04S02 Sicherheit beim Einsatz von SAP-Systemen
Die Absicherung der SAP-Systemlandschaft sollte auf keinen Fall vernachlässigt werden, da SAP-Systeme die wertvollsten Daten eines Unternehmens enthalten. Diese Daten sind es auch, auf die Angreifer es abgesehen haben, und die Anzahl der Angriffe auf SAP-Systeme hat in den letzten Jahren teilweise dramatisch zugenommen, vor allem aber werden diese Angriffe zunehmend professioneller. Umso wichtiger ist es, alle Aspekte der Absicherung von SAP-Systemen in Betracht zu ziehen. Dieser Beitrag beschreibt die wichtigsten Bereiche, Einstellungen und Überlegungen, die dabei beachtet werden sollten. Dazu gehören neben der Konfiguration der SAP-NetWeaver-Basis vor allem der Umgang mit kritischen Berechtigungen und die Absicherung zwischen SAP und IT-Landschaft im Allgemeinen, sei es in Bezug auf die Datenbank, das Betriebssystem, das interne Netzwerk oder in der Kommunikation mit externen Services oder dem Internet. Arbeitshilfen: von: |
1 Motivation
Erhöhter Schutzbedarf
Enterprise-Resource-Planning-Systeme (ERP-System) enthalten in der Regel die sensibelsten und wertvollsten Daten eines Unternehmens oder einer Behörde. Daher haben diese Daten und die damit arbeitenden Systeme einen erhöhten Schutzbedarf. Ein Großteil der hierzulande im Einsatz befindlichen ERP-Systeme basiert auf den Produkten der SAP SE. In Bezug auf die Sicherheit der entsprechenden Systeme nimmt SAP dabei technologisch eine Sonderstellung ein: SAP-Systeme werden auf Standard-Hardware, mit Standard-Datenbanken auf Standard-Betriebssystemen betrieben und sind inzwischen auch in den Standard-Netzwerken verankert. Aus diesem Grund wird bei Fragen zum Thema SAP-Sicherheit meist auf zwei Argumente verwiesen:
Enterprise-Resource-Planning-Systeme (ERP-System) enthalten in der Regel die sensibelsten und wertvollsten Daten eines Unternehmens oder einer Behörde. Daher haben diese Daten und die damit arbeitenden Systeme einen erhöhten Schutzbedarf. Ein Großteil der hierzulande im Einsatz befindlichen ERP-Systeme basiert auf den Produkten der SAP SE. In Bezug auf die Sicherheit der entsprechenden Systeme nimmt SAP dabei technologisch eine Sonderstellung ein: SAP-Systeme werden auf Standard-Hardware, mit Standard-Datenbanken auf Standard-Betriebssystemen betrieben und sind inzwischen auch in den Standard-Netzwerken verankert. Aus diesem Grund wird bei Fragen zum Thema SAP-Sicherheit meist auf zwei Argumente verwiesen:
• | Die „normale” IT-Sicherheit deckt alle möglichen Schwachstellen ab und: „Die Angreifer müssen ja in jedem Fall erstmal durch die Firewall!” |
• | Für die SAP-Systeme existiert ein Berechtigungskonzept, damit sind die Daten gesichert. |
Das ist allerdings nur die halbe Wahrheit. Zwar sind sowohl eine durchdachte IT-Sicherheit als auch ein Berechtigungskonzept wichtige Bausteine für ein umfassendes SAP-Sicherheitsgerüst. Aber die zunehmende Komplexität der SAP-Anwendungen (s. Abbildung 1) erfordert ein eigenes Konzept und eigene Maßnahmen.
Offene SAP-Welt
Die Zeiten, in denen SAP-Systeme außerhalb der bereits in den Unternehmen existierenden Betriebs- und Administrationsstrukturen betrieben wurden, sind schon seit Jahren Geschichte. Mit Portalen und „Self-Service-Funktionalitäten” öffneten sich die SAP-Systeme immer mehr der Außenwelt. Die Einführung von S/4HANA, die nächste Evolution der SAP-Anwendungssuite, setzt diesen Trend zu mehr Offenheit und erhöhtem Einsatz von Webtechnologien fort. Heutzutage sind Lieferantenportale oder E-Recruiting-Anwendungen gängig und ermöglichen einen Zugriff auf die SAP-Systeme auch von außerhalb des Unternehmens. Dennoch sind die Teams, die für den SAP-Betrieb verantwortlich zeichnen, organisatorisch oft noch abgekapselt vom allgemeinen IT-Betrieb und von der IT-Sicherheitsabteilung. Zudem liegt das Hauptaugenmerk der SAP-Abteilung zunächst auf dem reinen Betrieb – Sicherheitsaspekte werden häufig „nebenbei” gehandhabt. Zur Verteidigung der SAP-Teams muss allerdings vorgebracht werden, dass die Abhängigkeit der Unternehmen von der Verfügbarkeit der SAP-Server dafür sorgt, dass selbst dringend notwendige Sicherheits-Updates nicht „mal eben” eingespielt werden können oder Einstellungen nicht kurzfristig geändert werden können.
Die Zeiten, in denen SAP-Systeme außerhalb der bereits in den Unternehmen existierenden Betriebs- und Administrationsstrukturen betrieben wurden, sind schon seit Jahren Geschichte. Mit Portalen und „Self-Service-Funktionalitäten” öffneten sich die SAP-Systeme immer mehr der Außenwelt. Die Einführung von S/4HANA, die nächste Evolution der SAP-Anwendungssuite, setzt diesen Trend zu mehr Offenheit und erhöhtem Einsatz von Webtechnologien fort. Heutzutage sind Lieferantenportale oder E-Recruiting-Anwendungen gängig und ermöglichen einen Zugriff auf die SAP-Systeme auch von außerhalb des Unternehmens. Dennoch sind die Teams, die für den SAP-Betrieb verantwortlich zeichnen, organisatorisch oft noch abgekapselt vom allgemeinen IT-Betrieb und von der IT-Sicherheitsabteilung. Zudem liegt das Hauptaugenmerk der SAP-Abteilung zunächst auf dem reinen Betrieb – Sicherheitsaspekte werden häufig „nebenbei” gehandhabt. Zur Verteidigung der SAP-Teams muss allerdings vorgebracht werden, dass die Abhängigkeit der Unternehmen von der Verfügbarkeit der SAP-Server dafür sorgt, dass selbst dringend notwendige Sicherheits-Updates nicht „mal eben” eingespielt werden können oder Einstellungen nicht kurzfristig geändert werden können.