Information und Bildungsarbeit von und für die SAP-Community

Warum wir eine NextGen der SAP-Security brauchen

Cyberangriffe auf SAP-Systeme abwehren bedeutet mehr als nur das ERP-System allein zu schützen. Das Gefährdungspotenzial vernetzter Unternehmen und hybrider SAP-Landschaften erfordert vielmehr einen holistischen Ansatz.
Christoph Nagy, SecurityBridge
21. Dezember 2022
it security Header
avatar

Auf die Kombination kommt es an

Wer Angriffe auf SAP-Systeme heute hinreichend erkennen und frühzeitig abwehren will – sprich seine Resilienz erhöhen –, muss Applikations- und Netzwerksicherheit gleichzeitig betrachten. Dann erst entsteht SAP-Security der nächsten Generation. Ein monolithischer Block nämlich ist SAP längst nicht mehr. Userzentrierte Endgeräte und IoT-Devices interagieren mit SAP- und Third-Party-Anwendungen, die mal in der Cloud, mal on-premises laufen. 

Derart verwobene hybride ERP-Landschaften meint die SAP, wenn sie vom „Intelligent Enterprise“ spricht. Es wird also komplexer und das macht die Sache für Security-Verantwortliche nicht leichter.  Dadurch wird die IT-Landschaft undurchsichtig und das Risiko, dass eine Sicherheitslücke übersehen wird (sogar für lange Zeit existiert) steigt. In gleichem Maße steigt auch die Gefahr eines erfolgreichen Angriffs. Die Anzahl potenzieller Einfallstore ist schlicht viel größer geworden.

Sicherheitsverantwortliche brauchen hierfür eine offene und skalierbare Sicherheitsarchitektur, die mit der wachsenden Angriffsfläche Schritt hält und ein hohes Maß an Schutz vor internen und externen Angriffen gewährt. Sicherheit für hybride IT-Landschaften muss auf einer mehrschichtigen Struktur beruhen, die wie Schichten einer Zwiebel aufgebaut ist. Die einzelnen Komponenten arbeiten darin intelligent zusammen, absorbieren sowie kompensieren Angriffe und bewerten alle Informationen, die man zur Bewertung eines Vorfalls benötigt. Ideal wäre es, wenn diese Funktionen alle in einer Plattform verfügbar wären. Bislang existierten Verteidigungslinien eher isoliert und waren nicht miteinander verbunden. Mit diesem traditionellen Security-Ansatz kommt man heute nicht mehr weit. In der nächsten Generation integrieren sich intelligente Komponenten und tauschen Informationen zur Bewertung von Vorfällen aus. Eine intelligente Firewall erkennt und blockiert Angriffe auf SAP, indem sie Datenpakete untersucht und gefährliche Payloads im TCP/IP-Verkehr abfängt.

Virtual Patching von SAP-Sicherheitslücken kann auf Infrastrukturebene stattfinden; dabei wird der Angriffsversuch einer bereits veröffentlichten SAP-Schwachstelle durch eine NextGen-Firewall erkannt und umgeleitet beziehungsweise blockiert, noch bevor der Angreifer das wertvolle SAP-System erreicht. Ein Vorgehen, das sich insbesondere dann empfiehlt, wenn hochkritische SAP-Sicherheitshinweise (SNotes) nicht zeitnah eingespielt werden können, weil Systeme zu komplex für schnelles Patchen oder die Testaufwände kurzfristig zu hoch wären.

Ohnehin müssen Unternehmen immer davon ausgehen, dass jede Anwendung (und damit auch jedes SAP-System) schwerwiegende Sicherheitslücken enthält, die nicht geschlossen werden können, da kein Patch verfügbar ist – die berüchtigten Zero Days. Ein je umfassenderes Verständnis man davon hat, was als SAP-Angriffsfläche gilt (eben nicht nur das ERP allein), desto kleiner das Risiko der Ausnutzung von Zero Days – und desto höher die Resilienz. Ein Kernmerkmal von NextGen-SAP-Security ist also die wachsende Rolle der Netzwerksicherheit innerhalb einer ganzheitlichen SAP-Absicherung. Alle Komponenten zur Sicherung von SAP-Systemen arbeiten intelligent und automatisiert zusammen. Cyberangriffe auf SAP-Systeme können auf einer übergeordneten Ebene erkannt und gegebenenfalls abgewehrt werden. Falls dies nicht möglich ist, werden die folgenden Sicherheitsschichten zumindest über einen Vorfall informiert, sodass die nächste Verteidigungslinie vorgewarnt ist und effektiv agieren kann. Cybersecurity ist ein Teamsport – nicht nur auf der Seite der Angreifenden, sondern insbesondere auch innerhalb der Verteidigungslinien.

Klassische Berechtigungskonzepte bieten in hybriden Landschaften keinen ausreichenden Schutz mehr und sind demnach nur als Teil von SAP-Security anzusehen. Es geht um mehr: Härtung und Überwachung von Konfigurationsschachstellen, regelmäßige Sicherheitsupdates, Prüfung von kundeneigenen Entwicklungen auf problematischen Code, Überprüfung des Transportwesens sowie ein lückenloses Sicherheits-Monitoring.

SecurityBridge

avatar
Christoph Nagy, SecurityBridge

Christoph Nagy ist Geschäftsführer bei SecurityBridge


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.