erlebe-software.de durchsuchen
Ingo Biermann
Ingo Biermann
11. April 2014

Doppelte Verneinung: Darum ist SAP Sicherheit nicht kein Thema

IT devices security

SAP Sicherheit

SAP Sicherheit

Die Zeiten sind lange vorbei, in denen Sicherheit kein großes Thema in der Welt der Unternehmessoftware und -IT war. Bei der DSAG Jahreskonferenz Ende 2013 machte Bill Hagemann-Snabe das Thema sogar zu einer der Kernaussagen seiner Key-Note: Die Cloud-Lösungen der SAP sind sicher, weil sie in Datacentern in Deutschland und Europa untergebracht sind. Auch in Walldorf hat man erkannt, dass die Wichtigkeit des Themas auch aus Sicht der Kunden steigt und stellt sich in der Kommunikation darauf ein.

Obwohl Sicherheit mehr und mehr ins Bewusstsein der IT-Abteilungen und auch des Managements rückt, halten sich manche Irrtümer hartnäckig im Bewusstsein vieler Verantwortlicher.

Vier beliebte Beispiele zu Sicherheit in SAP :

  • Keine Gefahr: Unser ERP ist ja nur intern verfügbar!
  • Kein Problem: Die SAP kümmert sich um die Sicherheit der Software!
  • Wer soll uns gefährlich werden: Hacker kennen sich mit SAP gar nicht aus!
  • Wir sind sicher: Wir haben ein SAP Berechtigungskonzept!

Keine Gefahr: Unser ERP ist ja nur intern verfügbar!

Wie soll ein Angreifer überhaupt an unser System herankommen? Man kann schließlich nur aus dem internen Netz darauf zugreifen und nach außen ist die Firewall davor.
Wenn man genauer nachdenkt, so findet man doch eine ganze Menge von Verbindungen zur großen weiten Welt. Das geht schon mit der Serviceverbindung der SAP los, auch die Mitarbeiter haben Remote-Zugriff in das Firmennetz. Dann gibt es verschiedene Webserver und Portale, die für die Zusammenarbeit mit den Geschäftspartnern genutzt werden wie beispielsweise ein Lieferantenportal im Internet. Last but not least: Die PCs der Anwender sind mit dem Internet verbunden und worauf dort gesurft wird ist nur schwer zu kontrollieren. Kennen Sie noch den berühmten Werbespot der IBM aus dem Jahr 1998? “Es druckt nicht – wackel mal am Kabel – druckt immer noch nicht – es ist nicht der Drucker – der Niemeyer hat sich einen Virus aus dem Internet eingefangen … … … der Niemeyer!”

Kein Problem: Die SAP kümmert sich um die Sicherheit der Software!

Um die Sicherheit der SAP Lösungen kümmert sich SAP. Das stimmt sogar: SAP ist mit der Schnelligkeit von Patches und Security Notes inzwischen sehr gut geworden. Nur hapert es allzu oft an der schnellen Umsetzung in den Kundensystemen. Alle Updates zeitnah bis in die produktiven System zu bringen und dabei die eigene Stabilität nicht zu gefährden ist auch nicht ganz so einfach. Darüber hinaus hat jeder SAP Kunde mehr oder weniger große Teile von Eigenentwicklungen im Einsatz, die von SAP natürlich nicht auf Sicherheitslücken geprüft werden.

Wer soll uns gefährlich werden: Hacker kennen sich mit SAP gar nicht aus!

Diese Hacker-Kids kennen vielleicht Windows und können Handys knacken, aber mit seriöser Software wie SAP kennen die sich doch nicht aus. Stimmt natürlich nicht: Denn das Interesse und die Energie von privaten, professionellen wie auch staatlichen Angreifern richtet sich dorthin, wo es etwas zu holen gibt. Weil die Aussicht auf Gewinn bei Spionage, Datendiebstahl oder Sabotage in der Geschäftswelt hoch ist, zieht es auch die Angreifer an. Und wen das noch nicht überzeugt, der kann den einfachen Test machen: “SAP hacken” bringt bei Google 9.000.000 Ergebnisse.

Wir sind sicher: Wir haben ein Berechtigungskonzept!

Ohne Frage ist ein Berechtigungskonzept ein unverzichtbarer Baustein für die Sicherheit Ihrer SAP Systeme. Wenn Ihr Konzept dann auch noch wirklich im System umgesetzt ist und nicht nur auf dem Papier besteht, kann die Revision kommen. Leider gibt es aber auch noch Einiges darüber hinaus zu beachten: Die erwähnten Eigenentwicklungen werden nur vom Berechtigungskonzept erfasst, wenn Berechtigungsprüfungen eingesetzt werden, wenn konsequent auf die Sicherheitsmechanismen des SAP Frameworks gesetzt wird und die Entwickler keine Fehler machen. Und weil sie eben doch Fehler machen, ist es wichtig einen gut durchdachten Entwicklungsprozess zu haben, der Fehler vermeidet, Sicherheitslücken aufdeckt und qualitativ hochwertigen Code erzeugt.

Wie gefährdet sehen Sie sich und ihre Systeme? Hat sich die Bedeutung und vielleicht auch das Budget für Sicherheit in Ihrem Unternehmen in den letzten Jahren erhöht? Ich freue mich auf Ihre Erfahrungen.

Ingo Biermann

Ingo Biermann

Als Management- und Technologieberater unterstütze ich seit mehr als 15 Jahren große und mittelständische Unternehmen in Fragen der IT-Strategie und bin unterwegs in unterschiedlichen SAP-Themen wie SAP S/4HANA, User Experience und SAP Entwicklung.

Sie haben Fragen? Kontaktieren Sie mich!

Das könnte Sie auch interessieren

Einsatz von ABAP Unit zur Steigerung der Entwicklungsqualität – Teil I

Im Rahmen einer Artikelserie erscheinen unter dem Thema Einsatz von ABAP Unit drei Beiträge zum effizienten Unit-Testing von ABAP-Entwicklungen. Dieser erste Artikel zeigt grundlegende Möglichkeiten zum Einsatz von ABAP Unit […]

weiterlesen

Die einfachen Dinge: Sicherheit und Robustheit im ABAP Coding

Die Business Application Security Initiative (BIZEC) nennt als häufigste Schwachstellen in ABAP Coding in Bezug auf Sicherheit die folgenden Punkte: ABAP Command Injection OS Command Injection Native SQL Injection Improper […]

weiterlesen

Wie Sie eine kritische SAP HANA DB Sicherheitskonfiguration durchführen

Wenn Sie sich noch nicht mit dem Thema SAP HANA DB Sicherheitskonfiguration auseinandergesetzt haben, sollten Sie das schnellstens nachholen. Denn vor allem bei einer SPS vor Version 11 besteht eine […]

weiterlesen

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Newsletter

Kontaktieren Sie uns!
Alexander Koessner-Maier
Alexander Kössner-Maier Kundenservice
0211 946 285 72-15 Alexander.Koessner-Maier@erlebe-software.de Ihre Anfrage