Herausforderungen der SAP-Sicherheit

Kein System wird jemals sicher sein. Andererseits ist es nicht so, dass wir keine Sicherheit anstreben können - ganz im Gegenteil. Es kommt auf das Risikomanagement, die Risikoakzeptanz, aber vor allem auf das Risikobewusstsein an. Was sind also die größten Herausforderungen bei der SAP-Sicherheit?

SAP ist das größte ERP-System der Welt, wie die Statistiken realistisch zeigen. Dies hat Auswirkungen auf die Anforderungen der Kunden, die weltweit einen echten Einfluss auf die Entwicklung von Werkzeugen sowohl durch den Hersteller selbst als auch durch Kundenlösungen (sogenannte Zetas) haben.

Das um die Technologie herum aufgebaute Ökosystem umfasst sowohl eine technologische Ebene (z. B. BASIS) als auch eine Ebene der Unternehmensberatung (die zumindest theoretisch die Geschäftsprozesse optimiert). Daraus ergeben sich zwei wesentliche Herausforderungen
mit der SAP-Sicherheit, die folglich auf das Risikomanagement hinausläuft.
Die beiden Gruppen von Sicherheitsherausforderungen basieren genau auf diesen beiden Hauptbereichen und lassen sich anhand der folgenden Übersicht in Gruppen zusammenfassen:

Herausforderung 1 - Geschäftlicher Kontext
Sicherstellen, dass die Benutzer in der Lage sind, die ihrer Position entsprechenden Geschäftsprozesse durchzuführen. Daher muss die Organisation unbedingt wissen, welche Risiken ein Übermaß an Befugnissen mit sich bringt - hier führen wir das Konzept des SoD (Conflicts of Authority, Separation of Duties) ein.

Herausforderung 2 - Technologie
Z. B. geeignete Systemkonfiguration, Kernel, Schnittstelleneinstellungen, Berichterstattung oder Automatisierungen. Daraus folgt, dass die Organisation über das Wissen verfügt, um technische Schwachstellen zu bewerten, die die Stabilität und Sicherheit des Systems und der darin enthaltenen Daten beeinträchtigen. Jede der oben genannten Herausforderungen kann separat angegangen werden,
Doch nur wenn die Herausforderungen ganzheitlich (umfassend) angegangen werden, kann das System angemessen gesichert werden.

Berechtigungen - die erste Säule der SAP-Sicherheit

Die durch das SAP-System implementierten Geschäftsprozesse sind
(vereinfacht ausgedrückt) auf der Grundlage von Transaktionen. Ihre Anwesenheit in einer Rolle, die einem bestimmten Benutzer zugewiesen ist, ermöglicht die Ausführung der für den Auftrag erforderlichen Arbeiten. Entscheidend ist, dass die Organisation weiß, was ein Risiko ist. Daher basiert die Identifizierung auf der Identifizierung:

• kritische Transaktionen, d. h. Genehmigungen, die selbst gefährliche Aktivitäten ermöglichen,
• Befugniskonflikte - eine Reihe von zwei Transaktionen, die für sich genommen nicht gefährlich sind, aber in Kombination beispielsweise die Ausführung eines gesamten Geschäftsprozesses oder eines kritischen Teils davon ermöglichen.

Warum es entscheidend ist, die folgenden Schritte zur Verbesserung der SAP-Sicherheit (d.h. die Implementierung von GRC-Prozessen in SAP) durchzuführen:

1. Definition von Risiken - ein Schlüsselelement für die Umsetzung der Politik
   Sicherheit der Zulassung.
2. Identifizierung von Risiken in Rollen und für Benutzer.
3. Rollenoptimierung (Beseitigung von Risiken, wo immer möglich).
4. Abschwächung, d. h. Akzeptanz von Risiken und Durchführung von Kontrollen, wenn sie eintreten.
5. Einführung von Arbeitsabläufen, die eine automatische Identifizierung von Risiken in der Antragsphase gewährleisten.
6. Überwachung.

Während des Webinars am 18. April 2024 um 14:00 Uhr werde ich über die einzelnen Elemente der oben genannten Schritte sprechen und eine Handvoll Argumente vorschlagen, die in der Diskussion mit den Unternehmen verwendet werden können (um sie folglich von der Notwendigkeit zu überzeugen, die Umsetzung des Projekts zur Verbesserung der Sicherheit anzugehen).

Technologie - die zweite Säule der SAP-Sicherheit

SAP entwickelt sich in einem schwindelerregenden Tempo. Dies lässt sich veranschaulichen, wenn man die Technologie mit den größten der Welt vergleicht. Die Anzahl der Codezeilen, aus denen das System besteht, ist größer als die kombinierten Codezeilen von Mac OS, Firefox, Windows, Office
und ein paar weitere Technologien.

In dem Labyrinth von Hunderten und Tausenden von System-, Kernel-, Datenbank- und Schnittstellenparametern gibt es einige, deren Änderung von 0 auf 1 erhebliche Sicherheitsrisiken mit sich bringen kann. Es gibt auch Risiken, die sich nicht direkt auf die Anwendungsschicht auswirken, wie das folgende Beispiel zeigt, bei dem ein Angriff auf das Betriebssystem durch den Austausch von SSH-Schlüsseln realisiert werden kann.

Außerdem können im Internet fertige (oder fast fertige) Exploits für bekannte Sicherheitslücken gefunden werden. Es hat sich herausgestellt, dass der Angreifer in einigen Fällen nicht über ausgefeilte Kenntnisse verfügen muss, um eine Sicherheitslücke auszunutzen (siehe Script Kiddie https://pl.wikipedia.org/wiki/Script_kiddie).
Das Vorhandensein einer Reihe von Protokollquellen bringt weitere Herausforderungen mit sich, nämlich
was genau untersucht werden soll. Jede der Protokollquellen hat ihre eigenen Merkmale, was die SAP-Echtzeitüberwachung erschweren kann.

Zusammenfassung

Die folgenden SAP-Sicherheitsherausforderungen sind nur eine Auswahl von ihnen
und Gruppierung. In speziellen Webinaren fokussieren wir u.a. auf Beispiele der Elemente, um das Bewusstsein für die einzelnen Herausforderungen zu schärfen. Denn nur durch eine ganzheitliche Betrachtung der Implementierung von GRC-Prozessen in SAP und die Identifizierung von Risiken auf der technologischen Seite können Risiken angemessen gesteuert werden. Ich lade Sie ein zu folgen kommende Veranstaltungen.