SAP-Sicherheit in Hyperscaler-Umgebungen
12 April, 2021
Unternehmen entscheiden sich beim Betrieb ihrer SAP-Landschaften immer häufiger dafür, auf Cloud-Umgebungen zurückzugreifen. Dabei liegt es nahe, die Cloud-Infrastrukturen der Big Player (z. B. Microsoft Azure, AWS) zu verwenden – sog. Hyperscaler. Diese Hyperscaler stellen in der Regel eine standardisierte bzw. für SAP ausgelegte Infrastruktur zur Verfügung, um die Rechenzentren auslagernder Unternehmen zu erweitern oder zu ersetzen.
Dabei bleibt oftmals unberücksichtigt, dass in einem solchen Modell der Hyperscaler zwar die Infrastruktur bereitstellt, aber in der Regel keine Verantwortung für die darauf betriebenen Anwendungen und Komponenten übernimmt. Die Sicherheit der auf der Infrastruktur eines Hyperscalers betriebenen SAP-Umgebung müssen die Unternehmen weiterhin selbst in die Hand nehmen.
Das Wichtigste in 30 Sekunden
- Es ist ein häufiger Trugschluss, dass bei der zunehmend verbreiteten Auslagerung von SAP-Systemen – insbesondere auf Hyperscalern – sämtliche Sicherheitsaufgaben durch den Provider erfüllt werden.
- Weder kann ein Cloud-Provider dieser Anforderung umfassend gerecht werden, noch ist es seine Aufgabe, die in der Cloud-Infrastruktur betriebenen Anwendungen zu sichern.
- Durch dieses Missverständnis entstehen zum Teil erhebliche Sicherheitslücken.
- Für eine angemessene Sicherheit der Gesamtumgebung müssen der Schutzbedarf ermittelt, Anforderungen definiert und die Aufteilung der Verantwortlichkeiten für die Umsetzung festgelegt werden.
- Unbeschadet dessen steht das auslagernde Unternehmen auch in der Verantwortung, die Erfüllung der Sicherheitsanforderungen durch den Cloud-Provider zu überwachen.
Nehmen Sie Ihre SAP-Sicherheit selbst in die Hand
Es liegt an Ihnen, dafür zu sorgen, dass Ihre SAP-Systeme dauerhaft und in ausreichendem Maße geschützt sind. Denn letztendlich ist es Ihr Unternehmen, dass unter den Folgen von Sicherheitsvorfällen leidet. Dies ist ein komplexes aber notwendiges Unterfangen, für das zu Beginn einige folgende grundlegende Überlegungen angestellt werden müssen:
- Legen Sie Verantwortlichkeiten fest!
Machen Sie sich klar, für welche Ebenen und Aufgaben der Cloud-Provider die Verantwortung trägt und für welche nicht. Letztere müssen durch eine effektive Organisation in Ihrem Unternehmen abgebildet werden.
- Machen Sie sich klar, was überhaupt geschützt werden muss!
Welche Bestandteile der SAP-Umgebung sollen in der Cloud betrieben werden? Welche Daten speichere ich in der Cloud? Wie wichtig sind die SAP-Systeme und Daten für die Geschäftsprozesse? Welcher Schaden entstünde bei einem Ausfall der Systeme, einem Verlust der Daten o.ä.? Dies sind nur einige der Fragen, die es zur Festlegung des Schutzbedarfs zu beantworten gilt.
Dies kann keine Aufgabe des Cloud-Providers sein: Den Wert und den Schutzbedarf kann nur das Unternehmen ermitteln, um dessen Daten und Geschäftsprozesse es geht.
- Koordinieren Sie Sicherheitsmaßnahmen!
Um die SAP-Systeme umfassend zu schützen müssen alle Beteiligten in ihrem Verantwortungsbereich angemessene organisatorische und technische Sicherheitsmaßnahmen einrichten und überwachen. Ihnen als Unternehmen kommt dabei nicht nur die Aufgabe zu, die Sicherheitsanforderungen zu stellen und für Ihren Verantwortungsbereich umzusetzen, sondern auch, die Einhaltung auf Seiten des Dienstleisters zu überwachen.
Unsere Experten unterstützen Sie dabei, Sicherheit für Ihre SAP-Systeme auch beim Betrieb in der Cloud zu schaffen und aufrechtzuhalten.
„Die Erwartung, dass mit einem SAP-Betrieb in der Cloud sämtliche Sicherheitsverantwortung abgegeben wird, ist ein unfehlbares Rezept für Sicherheitsschwachstellen.“
