Wieso SAP-Sicherheit mehr ist als der Einkauf von Sicherheits-Tools
28 März, 2022
Die Notwendigkeit von SAP-Sicherheit ist derzeit in aller Munde. Dafür gibt es mehrere Gründe: Zum einen hat die stark steigende Zahl von Cyberangriffen das übergreifende Thema Security Information and Event Management (SIEM) verstärkt ins Bewusstsein der Unternehmen katapultiert und verdeutlicht, dass Schwächen bei der IT-Sicherheit existenzbedrohend sein können. Zum anderen befinden sich viele Unternehmen aktuell in einem Transformationsprozess – insbesondere die Umstellung auf S/4HANA steht aktuell bei vielen auf der Agenda. In diesem Zusammenhang sind die Unternehmen gezwungen, die Sicherheit der SAP-Systeme neu zu denken.
Fest steht: SAP-Systeme sind für viele Unternehmen das Rückgrat ihres täglichen Geschäftsbetriebs. Sicherheit in SAP-Umgebungen ist komplex und die Auswahl der angebotenen Tools groß. Die PwC-Expert:innen geben einen Überblick, worauf es bei der Absicherung von SAP-Landschaften ankommt – und wieso zur SAP-Sicherheit mehr gehört als der Einkauf von Tools.
Das Wichtigste in 30 Sekunden
- SAP-Systeme sind hochkomplex. Um diese abzusichern, reichen herkömmliche IT-Sicherheitslösungen nicht aus, weil sie die einzelnen Komponenten isoliert betrachten.
- Unternehmen müssen die Sicherheit von SAP-Systemen ganzheitlich betrachten, das heißt nicht nur auf allen technischen Ebenen, sondern auch organisatorisch.
- SAP-Sicherheit hängt von drei Erfolgsfaktoren ab: Die Sicherheitsmaßnahmen sollten erstens effizient und effektiv sein, sich zweitens aber auch an Bedarf und Risiko orientieren. Nicht zuletzt kommt es darauf an, die eigene Organisation zu befähigen, die Sicherheitsmaßnahmen aufrechtzuerhalten und weiterzuentwickeln.
- Die technischen Sicherheitsmaßnahmen werden zwar seitens der IT implementiert, aber es ist Aufgabe des Business, den Grad der Sicherheit festzulegen.
- Welche SAP-Sicherheitslösungen zu einem Unternehmen passen, lässt sich nicht pauschal sagen. Das hängt von den individuellen Gegebenheiten und den Zielen der jeweiligen Organisation ab.
Ihr Experte für Fragen
Daniel Peisker
Senior Manager Cyber Security & Privacy bei PwC Deutschland
E-Mail
Der Blick auf das große Ganze ist entscheidend
SAP-Umgebungen sind äußerst komplex. Sie sind in der Lage, sich mit einer Vielzahl von Technologien zu verknüpfen, um einen Geschäftsprozess vollumfänglich zu unterstützen. Je komplexer eine SAP-Landschaft ist und je stärker sie auf das individuelle Unternehmen zugeschnitten ist, desto verwundbarer kann sie werden. Beim Schutz der SAP-Systeme kommt es deshalb darauf an, die Abhängigkeiten zu verstehen und sie entsprechend zu adressieren.
SAP-Sicherheit funktioniert nur, wenn Sie Ihre Spezialist:innen mit klaren Rollen und Verantwortlichkeiten zusammenbringen und die Grundlage für einen strukturierten sowie risikobasierten Ansatz schaffen.
Dabei genügt es nicht, einzelne Sicherheitsmaßnahmen zu entwerfen, die zu einem bestimmten Zeitpunkt Schwachstellen beheben. Die eigentliche Herausforderung besteht darin, ein angemessenes Sicherheitsniveau dauerhaft aufrecht zu erhalten. Somit erhalten die Fragestellungen rund um Organisation, Governance, Risk und Compliance eine besondere Bedeutung, um die notwendigen SAP-Sicherheitsaktivitäten ableiten, priorisieren und koordiniert durchführen zu können.
Worauf es bei der Auswahl geeigneter Tools ankommt
Die Absicherung der technisch komplexen SAP-Umgebungen erfordert in der Regel zusätzlich eine (teilweise) automatisierte Unterstützung. Unternehmen müssen sich jedoch die Frage stellen, ob die SAP-Sicherheitslösungen, die sie bereits im Einsatz haben oder deren Kauf erwogen wird, alles abdecken, was sie brauchen.
Vorsicht: Ein punktueller und unkoordinierter Einsatz von Sicherheits-Tools führt zu Fehlallokationen der Sicherheitsinvestitionen und einem Sicherheits-Flickenteppich.
Und das hat Folgen: Die Effektivität der Sicherheitsmaßnahmen sinkt – und damit auch das Sicherheitsniveau.
SAP-spezifische Sicherheitslösungen gibt es viele. Doch welche Lösung ist am besten geeignet? Das lässt sich nicht pauschal sagen, denn es hängt davon ab, was ein Unternehmen damit erreichen möchte. Nicht jedes Tool deckt alle Bereiche der SAP-Sicherheit gleichermaßen ab. Umso wichtiger ist es, die eigenen Fähigkeiten und Bedürfnisse genau zu analysieren und Prioritäten zu setzen. Dabei hilft es, im Vorfeld die richtigen Fragen zu stellen.
Das Business legt den Grad der Sicherheit fest
Die technischen Sicherheitsmaßnahmen werden zwar seitens der IT implementiert, aber es ist schlussendlich die Aufgabe des Business, Schwerpunkte zu setzen und den Grad der Sicherheit festzulegen.
Der Grund: Letztlich schaden Sicherheitsvorfälle immer dem Business und nicht der IT. So wirken sich Sicherheitsvorfälle auf die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten aus, die für die Geschäftsprozesse wichtig sind. Beispielsweise kann die Verschlüsselung von Daten durch Ransomware zu einem Zusammenbruch der Lieferketten führen und dem Unternehmen hohe finanzielle Schäden zufügen.
Das Business trägt also das Risiko und muss deshalb letztlich darüber entscheiden, ob es in einer solchen Situation auf einen Tag, eine Stunde oder wenige Minuten ankommt. Folglich müssen diejenigen, die für die Geschäftsprozesse verantwortlich sind, das Sicherheitsniveau festlegen.
Wie wir Sie unterstützen können
Als PwC-Expert:innen betrachten wir die Sicherheit von SAP-Systemen ganzheitlich, also sowohl auf der technischen als auch auf der organisatorischen Ebene. Wir stellen durch unsere Unterstützung sicher, dass die Sicherheit auch dauerhaft aufrechterhalten werden kann. Deshalb legen wir den Schwerpunkt auf Handhabbarkeit, Risikoorientierung und Befähigung der Organisation zum eigenständigen Betrieb der Sicherheitsmaßnahmen.
Durch unsere umfassende Erfahrung unterstützen wir somit nicht nur die technischen SAP-Abteilungen, sondern bringen auch die Sicherheits-, IT- und Geschäftseinheiten zusammen.
Die PwC-Expert:innen empfehlen das folgende Vorgehen
Mit dem Festlegen des Grads der notwendigen Sicherheit gehen im Umkehrschluss auch Investitions- und Betriebskosten für SAP-Sicherheitslösungen einher.
Es ist somit unabdingbar im Voraus zu ermitteln, wie
- SAP-Sicherheit in der Organisation als Ganzes aufgestellt ist,
- welche Sicherheits- und Geschäftsrisiken in der SAP-Umgebung existieren,
- welcher Handlungsbedarf hieraus resultiert und
- wie dieser zu priorisieren ist.
Dies ermöglicht nicht nur mittels eines Business Cases zu begründen, wie der Einsatz einer oder mehrerer SAP-Sicherheitslösungen zur Risikominderung beiträgt. Es ist auch ein Weg, um die eingesetzten SAP-Sicherheitslösungen basierend auf den tatsächlichen Bedürfnissen zu harmonisieren. Hierbei sollte auch beachtet werden, dass solche Lösungen nicht nur zur Risikominderung nutzenstiftend sein können, sondern auch zur erhöhten Automatisierung und Effizienzsteigerung des Sicherheitsbetriebs.
Das genannte Vorgehen gilt nicht für SAP-Sicherheitslösungen, sondern auch für jedes technische (Sicherheits-)Maßnahmenpaket. Denn jede hiervon kostet Geld. Um zu einer auf das Business abgestimmten Sicherheitsstrategie und Umsetzung zu kommen, gilt es proaktiv zu werden.
Wir unterstützen Sie dabei, Ihre SAP-Umgebung risikoorientiert und nachhaltig abzusichern. Wir helfen nicht nur, den Status quo zu erheben, sondern begleiten Sie auch beim Aufbau Ihres SAP Security Target Operating Models (TOM), Ihrer SAP Security Governance & Organisation und der technischen Absicherung und Optimierung Ihrer SAP-Umgebung.
„Die gezielte und schnelle Erkennung ungewöhnlicher Aktivitäten verringert nicht den unmittelbaren Schaden, der durch die Ausnutzung einer einzigen Schwachstelle entstehen kann.“
Contact us
