Table of Content
In den letzten paar Monaten gab es einige hoch-priorisierte Zwischenfälle bei der SAP-Sicherheit.
Eine alte SAP Sicherheitsschwachstelle – verursacht durch ein ungepatchtes System – löste beim United States Department of Homeland Security Alarm aus, was zu einer selten vorkommenden Sicherheitswarnung führte.
Die Kosten für SAP-Systeme, die offline genommen werden müssen, werden auf $4,5 Millionen geschätzt. Trotzdem denken viele Unternehmen, dass die Sicherheitsmaßnahmen ihres ERP zu aufwändig sind, um sie zu bewältigen, und somit wird die Sicherheit gern ignoriert – bis es zur Katastrophe kommt.
Hier sind 10 Schritte, die Sie zur Vermeidung von SAP-Sicherheitsschwachstellen führen können.
1. Geben Sie Ihrer SAP-Sicherheit Priorität
Bis es zu einer Katastrophe kommt, wird das Thema Sicherheit tendenziell eher unter den Teppich gekehrt und man reagiert eher anstatt proaktiv etwas zu unternehmen. Es könnten allerdings Sicherheitslücken vorhanden sein, von denen Sie nichts wissen, und wenn sie Ihnen dann auffallen, ist der Schaden schon passiert. Laut einer Präsentation von Onapsis auf der RSA Conference 2015 war sich gerade mal die Hälfte der Teilnehmer einer Umfrage sicher, dass sie eine Schwachstelle innerhalb eines Jahres entdecken würden. Weitere Untersuchungen zeigen, dass 70% der Unternehmen Sicherheits- und Compliance-Audits ihres ABAP-Codes geflissentlich übergehen. Allerdings befürchten 60% der IT- und IT Security-Fachleute, dass die Auswirkungen eines Angriffs auf ihre SAP-Anwendungen katastrophal wären.
2. Stellen Sie sicher, dass es einen Verantwortlichen für das Thema Sicherheit gibt
Wer ist verantwortlich, wenn eine Sicherheitsproblem auftritt? Die Hälfte der Befragten denkt, das SAP für eine Schwachstelle die Verantwortung trägt – und niemand in ihrer eigenen Organisation. Wie kann ein Unternehmen damit umgehen? Weitere 30% sagten, dass niemand verantwortlich ist. Lediglich ein kleiner Prozentsatz glaubt, dass eine Sicherheitslücke in der Verantwortung des CIO’s oder CISO’s liegt.
Leider werden die Gefahren, die durch unsichere SAP-Anwendungen entstehen, nach wie vor von der Führungsetage unterschätzt – 63% der C-Level Executives unterschätzen die Risiken, die mit unsicheren SAP-Anwendungen in Zusammenhang stehen.
Aber: wenn es zu einem Vorfall kommt, wird jemand gefeuert.
3. Halten Sie Ihr EHP up-to-date
Einer der wichtigsten Schritte für die Sicherheit ist es schlicht und einfach, auf dem aktuellen Stand zu bleiben. Spielen Sie die neuesten Enhancement Packs ein und hinken Sie nicht mehrere Versionen hinterher. Sie müssen nicht das Neueste vom Neuesten haben – Erstanwender zu sein, birgt ebenfalls immer Risiken – aber Sie dürfen auch nicht den Anschluss verlieren. Technologie- und Sicherheits-Standards werden stetig verbessert. Nach einigen Jahren stellt SAP die Release von Sicherheits-Updates und –Fixes ein.
4. Installieren Sie SPS
SAP releast regelmäßige Support Package Stacks. Support Package Stacks sind Support Packages und Patches für ein bestimmtes Produkt, die zusammen eingesetzt werden sollten. SAP empfiehlt, diese Stacks wenigstens einmal pro Jahr einzuspielen und führt die Wartungstermine auf ihrer Website auf. Außerdem können Sie mit Panaya die wichtigsten SPS’s für Ihr System identifizieren.
5. Halten Sie Ihre Systeme sauber konfiguriert
Im Mai gab das United States Department of Homeland Security eine Sicherheitswarnung heraus, das mindestens 36 Unternehmen aufgrund von ungepatchten und überalteten SAP-Systemen sicherheitsanfällig sind und somit ihr komplettes Geschäft gefährden. Der betroffene Patch zog nicht nur SAP ECC sondern auch SAP SCM sowie weitere Komponenten der Business Suite in Mitleidenschaft.
Obwohl die Schwachstelle ganz leicht geschlossen werden konnte, wie Reuters berichtete, “behob SAP das Problem, überließ jedoch die Entscheidung, einen einfachen Zugang zu ihren Systemen abzuschalten, seinen Kunden, die manchmal dem fortlaufenden Betrieb ihrer geschäftskritischen SAP-Systeme eine höhere Priorität einräumen, als der Anwendung von Sicherheits-Updates.”
“Dies ist keine neue Schwachstelle,” erklärte Mariano Nunez, Chief Executive von Onapsis, gegenüber Reuters. “Trotzdem wissen die wenigsten SAP-Kunden, was los ist.”
6. Führen Sie Updates Ihrer SAP-Anwendungen durch
Die oben erwähnte Schwachstelle betraf nicht nur SAP ECC, sondern auch viele weitere Komponenten der Business Suite. Stellen Sie sicher, dass Ihre SAP-Anwendungen gepatcht und auf dem aktuellen Stand gehalten werden. Sie sollten nicht hinter Ihrem SAP ECC hinterherhinken.
Beim SAP SCM beispielsweise können Sie mit der Panaya CloudQuality™ Suite Ihr System basierend auf ‘Crowd’-basierten Erkenntnissen überprüfen, sehen, wo Sie stehen und was aktualisiert werden muss, und wissen, wie Änderungen vorgenommen werden können.
7. Kehren Sie zum Standard zurück
Selbstgeschriebener Code ist Code, der nicht aktualisiert und nicht gepatcht wird. Selbstgeschriebener Code öffnet Risiken Tür und Tor. Vieles von Ihrem selbstgeschriebenen Code wird nicht verwendet. Mit den Updates der Programmiersprachen-Standards sowie Updates Ihrer SAP-Anwendungen über die Jahre, ist es wichtig, keine sicherheitsanfälligen technischen Schulden in selbstgeschriebenem Alt-Code anzusammeln.
Durch die Entfernung Ihres ungenutzten Codes und der Rückbesinnung auf die Standard-Installation können Sie das Risiko einer Sicherheitslücke reduzieren.
8. Führen Sie regelmäßige Gesundheits-Checks durch
Laut dem Ponemon Institute, „haben Unternehmen nur begrenzte Einblicke in die Sicherheit von SAP-Anwendungen und viele verfügen nicht über die notwendige Expertise, um Hackerangriffen vorzubeugen, sie zu entdecken und auf sie zu reagieren.“
Die frühe Entdeckung ist entscheidend für die Sicherheit. So, wie gesunde Menschen einen jährlichen Gesundheits-Check und vorbeugende Maßnahmen benötigen, um gesund zu bleiben und Probleme frühzeitig zu erkennen, helfen Ihnen regelmäßige Überprüfungen Ihres ERP-Systems dabei, einen vollständigen Einblick und ein Verständnis zu Ihrer ERP-Landschaft zu erlangen, bevor Sie Änderungen daran vornehmen. So können Sie auch erkennen, wo Sie möglicherweise den Anschluss verlieren. Mit solchen regelmäßigen Gesundheits-Checks können Sie Sicherheitslücken identifizieren.
9. Bleiben Sie wachsam
Bleiben Sie wachsam. 47% der Umfrageteilnehmer glauben, dass die Häufigkeit von Angriffen auf ihre SAP-Infrastruktur in den nächsten zwei Jahren steigen wird. Dabei denken 75% der IT-Fachleute bereits, dass ihre SAP-Plattformen schon mit mindestens einer Malware infiziert sind, die sie ignorieren.
10. Lassen Sie sich auf die digitale Transformation ein
Die Wasserfall-Ära ist vorbei. Unregelmäßige Release entsprechen nicht mehr dem Lauf der Welt. Die Agilität hat gewonnen. Mit der digitalen Transformation und den damit verbundenen schnellen und häufigen Rückmeldungen können Unternehmen schnell auf kritische Sicherheitsprobleme reagieren. Damit werden Sicherheitsprobleme nicht mehr ignoriert und Krisen werden abgewendet.