Doppelte Verneinung: Darum ist SAP Sicherheit nicht kein Thema
Die Zeiten sind lange vorbei, in denen Sicherheit kein großes Thema in der Welt der Unternehmessoftware und -IT war. Bei der DSAG Jahreskonferenz Ende 2013 machte Bill Hagemann-Snabe das Thema sogar zu einer der Kernaussagen seiner Key-Note: Die Cloud-Lösungen der SAP sind sicher, weil sie in Datacentern in Deutschland und Europa untergebracht sind. Auch in Walldorf hat man erkannt, dass die Wichtigkeit des Themas auch aus Sicht der Kunden steigt und stellt sich in der Kommunikation darauf ein.
Obwohl Sicherheit mehr und mehr ins Bewusstsein der IT-Abteilungen und auch des Managements rückt, halten sich manche Irrtümer hartnäckig im Bewusstsein vieler Verantwortlicher.
Vier beliebte Beispiele zu Sicherheit in SAP :
- Keine Gefahr: Unser ERP ist ja nur intern verfügbar!
- Kein Problem: Die SAP kümmert sich um die Sicherheit der Software!
- Wer soll uns gefährlich werden: Hacker kennen sich mit SAP gar nicht aus!
- Wir sind sicher: Wir haben ein SAP Berechtigungskonzept!
Keine Gefahr: Unser ERP ist ja nur intern verfügbar!
Wie soll ein Angreifer überhaupt an unser System herankommen? Man kann schließlich nur aus dem internen Netz darauf zugreifen und nach außen ist die Firewall davor.
Wenn man genauer nachdenkt, so findet man doch eine ganze Menge von Verbindungen zur großen weiten Welt. Das geht schon mit der Serviceverbindung der SAP los, auch die Mitarbeiter haben Remote-Zugriff in das Firmennetz. Dann gibt es verschiedene Webserver und Portale, die für die Zusammenarbeit mit den Geschäftspartnern genutzt werden wie beispielsweise ein Lieferantenportal im Internet. Last but not least: Die PCs der Anwender sind mit dem Internet verbunden und worauf dort gesurft wird ist nur schwer zu kontrollieren. Kennen Sie noch den berühmten Werbespot der IBM aus dem Jahr 1998? “Es druckt nicht – wackel mal am Kabel – druckt immer noch nicht – es ist nicht der Drucker – der Niemeyer hat sich einen Virus aus dem Internet eingefangen … … … der Niemeyer!”
Kein Problem: Die SAP kümmert sich um die Sicherheit der Software!
Um die Sicherheit der SAP Lösungen kümmert sich SAP. Das stimmt sogar: SAP ist mit der Schnelligkeit von Patches und Security Notes inzwischen sehr gut geworden. Nur hapert es allzu oft an der schnellen Umsetzung in den Kundensystemen. Alle Updates zeitnah bis in die produktiven System zu bringen und dabei die eigene Stabilität nicht zu gefährden ist auch nicht ganz so einfach. Darüber hinaus hat jeder SAP Kunde mehr oder weniger große Teile von Eigenentwicklungen im Einsatz, die von SAP natürlich nicht auf Sicherheitslücken geprüft werden.
Wer soll uns gefährlich werden: Hacker kennen sich mit SAP gar nicht aus!
Diese Hacker-Kids kennen vielleicht Windows und können Handys knacken, aber mit seriöser Software wie SAP kennen die sich doch nicht aus. Stimmt natürlich nicht: Denn das Interesse und die Energie von privaten, professionellen wie auch staatlichen Angreifern richtet sich dorthin, wo es etwas zu holen gibt. Weil die Aussicht auf Gewinn bei Spionage, Datendiebstahl oder Sabotage in der Geschäftswelt hoch ist, zieht es auch die Angreifer an. Und wen das noch nicht überzeugt, der kann den einfachen Test machen: “SAP hacken” bringt bei Google 9.000.000 Ergebnisse.
Wir sind sicher: Wir haben ein Berechtigungskonzept!
Ohne Frage ist ein Berechtigungskonzept ein unverzichtbarer Baustein für die Sicherheit Ihrer SAP Systeme. Wenn Ihr Konzept dann auch noch wirklich im System umgesetzt ist und nicht nur auf dem Papier besteht, kann die Revision kommen. Leider gibt es aber auch noch Einiges darüber hinaus zu beachten: Die erwähnten Eigenentwicklungen werden nur vom Berechtigungskonzept erfasst, wenn Berechtigungsprüfungen eingesetzt werden, wenn konsequent auf die Sicherheitsmechanismen des SAP Frameworks gesetzt wird und die Entwickler keine Fehler machen. Und weil sie eben doch Fehler machen, ist es wichtig einen gut durchdachten Entwicklungsprozess zu haben, der Fehler vermeidet, Sicherheitslücken aufdeckt und qualitativ hochwertigen Code erzeugt.
Wie gefährdet sehen Sie sich und ihre Systeme? Hat sich die Bedeutung und vielleicht auch das Budget für Sicherheit in Ihrem Unternehmen in den letzten Jahren erhöht? Ich freue mich auf Ihre Erfahrungen.