Sollte SAP-Sicherheit eine Priorität für das Unternehmen sein?

Um die allgemeine SAP-Sicherheit zu gewährleisten, sollten Sie:

• Festlegung und Umsetzung von Sicherheitsprozessen mit allen Prozessverantwortlichen (IT, Fachleute, Unternehmen, Innenrevision) und deren Einbeziehung in die allgemeine GRC-Politik,
• Auswahl eines geeigneten Risikomanagementkonzepts, das auf der Identifizierung und Bewertung aller möglichen Risiken (und der Ermittlung geeigneter Gegenmaßnahmen) beruht,
• Festlegung und Umsetzung einer strengen Sicherheitspolitik für alle Systeme, einschließlich SAP,
• Prüfung der Sicherheit auf jeder Ebene der Infrastruktur (durch regelmäßige Audits und Penetrationstests),
• Sicherheitsinformationen zu abonnieren, um über Sicherheitslücken und deren Schließung auf dem Laufenden zu bleiben,
• Prozesse zu automatisieren, um ihre Effizienz zu steigern und manuelle Vorgänge (einschließlich menschlicher Fehler) zu vermeiden,
• Analyse von Zugangs- und Sicherheitsmerkmalen, um unerwünschte Aktivitäten zu erkennen (damit sie schnell beseitigt werden können),
• den Verantwortlichen für die relevanten Prozesse eine Reihe von Berichten und Dashboards zur Verfügung stellen, damit sie einen Überblick über die relevanten Informationen erhalten.

KuppingerCole-Analyse - 8 Ergebnisse

ANWENDUNG 1:

SAP ermöglicht es den Unternehmen von heute, strategische Prozesse zu implementieren, und die Sicherheit hat für sie oberste Priorität.

Durch die wachsende Nachfrage nach Systemen, die den gesetzlichen Anforderungen entsprechen und eine aktuelle Dokumentation größerer Datenverstöße erstellen, ist das Sicherheitsbewusstsein der Unternehmen gestiegen. Sie wollen ihre Systeme richtig und effektiv sichern.

VORSCHLAG 2:

Die Aufrechterhaltung eines angemessenen Sicherheitsniveaus in komplexen SAP-Systemen wird immer schwieriger.

Unternehmen können sowohl aus einer Vielzahl von Geschäftsanwendungen (wie ERP, CRM, SRM, BI, HCM) als auch aus verschiedenen Systemlösungen (HANA, ABAP, JAVA/J2EE, Mobile) wählen. Der traditionelle Ansatz für SAP-Sicherheit konzentriert sich auf die Zugriffskontrolle, d.h. die Verwaltung von Berechtigungen, Rechten, Benutzern, Rollen und Profilen. Dies reicht nicht aus, um Sicherheit zu gewährleisten.

SCHLUSSFOLGERUNG 3:

Das SAP-System ist eine so ausgefeilte und komplexe Lösung, dass es auf einer bestimmten Ebene gesichert werden muss:

• Betriebssystem (funktionierendes und getestetes Betriebssystem erforderlich),
• Netzinfrastruktur (Sicherung des Zugangs zum System).

SCHLUSSFOLGERUNG 4:

Alle Elemente des SAP-Systems und alle zusätzlichen Komponenten von Drittanbietern müssen ständig aktualisiert werden.

Umfassende Informationen über erforderliche Patches und die Risiken der Verwendung alter Softwareversionen müssen laufend verfügbar sein. Es ist auch eine ständige Herausforderung, bewährte Verfahren für die Konfiguration sowohl einzelner Komponenten als auch der Gesamtansicht der SAP-Umgebung zu ermitteln. Man kann damit beginnen, alle Standardpasswörter zu ändern.

SCHLUSSFOLGERUNG 5:

Da die Schwachstellen und Bedrohungen gut dokumentiert sind, ist das Versäumnis, Patches und bewährte Verfahren anzuwenden, nicht hinnehmbar.

Alle Client-Lösungen (Software-Erweiterungen für SAP-Funktionen) müssen gründlich getestet werden. Die Verwaltung privilegierter Benutzer (einschließlich Mechanismen zur Festlegung des Zugriffs für Firefighter) ist ein Schlüsselaspekt der Sicherheit, und in diesem Bereich muss eine Zusammenarbeit zwischen Systemadministratoren und hoch privilegierten Geschäftsanwendern stattfinden.

SCHLUSSFOLGERUNG 6:

Die Aufrechterhaltung eines angemessenen Niveaus der SAP-Sicherheit ist eine sehr interdisziplinäre Aufgabe.

Sie erfordert Fachwissen und eine angemessene Zusammenarbeit zwischen verschiedenen Teams (IT, SAP-Spezialisten, Geschäftsbereiche, interne Revision und Controlling).

SCHLUSSFOLGERUNG 7:

Die Festlegung einer Sicherheitsstrategie für ein Unternehmen umfasst eine Vielzahl von Aspekten im Zusammenhang mit Audits, Unterschlagungsmanagement, Benutzerverwaltung und Prozessen.

Das Sicherheitskonzept ändert sich ständig. Geeignete SAP-Funktionen und -Werkzeuge werden eingesetzt (Ermittlung von Lücken und Auswahl zusätzlicher Werkzeuge und Dienste).

SCHLUSSFOLGERUNG 8:

Mehrere Hersteller bieten fortschrittliche Sicherheitsmanagementlösungen an.

Angesichts der Größe der Infrastruktur und der Sicherheitsanforderungen zielt ein gut konzipiertes Sicherheitsmanagement auf einen hohen Automatisierungsgrad ab. Außerdem werden intelligente Analysemechanismen eingesetzt. Ziel ist es, manuelle Tätigkeiten zu reduzieren und die Geschwindigkeit der Erkennung von Bedrohungen und Anomalien zu erhöhen.

ZUSAMMENFASSUNG

Die SAP-Sicherheit umfasst in erster Linie Aspekte der Unternehmenssicherheit auf der Ebene des Betriebssystems und der Netzwerkinfrastruktur, der Benutzerverwaltung und der Geschäftsprozesse. Die Aufrechterhaltung einer angemessenen Sicherheit für diese wichtige IT-Infrastruktur des Unternehmens erfordert einen 360-Grad-Ansatz. Anhand von Kriterien, die auf der Identifizierung von Risiken basieren, ist es möglich, ein angemessenes Sicherheitsniveau zu gewährleisten, das die gesamte Sicherheitsstrategie über die SAP-Umgebung hinaus abdeckt.