Cyber Defense für SAP und mehr
Vor knapp einem Jahr entstand Pathlock als einzigartiger Zusammenschluss international führender Anbieter für Access Governance und Application Security mit dem Ziel, gemeinsam das Verständnis und den Umfang ganzheitlicher Sicherheit auf ein neues Niveau zu heben. Heute ist Pathlock bereits der weltweit führende Security-&-GRC-Spezialist für SAP und hybride IT-Systeme. Mit 500 Mitarbeitern weltweit berät er mehr als 1200 Kunden für den Schutz geschäftskritischer Applikationen, Daten und Prozesse. So unterstützt er Unternehmen mit SAP ERP, S/4 Hana, Cloud oder Multi-Vendor-Systemen bei der Erkennung von Anomalien, Hackerangriffen, Manipulationen oder Datendiebstahl.
Erfahrung und Know-how
Beim Thema Cyber Defense geht es um Sensibilisierung, Erfahrung, Schulung, IT-Werkzeug sowie um viel Know-how. Sind frühere ERP-Generationen sozusagen noch mit Virenscannern aufgewachsen, geht es bei Cyber Defense in den komplexen heutigen Architekturen auch nicht allein um Hacker, sondern um viele, sehr unterschiedliche Angriffs-parameter von innen und außen. Bodo Kahl, CEO von Pathlock Deutschland, erklärt im E3-Gespräch die Zielsetzung des Mergers: „Wir haben uns zusammengetan, um die erste umfassende automatisierte Compliance- und Risikomanagementlösung der Branche zu entwickeln. Unsere Technik führt konzertierte Finanz- und Datenschutzkontrollen durch und schützt gleichzeitig alle wichtigen Geschäftsanwendungen vor Bedrohungen der Cybersicherheit. Durch die Kombination jeweils einzigartiger Fähigkeiten können wir unseren Kunden jetzt eine Lösung anbieten, die mehr Anwendungen und mehr Arten von Risiken abdeckt als jede andere und jedes andere Unternehmen zuvor.“ Dieser Cyber-Defense–Ansatz ist in einer atomisierten und agilen IT-Welt von entscheidender Bedeutung, denn der SAP-Bestandskunde hat es mit sehr vielen Bedrohungsszenarien gleichzeitig zu tun. Der Chief-Technology-Officer (CTO) von Pathlock Deutschland, Ralf Kempf, erklärt dazu: „Wir fokussieren uns auf eine breite Lösung, die mehr kann als der klassische Ansatz, der auf dem Markt üblich ist. Es gab bislang Lösungen, die entweder auf den Bereich User und Access Management oder auf den Bereich Cyber Security fokussierten, aber keine, die den Bereich ERP-Security im Allgemeinen umfasst. Also, wir reden hier über eine einheitliche Lösung, die alle namhaften ERP-Anbieter wie SAP, Microsoft und Oracle am Markt abdeckt und ebenso Tools wie Salesforce.“
Der Zusammenschluss zu Pathlock ergibt ein Leistungsspektrum, das viel tiefer und breiter ist als bekannte Einzellösungen. Es vereinigt sowohl die Möglichkeiten für den Bereich User Identity und Access Management auf der einen Seite als auch im Bereich Cyber Security, Vulnerability Management, Threat Detection und Data Protection auf der anderen. Zu Pathlock gehören neben Sast Solutions die früheren Appsian, Security Weaver, CSI Tools, Xpandion und QSoftware. Gemeinsam verfügt die Gruppe über 15 Standorte in den USA, Europa, Israel und Indien.
In der Praxis hat Pathlock Deutschland eine hohe Affinität zu SAP. ECC- und S/4-Architekturen sind komplex und dezentral. Unmittelbare Mehrwerte erbrachte daher die Zusammenarbeit mit den auf SAP spezialisierten CSI Tools aus Belgien und Security Weaver aus den USA. „Sie bedeutet ein sinnvoll erweitertes SAP-Portfolio – zusätzlich zum Quick Win, dass bei Bedarf sofort ein breites Lösungsangebot für alle ERP-Anwendungen bereitsteht“, betont CTO Ralf Kempf im Gespräch mit E3-Chefredakteur Färbinger. „Es ist der große Vorteil dieses Mergers, dass sich nicht allein die Reichweite vervielfacht, sondern ebenso unsere Expertise. Entsprechend teilen wir unsere Cyber-Security-Lösungen für SAP und unsere Partner weltweit und können diese sofort in ihr Portfolio integrieren.“
Berechtigungswesen
Ein wesentlicher Security-Parameter ist das Berechtigungswesen für die SAP-Anwender. „Viele unserer Großkunden haben Produkte wie Ariba, die SAP selbst zugekauft, aber nie so richtig in das Portfolio integriert hat. Sie erschwerten es bislang sehr, die Berechtigungen von Mitarbeitenden über alle Applikationen zu tracken und die Accounts zu managen, etwa wenn ein Mitarbeiter austritt“, beschreibt Ralf Kempf einen Anwendungsfall aus seiner beruflichen Praxis.
Personalveränderungen waren stets eine große Herausforderung für das Berechtigungswesen: Verlässt eine Person das Unternehmen, sollten auch alle Accounts, alle Geräte gesperrt, alle Berechtigungen weltweit in allen Systemen entzogen werden. „Die Zugriffe in all diesen Subsystemen transparent verwalten, reviewen und so weiter – das konnten wir bislang nur für SAP. Jetzt bieten wir einen systemübergreifenden Überblick über Identitäten und Accounts“, beschreibt Ralf Kempf einen der Vorteile des Mergers.
Die SAP-Community hat die Bedeutung und Nachhaltigkeit von Cyber Defense seit geraumer Zeit realisiert. Diese Sensibilisierung belegt auch der Investitionsreport 2023 der Deutschsprachigen SAP-Anwendergruppe (DSAG e. V.). Bei der Investitionsplanung der DSAG-Mitglieder liegt die Cyber Security bei 88 Prozent mit hoher und mittlerer Relevanz klar auf Platz eins. Dies kommt für den DSAG-Vorstandsvorsitzenden Jens Hungershausen nicht unerwartet: „Einem Hackerangriff vorzubeugen ist zwar unmöglich. Doch es gibt eine Reihe von Maßnahmen, mit welchen sich Unternehmen und Anwender vorbereiten können.“ Und hier zeigt sich die Innovationskraft und Effizienz der neuen Pathlock-Gruppe.
Dashboards
Security-Dashboards stehen als zentrales Element zur Kontrolle und Abwehr sicherheitsrelevanter Vorfälle bereits seit Jahren auf der Forderungsliste der DSAG. Gemeinsam mit SAP arbeitete die DSAG an einer entsprechenden Lösung zur Gesamtübersicht für alle Security-Aspekte, die automatisiert anzeigt, welche sicherheitsrelevanten Einstellungen vorgenommen werden müssen und wo Sicherheits-lücken in der jeweiligen SAP-Landschaft des Unternehmens vorhanden sind. Nun kann Pathlock, ebenfalls Teilnehmer des DSAG-Arbeitskreises, den Erfolg vermelden: Die Entwicklung der Pathlock-Dashboards ist erfolgreich abgeschlossen und umfasst deutlich mehr als reine SAP-Landschaften. „Denn“, so erklärt Piyush Pandey, Pathlock-CEO, im E3-Exklusivgespräch, „die Zeit statischer singulärer ERPs war gestern.
SAP-Lösungen sind nach wie vor wichtigster Bestandteil der Line-of-Business-Infrastruktur vieler Unternehmen, aber die Lösungen anderer Anbieter, insbesondere von Oracle, gewinnen zunehmend an Bedeutung. Beispielsweise verwalten viele unserer SAP-Kundenunternehmen eine oder mehrere Oracle–ERP-Instanzen als Ergebnis von Fusionen und Übernahmen. Die Verwaltung von Zugriffsberechtigungen, einschließlich Rollen, aber auch SoD-Regeln (Segregation of Duties) und andere Aspekte rund um Identität, Zugriff und Sicherheit sind für den Schutz dieser geschäftskritischen Anwendungen unerlässlich.“
Hinzu kommt: Viele geschäftskritische Systeme folgen dem Trend, sich in die Cloud zu verlagern, etwa mit Lösungen von SAP wie SuccessFactors oder Ariba. Damit erweitert sich der Anwendungsbereich für zentralisierte Zugriffskontrollen über die traditionellen Abap-Systeme und sogar über SAP hinaus. Die Anforderungen an die Lösungen steigen, entweder durch die Unterstützung einer breiteren Palette von Systemen oder durch die Bereitstellung von geeigneten Integrationspunkten mit anderen Lösungen. Für die erfolgreiche Umsetzung angemessener Kontrollen ist es von entscheidender Bedeutung, dass alle Systeme durch eine wirksame Lösung für das Risikomanagement abgedeckt sind, und zwar für die Verwaltung der Zugriffskontrolle und der SoD-Kontrollen sowie für die Umsetzung einer angemessenen Access Governance.
Dies spiegelt sich auch in der Ankündigung für den diesjährigen Leadership Compass des führenden Technologie-Analysten KuppingerCole wider, in dem eine umfassende Unterstützung sowohl für SAP-Umgebungen als auch für die Geschäftsanwendungen anderer Anbieter im Mittelpunkt steht: „Die Anforderungen der Kunden an Zugangskontrolllösungen für ihre Geschäftsanwendungen ändern sich rapide. Viele Unternehmen benötigen Lösungen, die eine Reihe ERPs verschiedener Anbieter abdecken und in unterschiedlichen Modellen betrieben werden.“
Rollenmodelle
Allerdings fehle vielen Anbietern noch die langjährige Erfahrung mit Best-Practice-Rollenmodellen, kritischen Zugriffsregelsätzen und SoD-Rollensätzen für Nicht-SAP-Lösungen, konstatierte Martin Kuppinger bereits 2022 und hebt als Ausnahmebeispiel Pathlocks tiefgreifende Unterstützung für Oracle–Systeme hervor. Er betont, durch den Pathlock-Zusammenschluss sei „ein großer Konkurrent für SAP auf dem Security-Markt entstanden“. Ralf Kempf kommentiert: „Dieses Urteil nehmen wir als Kompliment und Bestätigung, aber vor allem als Ansporn, der Entwicklung immer einen Schritt voraus zu sein und mit unserer Pathlock Suite, sei es on-premises, webbasiert oder hybrid, für SAP und viele weitere ERPs und Lösungen die umfänglichste und beste Cyber Defense zu realisieren.“