Interface Management: Das offene Scheunentor in SAP
Das bislang vernachlässigte Thema Interface Management ist zur Chefsache geworden: Die heutigen Systemlandschaften von Unternehmen werden immer heterogener und komplexer, neben mehreren SAP-Produktiv- und -Entwicklungssystemen auch durch den Einsatz verschiedener ERPs und nicht zuletzt die Integration neuer Cloud-Strukturen. Daraus resultiert eine rasant wachsende Zahl von Schnittstellen zwischen allen Systemen und folglich eine ausufernde Schwachstelle und erhebliche Bedrohung für die Sicherheit und Compliance des gesamten Unternehmens. Übliche Strategien zur Absicherung setzen häufig nicht bei den Systemen selbst, sondern überwiegend bei den Berechtigungen der User an. In puncto Schnittstellen lässt sich jedoch festhalten: Es ist wichtig, Berechtigungen kontinuierlich kritisch zu überprüfen, aber wenn die IT-Systeme selbst via Schnittstellen offen sind wie Scheunentore, nutzt dies allein letztlich wenig.
Schon aus Sicherheitsaspekten ist es daher eminent wichtig, genau zu wissen, welche Systeme in Verbindung stehen, wer eigentlich mit wem spricht, und auch, welche Entwicklungssysteme oder noch aktiven Altsysteme mitgedacht werden müssen. Beides wird jedoch bis dato kaum ermittelt und ein undokumentierter wie unkontrollierter Datenaustausch führt in der Folge fast zwangsläufig zu Sicherheitsrisiken und Compliance-Verstößen. Um dem künftig effektiv zu begegnen, ist ein umfassendes Interface Management unerlässlich. Dieser neuen Tragweite werden nun Lösungen gerecht, denen es gelingt, die Problematik auch für das C-Level aufzubereiten.
Neue Brisanz für die Management-Ebene
Warum Entscheider sich nun damit beschäftigen sollten? Ganz einfach: Weil es im Fall einer Cyberattacke auf die Reaktionszeit ankommt, die über die Tragweite der möglichen Schäden entscheidet. Wenn aber niemand weiß, welche Systeme miteinander verbunden sind, lassen sich auch keine adäquaten Gegenmaßnahmen einleiten. Es gibt hier also einen eklatanten, anwachsenden Informationsmangel, der sich bei unterschiedlichen ERP-Systemen und über On-premises hinaus abermals potenziert und erhebliche Risiken birgt.
Hinzu kommt: Werden über diese Schnittstellen Daten undokumentiert abgeführt, resultiert daraus neben dem Verlust auch gleich eine Compliance-relevante und meldepflichtige Datenschutzverletzung. Compliance-Verletzungen dieser Art können etwa nach SOX-Richtlinien für an der US-Börse gehandelte Unternehmen existenzbedrohende Strafen in Milliardenhöhe nach sich ziehen. Und die verpflichtende Umsetzung der neuen NIS-2-Directive ab Oktober wird auch für Europa die Dringlichkeit eines Schnittstellenmanagements, insbesondere für die Compliance-Konformität, weiter forcieren und Unterlassungen empfindlich bestrafen.
Die Get-Clean-Phase
Unternehmen stehen daher vor der Aufgabe, die hohe Anzahl an Systemschnittstellen dokumentierbar und damit kontrollierbar zu machen. Der SAP-Standard bietet hier keine umfassende und zentrale Auswertung, ist kaum hilfreich oder wiegt gar in trügerischer Sicherheit. Insbesondere werden Vertrauensbeziehungen zwischen Systemen (SSO und Trusted RFC) selten dokumentiert und Remote-Datenbankverbindungen führen zu weiteren unkontrollierten Sicherheitslücken. Und auch hier kommen als Dimension on top wieder die Cloud-Schnittstellen zum Tragen.
Um eine bestmögliche Absicherung zu erreichen, ist es ratsam, ein zweistufiges Vorgehen umzusetzen. In der Get-Clean-Phase gilt es zunächst, Transparenz zu schaffen durch die Analyse sämtlicher RFC-Verbindungen von Einzelsystemen, Systemgruppen und -landschaften. So kann das Pathlock Interface Management ohne manuellen Aufwand feststellen, welche Systeme miteinander kommunizieren und aus welchem Datenkontingent dabei beispielsweise Business-Partner-Daten transportiert werden. Damit ist eine verwertbare Warnung für die IT möglich, um entsprechend reagieren zu können.
Um Schnittstellen später sauber zu verwalten, ist in der Phase des Get-Clean entscheidend, alle Systemschnittstellen zu inventarisieren und zu analysieren, welche Daten und Funktionsbausteine von welchen Endpunkten angefragt werden. Dann folgt schließlich die Beseitigung von Sicherheitsrisiken durch eine fachgerecht optimierte Konfiguration.
Die Stay-Clean-Phase
In dieser Phase geht es um die Erhaltung des nun sauberen Betriebszustandes. Dies geschieht idealerweise in Echtzeit durch die Einbindung eines Threat-Detection-Tools. Ziel ist die systemübergreifende zentrale Kontrolle über alle Schnittstellen inklusive der differenzierten Übersicht über aktive und nicht aktive Schnittstellen. Ein besonderes Augenmerk gilt dabei der Prüfung auf die hochkritische Compliance-Konformität.
Das Interface Management
Mangelte es also bislang an einer transparenten Übersicht sämtlicher ein- und ausgehender Systemschnittstellen, gelingt es mit der Pathlock Suite, eine gut aufbereitete, vollständige Darstellung in grafischer oder tabellarischer Form abzubilden und sie mithilfe von Threat Detection um einen Real Time Scope zu erweitern. Zudem ist das Pathlock Interface Management je nach Bedarf erweiterbar, etwa mit der neuen Pathlock-Entwicklung Threat Intelligence.
Mit dieser Kombination etablierter Lösungen wie Threat Detection – ergänzt um automatisierte Prozesse mit individuellen, auf die jeweilige Risikosituation abgestimmten Reaktionen – werden bei Bedarf Zugriffe auf kritische Applikationen eingeschränkt oder vollständig blockiert, Datenfelder passgenau maskiert, Downloads verhindert oder User mit kritischem Verhalten vom System ausgesperrt. Und das vollautomatisch und in Echtzeit, rund um die Uhr.
Last, but not least liegt eine weitere Stärke des Pathlock Interface Management in der bislang unerreichten Nutzerfreundlichkeit und Visualisierung auch für das C-Level. Die intuitive Usability ermöglicht ohne tieferes Fachwissen quasi out of the box ein ebenso einfaches wie sicheres und Compliance-konformes Management aller Schnittstellen.
Zum Partnereintrag: