anderen Seite des Spektrums. Darüber hinaus befassen wir uns mit Identitätsmodellen als den „neuen globalen Perimetern“. Das Service-Management wird immer wichtiger, und der kurzlebige Charakter von Konnektivitätsmodellen zwischen Arbeitslasten und APIs verstärkt sich, was ein höheres Maß an Kenntnissen über akzeptable und fragwürdige Transaktionen erfordert. Nicht zuletzt wird auch die Datenverwaltung aus globaler und Kundenperspektive immer kritischer um sicherzustellen, dass die Integrität und Belastbarkeit der Systeme gewahrt bleibt.
Die DSAG-Mitglieder fordern schon seit Längerem ein zentrales Security-Dashboard für die Cloud- und On-Premise-Welt. Warum fordern die Anwender ein solches Dashboard und wie plant SAP in diesem Bereich?
Pietsch: Das Security-Dashboard soll automatisiert anzeigen, welche sicherheitsrelevanten Einstellungen vorgenommen werden müssen und wo etwaige Sicherheitslücken vorhanden sind. Das wäre eine echte Alternative für die Anwenderunternehmen, um nicht in vielen Applikationen und in den verschiedensten Winkeln der Apps schauen zu müssen und sich manuell davon zu überzeugen, dass alles sicher und korrekt konfiguriert ist.
McKnight: Wir stellen fest, dass die meisten Sicherheitsverantwortlichen die Integration oder Interoperabilität der Sicherheitsfunktionen, die sie bereits besitzen, vorziehen. Bei der Verbesserung des SAP-Trust-Center-Portals evaluieren wir auch, nach welcher Art von Informationen die DSAG-Mitglieder suchen, und was der beste Weg zur Bereitstellung dieser Informationen sein kann.
Was empfehlen Sie Unternehmen, um ihre IT-Sicherheitsstandards zu verbessern?
Pietsch: Damit SAP-Systeme sicher werden, braucht es auf Unternehmensseite Expertise und Zeit. Davon betroffen sind verschiedene Rollen im Unternehmen, u. a. Entwickler und Administratoren. Aber auch die einzelnen Anwender müssen für das Thema sensibilisiert sein. Unternehmen müssen die notwendigen Mittel bzw. Tools zur Verfügung stellen und entsprechende Kompetenzen im Haus aufbauen. Ab einer bestimmten Größe kann nicht mehr alles manuell erfolgen. Es braucht klare Verantwortlichkeiten. Und wenn ich sichere Systeme will, muss ich kontrollieren.
Für die Praxis bedeutet das: Um Schwachstellen im kundeneigenen Code zu vermeiden, müssen Entwickler geschult und kontinuierlich für das Thema Sicherheit sensibilisiert werden. Darüber hinaus ist es sinnvoll, Code-Analyse-Tools einzusetzen, um Qualität und Freiheit von Sicherheitslücken zu gewährleisten. Nur die Kombination beider Maßnahmen schafft nachhaltig Sicherheit. Zudem gibt es bereits viele Informationsquellen und Tools, um die Sicherheit von SAP-Systemen zu steigern – z. B. Early-Watch-Reports (EWAs), Configuration-Validation, regelmäßige Webinare der SAP und DSAG zu Security-Notes. Die Herausforderung liegt auch hier in der Heterogenität von SAP-Lösungen und den jeweils unterschiedlichen Tools, sodass aktuell die Sicherheitslage einer hybriden Gesamtlandschaft nur fragmentiert überblickt werden kann
McKnight: Sicherheitsanforderungen sollten so formuliert sein, dass die Führungskräfte sie auch verstehen, die damit verbundenen Herausforderungen erkennen und auch entsprechende Fortschritte messen können. Bei SAP verwenden wir derzeit NIST 800-53, das Sicherheits-Framework der gleichnamigen Bundesbehörde der Vereinigten Staaten – Nationales Institut für Standards und Technologie (NIST). KPIs und Metriken könnten ein Gesundheitsbarometer sein, wenn sie aussagekräftig gegenüber den Zielen oder den Risiken für ihr Umfeld sind, oder auch, um die Verbesserungstrends aufzuzeigen. Oft sind es aber die Grundlagen, die vernachlässigt werden, aber sie haben den größten Einfluss auf die Gesamtqualität der Sicherheit.
Es gab in jüngster Vergangenheit Auffälligkeiten in Bezug auf die Cyber-Sicherheitsinfrastruktur bei einigen SAP-Cloud-Produkten. Wie kann bzw. will SAP in Zukunft derartige Störungen verhindern?
McKnight: Wir haben den Markt proaktiv über bestimmte Mängel informiert, aber darüber hinaus gibt es eine konzentrierte Anstrengung. Wöchentlich werden die Fortschritte bei allen festgestellten Mängeln überprüft und Korrekturmaßnahmen, Herausforderungen und Umsetzungsfortschritte an die Führungsspitze berichtet. Arbeitsabläufe und Prozesse wurden für mehr Messbarkeit und Ausführung optimiert, um Lücken zu überprüfen und für noch mehr Transparenz in der SAP zu sorgen.
Security-by-Default und Security-by-Design sind zentrale Forderungen der DSAG. Warum ist das für die Unternehmen so wichtig?
Pietsch: Wir erwarten, dass SAP-Software sicher ausgeliefert wird und nicht von uns als Kunden sicher konfiguriert werden muss. Konkret setzen wir voraus, dass Sicherheitslücken und Einfallstore von vornherein vermieden werden und Einfallstore im Standard geschlossen sind. Das ist insbesondere dann unabdingbar, wenn neue Software-Komponenten eingeführt werden, zu denen auf Kundenseite noch die Expertise und Erfahrung zu allen sicherheitsrelevanten Einstellungen fehlt. Es ist unbedingt notwendig, dass Software von vornherein sicher ausgeliefert wird.
Was plant SAP, um den Anliegen der Anwender in diesem Punkt nachzukommen?
McKnight: Es gibt eine Reihe von Initiativen, um die Sicherheit weiter zu verbessern: Secure-Cloud-Delivery mit präventiven Kontrollen für täterbedingte Vorfälle, neue Kontrollen, um Sicherheitslücken schneller zu verifizieren, ein zentrales Identitätsmanagement, Authentifizierung und Provisioning – z. B. für Single-Sign-On für alle Geschäftsprozesse wie etwa Lead-to-Cash. Auf dem Schirm sind ebenso Vereinheitlichungen der Rollenzuweisung, der Verarbeitung personenbezogener Daten, des Schlüsselmanagements sowie der Audit-Protokollierung. S/4HANA-Security-by-Default beinhaltet eine Reihe von Systemeinstellungen, die von Anfang an auf eine sichere Konfiguration voreingestellt sind. Wir befinden uns derzeit in Gesprächen mit der DSAG über weitere Konfigurations- und Anpassungseinstellungen.
Was müssen die Unternehmen selbst leisten, um die IT-Sicherheit zu verbessern?
McKnight: Sicherheit bezieht sich nicht mehr nur auf das Netzwerk, sondern zusätzlich auf die User-Experience und auf sämtliche Daten sowie jegliche Transaktionen. Dafür braucht es Sichtbarkeit, sonst kann man nicht dagegen ankämpfen. Hierfür sind standardmäßig („Secure-by-Default“) sichere und funktionsfähige Leitplanken ein guter erster Schritt. Die Grundlagen habe ich bereits erwähnt, ebenso wichtig ist qualifiziertes Personal.
Braucht es ein neues Mindset, sowohl bei SAP als auch bei den Unternehmen, was die IT-Sicherheit angeht, und welche Punkte müsste es beinhalten?
Pietsch: Ja, unbedingt. In den Unternehmen muss ein kultureller Wandel stattfinden. Das Mindset bzw. der Mensch ist im Hinblick auf die IT-Sicherheit am entscheidendsten. Wenn die eigene Mannschaft nicht für IT-Sicherheit sensibilisiert ist und deren Sinnhaftigkeit und Notwendigkeit nicht erkennt, verpuffen Maßnahmen, um sie zu erhöhen. Der nachhaltige Effekt bleibt aus. Klar ist jedoch auch, dass ein solcher kultureller Wandel nicht von heute auf morgen funktioniert und es dauerhafte Anstrengungen braucht, um ein Security-Mindset zu erhalten. Bezogen auf SAP haben wir als Anwenderverband das Gefühl, dass die Herausforderungen in unseren Unternehmen durchaus wahrgenommen werden. Zudem scheint es so, als ob die DSAG-Forderungen gehört und auch umgesetzt werden. Beiden Seiten ist klar: Sicherheit ist nicht optional.
McKnight: Mit einem neuen Mindset schaut man nach belastbaren Lösungen, die sich nicht an veraltete Sicherheitspraktiken halten, die etwa nur auf die Einhaltung von Vorschriften ausgerichtet sind. Sicherheit sollte insgesamt zentral in der Unternehmenskultur verankert sein, sonst läuft die Security langfristig den Problemen immer nur hinterher.
Vielen Dank für das Gespräch!
Bildnachweis: DSAG, SAP, Anna Polywka + Shutterstock
Autor: Thomas Kircher
blaupause-Redaktion
blaupause@dsag.de
Schreibe einen Kommentar