SAP Security

Tobias Harmes

25. September 2024

Was ist SAP Security? – Grundlagen

SAP Security schützt SAP-Systeme vor unberechtigtem Zugriff und Bedrohungen. Dazu gehören die Sicherung sensibler Daten, die Überwachung geschäftskritischer Prozesse und die Gewährleistung der Sicherheit von Unternehmensinformationen. Sicherheitslücken entstehen oft durch Fehler in der Software oder in der Konfiguration. Unternehmen müssen daher Updates einspielen und ihre Konfiguration regelmäßig überprüfen.

Ein standardisiertes Berechtigungskonzept verhindert, dass jemand ohne Erlaubnis auf Programme, Transaktionen und Dienste zugreift. Überwachungs- und Monitoring-Tools helfen dabei, ungewöhnliche Aktivitäten frühzeitig zu erkennen. Zudem sollten eigene Entwicklungen regelmäßig auf Schwachstellen geprüft werden. SAP Security ist daher ein wichtiger Teil der IT-Sicherheitsstrategie eines Unternehmens.

Webinar: SAP Security: Tipps und Tricks für den Einstieg

In diesem Webinar werden wir Ihnen Tipps und Tricks zum Einstieg in die SAP Security geben, damit Sie die Sicherheit Ihrer SAP-Landschaft verbessern können. Das Webinar eignet sich für Sie, wenn Sie grundlegendes Wissen für das Thema SAP Security aufbauen möchten, z. B. weil SAP neu eingeführt worden ist oder SAP Security in Ihren Verantwortungsbereich gerückt ist.

Jetzt anmelden

SAP Secure Operations Map

Die Secure Operations Map bildet die Grundlage für die SAP Security. Sie definiert die wichtigsten Themen und Aufgaben im Zusammenhang mit der IT-Security von SAP-Systemen. Um Non-SAP-Usern den Einstieg in das Thema SAP Security zu erleichtern, wurde die Secure Operations Map auf das NIST Cybersecurity Framework gemappt:

1. Environment Layer: Fokussiert auf die technische Infrastruktur, einschließlich Netzwerk-, Betriebssystem- und Datenbanksicherheit.
2. System Layer: Beinhaltet Steuerelemente wie Autorisierungstools zur Sicherung der Anwendungsebene.
3. Anwendungs-Layer: Konzentriert sich auf Schutzmaßnahmen in Standard- und benutzerdefinierten Anwendungen.
4. Prozess Layer: Sorgt für die Einhaltung gesetzlicher Vorschriften und das richtige Anwendungsverhalten.
5. Organisationsschicht: Beinhaltet Aspekte wie Sicherheitsbewusstsein, Compliance und Risikomanagement.

Komponenten der SAP Security

Eine umfassende SAP-Sicherheitslösung sollte vier Hauptbereiche abdecken:

1. Patch-Verwaltung → Regelmäßige Updates und Patches schließen Sicherheitslücken und schützen das System vor bekannten Schwachstellen.
2. Analyse unsicherer Systemkonfigurationen → Durch kontinuierliche Überprüfung und Optimierung der Systemkonfiguration lassen sich potenzielle Risiken minimieren.
3. Erkennung von Angriffen → Echtzeit-Monitoring und Anomalie-Erkennung helfen, schädliche Aktivitäten frühzeitig zu erkennen und zu verhindern.
4. Analyse kundeneigener Programmierung → Eigene Entwicklungen sollten regelmäßig auf Schwachstellen geprüft werden, um Sicherheitslücken zu vermeiden.

SAP GRC und Cybersecurity

SAP Governance, Risk and Compliance (GRC) umfasst Module wie Zugriffskontrolle, Prozesskontrolle und Risikomanagement. Diese Module unterstützen bei der Überwachung von Regulierungen, Compliance und Risiken in Geschäftsprozessen. Allerdings reicht GRC allein nicht aus, um alle Cybersicherheitsanforderungen zu erfüllen. Daher hat SAP sein Angebot um Echtzeit-Bedrohungserkennung, sichere Konfiguration und Schutz vor Datendiebstahl erweitert.

Einzellösungen vs. Plattformen

SAP Cybersecurity Tools sind entweder als Einzellösungen oder als umfassende Plattformen erhältlich. Einzellösungen konzentrieren sich auf spezifische Bereiche, während Plattformen einen integralen Ansatz verfolgen. Plattformen bieten eine zentrale Basiskonfiguration, auf der die Sicherheitsanwendungen aufbauen. Dies reduziert den Wartungsaufwand und ermöglicht eine integrierte Sicht auf sicherheitsrelevante Informationen.

Absicherung eines SAP-Systems

Die Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationsbeständen eines Unternehmens im SAP-System erfordert die Überprüfung bzw. Sicherstellung diverser Komponenten und Konzepte des SAP-Systems:

• Berechtigungskonzept: Ein standardisiertes Berechtigungskonzept schützt Programme, Transaktionen und Dienste vor unbefugtem Zugriff.
• Security Patch Day: Am zweiten Dienstag jedes Monats veröffentlicht SAP Sicherheitspatches. Unternehmen sollten diese Patches zeitnah einspielen, um ihre Systeme zu schützen.
• Standardbenutzer und -passwörter: Standardbenutzer und -passwörter, die während der Systeminstallation erstellt werden, müssen geändert werden, um Sicherheitsverletzungen zu verhindern.
• Webapplikationen: Schutzmaßnahmen gegen Angriffe wie XSS, XXE Tunneling und SQL Injection sind unerlässlich.
• SAP Gateway: Sichert die Verbindung von Geräten und Plattformen zum SAP-System.
• Message Server: Schützt die Kommunikation zwischen Anwendungsservern vor unerlaubtem Zugriff.

SAP Cloud Security

Mit dem Umstieg in die Cloud steigen auch die Sicherheitsanforderungen. SAP investiert in umfassende Sicherheitsmaßnahmen, einschließlich physischer und digitaler Kontrollen, Multi-Faktor-Authentifizierung und kontinuierlichem Monitoring. Dennoch bleibt die Verantwortung für Teile der Sicherheit beim Kunden. Unternehmen müssen Compliance-Richtlinien einhalten und Berechtigungskonzepte sowie Systemüberwachung aktiv managen.

Webinar: SAP Cloud Security und Identity Management

Den Weg in die Cloud sind viele Unternehmen schon gegangen oder stehen kurz davor. Die richtige Sicherheitskonfiguration und die Verwaltung und Authentifizierung der Anwender ist dabei nicht unkompliziert. In diesem Webinar zeigen wir Ihnen, wie Sie den Weg in die Cloud nachhaltig und sicher umsetzen können.

Jetzt anmelden

Gesetzliche und normative Vorgaben

Unternehmen müssen auch gesetzliche und normative Vorgaben berücksichtigen:

• DSGVO: Die EU-Datenschutzgrundverordnung stellt hohe Anforderungen an den Datenschutz und die Datensicherheit.
• IT-Sicherheitsgesetz 2.0: Betreiber Kritischer Infrastrukturen müssen fortgeschrittene Sicherheitsmaßnahmen implementieren.
• BSI IT-Grundschutz: Das Bundesamt für Sicherheit in der Informationstechnik bietet Leitfäden für Informationssicherheit in Unternehmen und Behörden.
• ISO 27001: Diese internationale Norm legt Anforderungen für ein Informationssicherheitsmanagementsystem fest.
• NIS 2: Die EU-Richtlinie legt verbindliche Mindeststandards für die Cybersicherheit in kritischen Infrastruktursektoren fest.

SAP Security Tools

Für die SAP Security stehen verschiedene Tools zur Verfügung, die sich in folgende Bereiche gliedern:

• Identity und Access Management (IAM): Tools wie Cloud Identity Access Governance und SAP Single Sign-On.
• Konfiguration und Überwachung der Sicherheit: Tools wie SAP Enterprise Threat Detection und SAP Code Vulnerability Analyzer.
• Datenschutz und Vertraulichkeit: Tools wie SAP Data Custodian und SAP Privacy Governance.
• Governance, Risikomanagement und Compliance (GRC): Tools wie SAP Risk Management und SAP Process Control.

Fazit

SAP Security ist unerlässlich für jedes Unternehmen, das SAP-Systeme nutzt. Sicherheitsrisiken entstehen sowohl durch Softwarefehler als auch durch Fehlkonfigurationen.

Eine umfassende Sicherheitsstrategie muss daher verschiedene Ebenen abdecken, von der Netzwerksicherheit bis hin zur Schulung der Mitarbeiter. Ein standardisiertes Berechtigungskonzept, regelmäßige Security Patches und eine sorgfältige Verwaltung von Benutzerzugängen sind entscheidend, um die Integrität und Vertraulichkeit der Daten zu sichern.

Die SAP Secure Operations Map bietet eine strukturierte Anleitung, um diese Herausforderungen zu meistern, während gesetzliche und normative Vorgaben zusätzliche Rahmenbedingungen setzen. Im Kontext der Cloud-Sicherheit ist es zudem essenziell, dass Unternehmen eine aktive Rolle bei der Sicherung ihrer SAP-Systeme übernehmen, trotz der robusten Sicherheitsinfrastruktur der SAP-Cloud.