mindsquare.de durchsuchen

SAP Security

Sie brauchen einen SAP Security Berater und/oder möchten, dass wir Ihnen unser Angebot in diesem Umfeld vorstellen?

Tobias Harmes
25. September 2024

Durch Softwaremängel, Fehlkonfigurationen oder unberechtigte Zugriffe stehen SAP-Systeme ständig unter Bedrohung. Die daraus resultierenden Risiken zu beseitigen bzw. zu minimieren, ist die Aufgabe der SAP Security.

Was ist SAP Security? – Grundlagen

SAP Security schützt SAP-Systeme vor unberechtigtem Zugriff und Bedrohungen. Dazu gehören die Sicherung sensibler Daten, die Überwachung geschäftskritischer Prozesse und die Gewährleistung der Sicherheit von Unternehmensinformationen. Sicherheitslücken entstehen oft durch Fehler in der Software oder in der Konfiguration. Unternehmen müssen daher Updates einspielen und ihre Konfiguration regelmäßig überprüfen.

Ein standardisiertes Berechtigungskonzept verhindert, dass jemand ohne Erlaubnis auf Programme, Transaktionen und Dienste zugreift. Überwachungs- und Monitoring-Tools helfen dabei, ungewöhnliche Aktivitäten frühzeitig zu erkennen. Zudem sollten eigene Entwicklungen regelmäßig auf Schwachstellen geprüft werden. SAP Security ist daher ein wichtiger Teil der IT-Sicherheitsstrategie eines Unternehmens.

In diesem Webinar werden wir Ihnen Tipps und Tricks zum Einstieg in die SAP Security geben, damit Sie die Sicherheit Ihrer SAP-Landschaft verbessern können. Das Webinar eignet sich für Sie, wenn Sie grundlegendes Wissen für das Thema SAP Security aufbauen möchten, z. B. weil SAP neu eingeführt worden ist oder SAP Security in Ihren Verantwortungsbereich gerückt ist.

SAP Secure Operations Map

Die Secure Operations Map bildet die Grundlage für die SAP Security. Sie definiert die wichtigsten Themen und Aufgaben im Zusammenhang mit der IT-Security von SAP-Systemen. Um Non-SAP-Usern den Einstieg in das Thema SAP Security zu erleichtern, wurde die Secure Operations Map auf das NIST Cybersecurity Framework gemappt:

  1. Environment Layer: Fokussiert auf die technische Infrastruktur, einschließlich Netzwerk-, Betriebssystem- und Datenbanksicherheit.
  2. System Layer: Beinhaltet Steuerelemente wie Autorisierungstools zur Sicherung der Anwendungsebene.
  3. Anwendungs-Layer: Konzentriert sich auf Schutzmaßnahmen in Standard- und benutzerdefinierten Anwendungen.
  4. Prozess Layer: Sorgt für die Einhaltung gesetzlicher Vorschriften und das richtige Anwendungsverhalten.
  5. Organisationsschicht: Beinhaltet Aspekte wie Sicherheitsbewusstsein, Compliance und Risikomanagement.

Komponenten der SAP Security

Eine umfassende SAP-Sicherheitslösung sollte vier Hauptbereiche abdecken:

  1. Patch-Verwaltung → Regelmäßige Updates und Patches schließen Sicherheitslücken und schützen das System vor bekannten Schwachstellen.
  2. Analyse unsicherer Systemkonfigurationen → Durch kontinuierliche Überprüfung und Optimierung der Systemkonfiguration lassen sich potenzielle Risiken minimieren.
  3. Erkennung von Angriffen → Echtzeit-Monitoring und Anomalie-Erkennung helfen, schädliche Aktivitäten frühzeitig zu erkennen und zu verhindern.
  4. Analyse kundeneigener Programmierung → Eigene Entwicklungen sollten regelmäßig auf Schwachstellen geprüft werden, um Sicherheitslücken zu vermeiden.

SAP GRC und Cybersecurity

SAP Governance, Risk and Compliance (GRC) umfasst Module wie Zugriffskontrolle, Prozesskontrolle und Risikomanagement. Diese Module unterstützen bei der Überwachung von Regulierungen, Compliance und Risiken in Geschäftsprozessen. Allerdings reicht GRC allein nicht aus, um alle Cybersicherheitsanforderungen zu erfüllen. Daher hat SAP sein Angebot um Echtzeit-Bedrohungserkennung, sichere Konfiguration und Schutz vor Datendiebstahl erweitert.

Einzellösungen vs. Plattformen

SAP Cybersecurity Tools sind entweder als Einzellösungen oder als umfassende Plattformen erhältlich. Einzellösungen konzentrieren sich auf spezifische Bereiche, während Plattformen einen integralen Ansatz verfolgen. Plattformen bieten eine zentrale Basiskonfiguration, auf der die Sicherheitsanwendungen aufbauen. Dies reduziert den Wartungsaufwand und ermöglicht eine integrierte Sicht auf sicherheitsrelevante Informationen.

Absicherung eines SAP-Systems

Die Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationsbeständen eines Unternehmens im SAP-System erfordert die Überprüfung bzw. Sicherstellung diverser Komponenten und Konzepte des SAP-Systems:

  • Berechtigungskonzept: Ein standardisiertes Berechtigungskonzept schützt Programme, Transaktionen und Dienste vor unbefugtem Zugriff.
  • Security Patch Day: Am zweiten Dienstag jedes Monats veröffentlicht SAP Sicherheitspatches. Unternehmen sollten diese Patches zeitnah einspielen, um ihre Systeme zu schützen.
  • Standardbenutzer und -passwörter: Standardbenutzer und -passwörter, die während der Systeminstallation erstellt werden, müssen geändert werden, um Sicherheitsverletzungen zu verhindern.
  • Webapplikationen: Schutzmaßnahmen gegen Angriffe wie XSS, XXE Tunneling und SQL Injection sind unerlässlich.
  • SAP Gateway: Sichert die Verbindung von Geräten und Plattformen zum SAP-System.
  • Message Server: Schützt die Kommunikation zwischen Anwendungsservern vor unerlaubtem Zugriff.

SAP Cloud Security

Mit dem Umstieg in die Cloud steigen auch die Sicherheitsanforderungen. SAP investiert in umfassende Sicherheitsmaßnahmen, einschließlich physischer und digitaler Kontrollen, Multi-Faktor-Authentifizierung und kontinuierlichem Monitoring. Dennoch bleibt die Verantwortung für Teile der Sicherheit beim Kunden. Unternehmen müssen Compliance-Richtlinien einhalten und Berechtigungskonzepte sowie Systemüberwachung aktiv managen.

Den Weg in die Cloud sind viele Unternehmen schon gegangen oder stehen kurz davor. Die richtige Sicherheitskonfiguration und die Verwaltung und Authentifizierung der Anwender ist dabei nicht unkompliziert. In diesem Webinar zeigen wir Ihnen, wie Sie den Weg in die Cloud nachhaltig und sicher umsetzen können.

Gesetzliche und normative Vorgaben

Unternehmen müssen auch gesetzliche und normative Vorgaben berücksichtigen:

  • DSGVO: Die EU-Datenschutzgrundverordnung stellt hohe Anforderungen an den Datenschutz und die Datensicherheit.
  • IT-Sicherheitsgesetz 2.0: Betreiber Kritischer Infrastrukturen müssen fortgeschrittene Sicherheitsmaßnahmen implementieren.
  • BSI IT-Grundschutz: Das Bundesamt für Sicherheit in der Informationstechnik bietet Leitfäden für Informationssicherheit in Unternehmen und Behörden.
  • ISO 27001: Diese internationale Norm legt Anforderungen für ein Informationssicherheitsmanagementsystem fest.
  • NIS 2: Die EU-Richtlinie legt verbindliche Mindeststandards für die Cybersicherheit in kritischen Infrastruktursektoren fest.

SAP Security Tools

Für die SAP Security stehen verschiedene Tools zur Verfügung, die sich in folgende Bereiche gliedern:

Fazit

SAP Security ist unerlässlich für jedes Unternehmen, das SAP-Systeme nutzt. Sicherheitsrisiken entstehen sowohl durch Softwarefehler als auch durch Fehlkonfigurationen.

Eine umfassende Sicherheitsstrategie muss daher verschiedene Ebenen abdecken, von der Netzwerksicherheit bis hin zur Schulung der Mitarbeiter. Ein standardisiertes Berechtigungskonzept, regelmäßige Security Patches und eine sorgfältige Verwaltung von Benutzerzugängen sind entscheidend, um die Integrität und Vertraulichkeit der Daten zu sichern.

Die SAP Secure Operations Map bietet eine strukturierte Anleitung, um diese Herausforderungen zu meistern, während gesetzliche und normative Vorgaben zusätzliche Rahmenbedingungen setzen. Im Kontext der Cloud-Sicherheit ist es zudem essenziell, dass Unternehmen eine aktive Rolle bei der Sicherung ihrer SAP-Systeme übernehmen, trotz der robusten Sicherheitsinfrastruktur der SAP-Cloud.

Verwandte Know-Hows

Zugriffsmöglichkeiten und Berechtigungen werden im SAP Berechtigungskonzept festgelegt und kontrolliert. Wie sicher Geschäftsdaten in SAP sind, hängt maßgeblich an der Vergabe von Berechtigungen und Zugriffsmöglichkeiten der Benutzer eines Unternehmens. 
Remote-Function-Call-Schnittstellen (RFC) für die Kommunikation zwischen SAP-Systemen und einem SAP- und Nicht-SAP-System sind ein unterschätztes Sicherheitsrisiko. Abhilfe schafft unter anderem die restriktive Vergabe von RFC-Berechtigungen.
SAP Identity Management (IdM) ist ein System, das zur zentralisierten Verwaltung von Benutzern und SAP Berechtigungen im Unternehmen dient.

Passende Angebote zum Thema

Unternehmensspionage ist eine reale Gefahr. Wollen Sie erfahren, wo Ihre Verteidigung Lücken hat? Steht eine Revision bevor & wollen Sie sicher sein, alle Auflagen zu erfüllen? Unser SAP Security Fortress […]
Wir gut ist Ihr System wirklich aufgestellt? Welche versteckten Sicherheitsrisiken lauern in Ihrer IT? Stellen Sie sich unserem Sicherheitscheck, um es herauszufinden!
Wir helfen Kunden mit unserem Security Check/Security Audit dabei, Schwachstellen im Berechtigungskonzept aufzudecken sowie den allgemeinen sicherheitstechnischen Stand Ihres Systems zu prüfen und liefern dazu konkrete Lösungsvorschläge. Dadurch können Sie […]
Kontakt aufnehmen
Ansprechpartner
Laura Feldkamp mindsquare Kundenservice
Laura Feldkamp Kundenservice