Warum wir eine NextGen der SAP-Security brauchen

Auf die Kombination kommt es an

Wer Angriffe auf SAP-Systeme heute hinreichend erkennen und frühzeitig abwehren will – sprich seine Resilienz erhöhen –, muss Applikations- und Netzwerksicherheit gleichzeitig betrachten. Dann erst entsteht SAP-Security der nächsten Generation. Ein monolithischer Block nämlich ist SAP längst nicht mehr. Userzentrierte Endgeräte und IoT-Devices interagieren mit SAP- und Third-Party-Anwendungen, die mal in der Cloud, mal on-premises laufen. 

Derart verwobene hybride ERP-Landschaften meint die SAP, wenn sie vom „Intelligent Enterprise“ spricht. Es wird also komplexer und das macht die Sache für Security-Verantwortliche nicht leichter.  Dadurch wird die IT-Landschaft undurchsichtig und das Risiko, dass eine Sicherheitslücke übersehen wird (sogar für lange Zeit existiert) steigt. In gleichem Maße steigt auch die Gefahr eines erfolgreichen Angriffs. Die Anzahl potenzieller Einfallstore ist schlicht viel größer geworden.

Sicherheitsverantwortliche brauchen hierfür eine offene und skalierbare Sicherheitsarchitektur, die mit der wachsenden Angriffsfläche Schritt hält und ein hohes Maß an Schutz vor internen und externen Angriffen gewährt. Sicherheit für hybride IT-Landschaften muss auf einer mehrschichtigen Struktur beruhen, die wie Schichten einer Zwiebel aufgebaut ist. Die einzelnen Komponenten arbeiten darin intelligent zusammen, absorbieren sowie kompensieren Angriffe und bewerten alle Informationen, die man zur Bewertung eines Vorfalls benötigt. Ideal wäre es, wenn diese Funktionen alle in einer Plattform verfügbar wären. Bislang existierten Verteidigungslinien eher isoliert und waren nicht miteinander verbunden. Mit diesem traditionellen Security-Ansatz kommt man heute nicht mehr weit. In der nächsten Generation integrieren sich intelligente Komponenten und tauschen Informationen zur Bewertung von Vorfällen aus. Eine intelligente Firewall erkennt und blockiert Angriffe auf SAP, indem sie Datenpakete untersucht und gefährliche Payloads im TCP/IP-Verkehr abfängt.

Virtual Patching von SAP-Sicherheitslücken kann auf Infrastrukturebene stattfinden; dabei wird der Angriffsversuch einer bereits veröffentlichten SAP-Schwachstelle durch eine NextGen-Firewall erkannt und umgeleitet beziehungsweise blockiert, noch bevor der Angreifer das wertvolle SAP-System erreicht. Ein Vorgehen, das sich insbesondere dann empfiehlt, wenn hochkritische SAP-Sicherheitshinweise (SNotes) nicht zeitnah eingespielt werden können, weil Systeme zu komplex für schnelles Patchen oder die Testaufwände kurzfristig zu hoch wären.

Ohnehin müssen Unternehmen immer davon ausgehen, dass jede Anwendung (und damit auch jedes SAP-System) schwerwiegende Sicherheitslücken enthält, die nicht geschlossen werden können, da kein Patch verfügbar ist – die berüchtigten Zero Days. Ein je umfassenderes Verständnis man davon hat, was als SAP-Angriffsfläche gilt (eben nicht nur das ERP allein), desto kleiner das Risiko der Ausnutzung von Zero Days – und desto höher die Resilienz. Ein Kernmerkmal von NextGen-SAP-Security ist also die wachsende Rolle der Netzwerksicherheit innerhalb einer ganzheitlichen SAP-Absicherung. Alle Komponenten zur Sicherung von SAP-Systemen arbeiten intelligent und automatisiert zusammen. Cyberangriffe auf SAP-Systeme können auf einer übergeordneten Ebene erkannt und gegebenenfalls abgewehrt werden. Falls dies nicht möglich ist, werden die folgenden Sicherheitsschichten zumindest über einen Vorfall informiert, sodass die nächste Verteidigungslinie vorgewarnt ist und effektiv agieren kann. Cybersecurity ist ein Teamsport – nicht nur auf der Seite der Angreifenden, sondern insbesondere auch innerhalb der Verteidigungslinien.

Klassische Berechtigungskonzepte bieten in hybriden Landschaften keinen ausreichenden Schutz mehr und sind demnach nur als Teil von SAP-Security anzusehen. Es geht um mehr: Härtung und Überwachung von Konfigurationsschachstellen, regelmäßige Sicherheitsupdates, Prüfung von kundeneigenen Entwicklungen auf problematischen Code, Überprüfung des Transportwesens sowie ein lückenloses Sicherheits-Monitoring.