Cyberkriminalität: IT2media schützt eigene Systeme mit SAP-Partner SecurityBridge
Eine große, bunt gemischte SAP-Landschaft mit ECC, S/4, BW, HR und Gateways, genutzt von der eigenen Muttergesellschaft (Sellwerk-Gruppe), diversen Telefonbuchverlagen und Medienhäusern in ganz Deutschland, klingt schwierig zu administrieren, ist es auch und wurde dennoch jahrelang nur von einer einzigen Person erledigt: Björn Hatzelmann, Teamleiter SAP-Basis-Core der IT2media, eines mittelständischen IT-SAP-Systemhauses mit Hauptsitz in Nürnberg.
TakeASP betreut SAP-Anwender in allen Fragen rund um SAP-Basis und SAP-Security und ist auch Partner der SecurityBridge für Implementierung und Betrieb der Securitylösung im mittelständischen Bereich. Björn Hatzelmanns Problem teilen viele mittelständische Firmen, die SAP einsetzen oder SAP-Systeme für andere Unternehmen bereitstellen, wie eben ein Systemhaus. Die Arbeitsbelastung steigt und steigt, Fachkräfte sind schwer zu bekommen. Zwar läuft die Verwaltung der Systeme, aber bei Sicherheitsfragen verließ sich IT2media bislang allein auf die SAP-Bordmittel. Der monatliche SAP-Patch-Day war ein Pflichttermin, alle neuen Security-Notes wurden regelmäßig heruntergeladen. „Bei einer sehr großen Landschaft ist es so aber gar nicht mehr möglich, dies alles für alle Systeme durchgehend zu garantieren“, erzählt der Administrator Hatzelmann.
SAP-Komponenten im Web
Tatsache ist, dass die Bedrohungslage für SAP-Anwender größer geworden ist. Auf die ERP-Landschaft der IT2media selbst gab es zwar noch keinen Angriff, aber einige SAP-Komponenten stehen im Internet, das ESS etwa lässt sich von außen aufrufen. Hier ist zwar eine 2-Faktor-Authentifizierung im Einsatz, aber es gibt, ist Björn Hatzelmann überzeugt, keine Software, die sich nicht umgehen lässt. Auch das S/4-Hana-System ist über einen Cloud-Konnektor mit der Außenwelt verbunden.
Um den wachsenden Bedrohungen nicht mehr ausgesetzt zu sein, wollte sich das Unternehmen proaktiv schützen. TakeASP empfahl deshalb, Sicherheitsthemen künftig in die Hände der SecurityBridge-Plattform zu legen. Auf dem DSAG-Kongress 2023 sah sich Björn Hatzelmann das Produkt erstmals an und war sofort Feuer und Flamme: „Die funktionale Breite ist erstaunlich, das GUI extrem ansprechend, man findet sich sofort zurecht.“ Im November desselben Jahres wurde ein Prototyp aufgesetzt, der kurz darauf in den Erwerb der Software mündete.
Bedrohung auf Modulebene
Der Prototyp half dem SAP-Dienstleister dabei, seinen Kunden klarzumachen, warum man die einzelnen Module benötigt. Beim Thema Sicherheitsmaßnahmen kommt nämlich zuerst immer die Bemerkung: Brauchen wir das wirklich? Was kostet das? Die meisten sehen angesichts der wachsenden Bedrohungslage aber schnell ein, dass es besser ist, lieber jetzt einen Euro zu viel auszugeben und ihn nicht zu benötigen, als im Nachhinein für die immensen Schäden eines Angriffs aufkommen zu müssen.
Eine SAP-Sicherheitsplattform ist für jeden Mittelständler eine große Anschaffung. Da ist es hilfreich, wenn man, wie bei SecurityBridge, Stück für Stück mit einzelnen Modulen starten kann. IT2media begann mit Patch Management und dem Security Compliance Monitor: zum einen für das SAP-Gateway ins Internet, um sicherzustellen, dass immer die neuesten Hinweise beachtet werden, zum anderen für das ECC-System – ein ablaufendes Produkt, das in den vergangenen Jahren durch Tausende Z-Entwicklungen modifiziert wurde. Björn Hatzelmann: „Hier eine Code-Vulnerability-Analyse durchzuführen hätte wenig Sinn, kein Mensch würde alles bis 2027 ausbessern können.“
Praktikabler schien deshalb eine Grundhärtung durch das Patch Management, ohne den vollen Rundumschlag. Diesen vollzieht IT2media dafür mit der kompletten SecurityBridge-Suite für sein neues S/4-System. Dieses wird bereits von einem ersten großen Kunden aus der Verlagsbranche genutzt, weitere Unternehmen (und später auch die Muttergesellschaft), die bislang noch auf dem ECC-System arbeiten, werden Stück für Stück über eigene Mandanten nach S/4 Hana transferiert. Hier soll dann von Beginn an kontrolliert werden, was im System programmiert wird. Mit dem Interface Traffic Monitor von SecurityBridge werden die RFC-Verbindungen engmaschig überwacht, wird kontrolliert, welche User unter Umständen zu viele Berechtigungen haben.
Mit dem Patch Management müssen nun nicht mehr alle Informationen kleinteilig aus SAP-Hilfeseiten zusammengesucht werden. Sondern der Administrator bekommt die Patch-Hinweise in einer Kachel präsentiert. Er sieht sofort, wo akuter Handlungsbedarf besteht und was getan werden muss. Eine unglaubliche Zeitersparnis, wie Björn Hatzelmann zu berichten weiß. TakeASP unterstützt ihn beim Betrieb der SecurityBridge-Plattform, zum Beispiel beim Einrichten des Identity Protection Self Service oder beim Know-how-Aufbau über Untermenüpunkte und Einstellungsmöglichkeiten der Lösung unterhalb der Kacheloberfläche.