GRC-Tools, IT-Schwachstellenanalysen, Berechtigungsmanagement und SIEM-Management – das sind vier der fünf Top-Themen, wenn man IT-Entscheider nach ihren aktuellen und zukünftigen Technologien von entscheidender Bedeutung fragt.* Da kommt das neue Release der GRC-Suite „SAST“ von AKQUINET genau richtig und bietet Antworten auf einige der Themen, die IT-Entscheider derzeit beschäftigen. Lars Henning, Produktmanager der SAST SUITE bei AKQUINET, stellt im Gespräch die Highlights des neuen Releases vor und gibt daneben kleine nützliche Tipps.
Herr Henning, was sind aus Ihrer Sicht die interessantesten Neuheiten des aktuellen SAST-Release?
Lars Henning: Ich würde da gerne zwischen zwei Bereichen differenzieren. Zum einen haben wir eine Reihe optimierter Funktionen und Verbesserungen bei der Wartung, die in erster Line für die bereits aktiven Anwender unserer SAST SUITE interessant sein werden und auf der anderen Seite gibt es mit dem neuen Release zahlreiche neu eingeführte Funktionalitäten, die durchaus auch für jemanden interessant sein könnten, der unsere Suite derzeit noch nicht nutzt.
Dann kommen wir zunächst zu den komplett neuen Funktionalitäten. Welche Überraschungen hält die SAST SUITE 5.0 hier bereit?
Lars Henning: Aus meiner Sicht gibt es vier Neuerungen im aktuellen Release, die ich auf jeden Fall herausstellen möchte:
Erstens, die neue SAST-Oberfläche. Mit der optionalen Einstiegsmaske und einer prozessorientierten Menüführung finden sich jetzt Funktionen schneller, man hat alle Informationen im Überblick und bleibt durch die angezeigten Kennzahlen stets über alle relevanten Status informiert. Insbesondere der Einstieg über UseCases für Administratoren, Revisoren und Auditoren ist für mich eine sehr schöne Neuerung, die Anwendern deutlich mehr Transparenz verspricht, kürzere Wege und immer genau das im Blick, das in dem Moment für sie relevant ist.
Als zweite Neuheit ist sicherlich unser Modul „SAST Safe Go-Live Management“ zu nennen. Insgesamt haben wir damit jetzt 13 einzelne Module in unserer GRC-Suite, die sich für unsere Kunden exakt so modular einsetzen lassen, wie es für ihre individuellen Anforderungen wünschenswert ist. Das „SAST Safe Go-Live Management“ ist insbesondere für diejenigen interessant, die ein neues Berechtigungskonzept oder ein Redesign planen. Dann verkürzen wir mithilfe des Moduls die Einführung zeitlich und organisatorisch immens. Funktionieren tut das dann wie folgt: Das Benutzerverhalten der User wird bei Projektstart analysiert. Alle genutzten Berechtigungen der User werden automatisch erkannt und fließen so in das neue Konzept ein. Für die Berechtigungsumstellung wird jedem Benutzer eine Fallback-Funktion bereitgestellt, das heißt: fehlen einem Benutzer nach der Umstellung Berechtigungen, die er vor der Umstellung besessen hat, so kann er diese Fallback-Funktion aktivieren und die fehlenden Berechtigungen werden unverzüglich zur Verfügung gestellt. Der aus meiner Sicht größte Vorteil ist, dass das Tagesgeschäft unserer Kunden so völlig ungestört weiterläuft. Unsere Berater sind bei den Vorarbeiten und der Einführung eines automatisierten Berechtigungskonzepts selbstverständlich behilflich. Ich denke das Gesamtpaket wird einige Unternehmen überzeugen, sich an einen Projektstart für saubere Berechtigungen heranzuwagen, die bisher noch davor zurückschreckten.
Und als Letztes möchte ich noch zwei neue Funktionalitäten des Moduls „SAST Security Radar“ erwähnen, die es auf jeden Fall verdient haben, explizit genannt zu werden. Das ist einmal die neue Möglichkeit Userdaten zu pseudonymisieren. Einer von vielen Punkten, bei denen die SAST-SUITE bei der Einhaltung der neuen Datenschutz-Grundverordnung (DSGVO) unterstützt und hilft, Vorgaben aus dem Bundesdatenschutzgesetz (BDSG) einzuhalten. Denn durch die Pseudonymisierung lässt sich der Schutz personenbezogenen Daten maximal gewährleisten und dennoch ist es möglich, ausgewählte Mitarbeiter über ein Berechtigungsprojekt dazu zu bevollmächtigen, auch die Klartexte einzusehen.
Und die Warnungen vor komplexen Events runden aus meiner Sicht unsere neuen Funktionalitäten perfekt ab. Denn bisher haben wir jedes Event einzeln betrachtet und dessen Kritikalität bestimmt. Aber was ist, wenn einzelne Events unkritisch, deren Kombination aber wachsam machen sollte? Dafür haben wir jetzt mit dem Release 5.0 eine Lösung: ab sofort können mehrere Events über Bedingungen miteinander verknüpft werden und erzeugen so ein Event höherer Kritikalität. Wie eine hohe Anzahl gescheiterter Login-Versuche von einem und demselben Terminal oder eine hohe Anzahl von Downloads in einer definierten Zeitspanne, um hier nur zwei Beispiele zu nennen.
Und über welche optimierten Funktionen und Verbesserungen bei der Wartung können sich Anwender freuen?
Lars Henning: Ich könnte mir vorstellen, dass sich unsere Bestandskunden vor allem über drei Weiterentwicklungen freuen werden. Zum einen haben wir unsere Prozesse weiter optimiert und bieten jetzt eine vereinfachte Lizenzverteilung für die SAST-Module. Das heißt, per RFC-Anbindung können SAST-Lizenzen ab sofort auf alle angeschlossenen SAP-Systeme maschinell verteilt werden, das erspart zusätzliche Arbeitsschritte.
Daneben haben wir Erweiterungen im Umfeld Risk and Compliance Management umgesetzt. Bei einem Release-Wechsel, so wie jetzt, oder bei Auslieferung einer neuen Standard-Policy haben die Kunden jetzt die Möglichkeit zwei Policies miteinander zu vergleichen. So sehen Administratoren sofort die Unterschiede und können alle Änderungen einfach per Mausklick übernehmen. Und zur besseren Nachvollziehbarkeit protokollieren wir nun auch die Up- und Downloads von Policies. Diese Neuerung ist übrigens auf Anregung einiger Kunden entstanden, was uns immer eine besondere Freude ist.
Und die dritte hilfreiche Weiterentwicklung ist im Bereich Mitigations-Gruppen zu finden. Die neue Funktion ermöglicht es, die Zuordnung von Benutzern zu einer Gruppe künftig dynamisch per Job und damit automatisiert durchführen zu lassen. Hierfür müssen nur alle entsprechenden User einer Rolle zugeordnet sein und die manuelle Pflege der einzelnen User entfällt dann komplett. Einfacher geht es kaum.
Gibt es neben den bereits genannten Verbesserungen noch weitere Neuerungen?
Lars Henning: Auf jeden Fall. Mit dem neuen Release steht für unsere Kunden jetzt eine Zusatzfunktion zur Verfügung, für die wir bereits bei der Ankündigung im Rahmen unserer Sommerveranstaltungen sehr positives Feedback bekommen haben. Mit der „SAST Enhanced SoD-Matrix“ haben Kunden nun die Möglichkeit, ihre Funktionstrennungskonflikte in Excel zu überführen und so übersichtlich und vor allem auch für Nicht-SAP-Profis verständlich, mit Fachbereichen, dem Management oder externen Prüfer auszutauschen. Ein Übersichtsblatt zeigt dabei sämtliche Konflikte mit der entsprechenden User-Anzahl und erleichtert den Fachbereichen damit, die Risiken zu erkennen und eine Wertung vorzunehmen. Das individuelle Customizing übernehmen unsere Berechtigungs-Experten und schalten parallel die Zusatzfunktion ganz unkompliziert frei. Die ersten Kunden sind schon sehr begeistert von dieser Verbesserung für ihre internen Workflows.
Was wir für SAST 5.0 noch getan haben ist, uns erneut die reibungslose Integration unserer SUITE mit SAP NetWeaver und SAP HANA bescheinigen zu lassen sowie neu auch mit S/4 HANA. Und wir haben uns außerdem im Bereich User Access Management weiterentwickelt und bieten interessierten Unternehmen jetzt die Möglichkeit webbasierter, responsiver Darstellungen für die Genehmigung von Anträge auf mobilen Endgeräten. Wir sind also bereit für die neue Generation und für unsere Kunden schon heute bestens aufgestellt.
Können Sie uns schon einen Ausblick geben, was uns 2018 bei der SAST SUITE erwarten wird?
Lars Henning: Ich kann zumindest schon so viel verraten, dass wir unser Alleinstellungsmerkmal, mit der SAST SUITE das umfassendste Tool im Bereich Security & Compliance am Markt zu sein, weiter ausbauen wollen. Wir sind permanent dabei unsere Suite zu erweitern, um unseren Kunden auch in Zukunft „alles aus einer Hand“ bieten zu können. Da darf man gerne schon auf echte Innovationen in 2018 gespannt sein.
Welche Tipps möchten Sie Kunden gerne noch mit auf den Weg geben?
Lars Henning: Es ist schon lange kein Geheimtipp mehr, aber man kann es dennoch nicht oft genug wiederholen: Das Thema Security & Compliance gehört in die Hände von Experten und sollte nicht von einem Mitarbeiter „mal so nebenbei“ mit betrachtet werden müssen. Die öffentlich gewordenen Hackerangriffe und Datenlecks in den letzten Jahren haben gezeigt, dass die Absicherung von IT-Systemen zu den existenziellen Themen jedes Unternehmens gehören. Daher kann ich nur den Tipp geben, GRC-Fragestellungen direkt in Projektvorlagen mit aufzunehmen. Das sollte so selbstverständlich auf einer Agenda stehen wie das Projekt-Kickoff.
Mein zweiter Tipp: Software-Updates von Anbietern wahrnehmen! Es ist erschreckend wie häufig wir veraltete Software bei Unternehmen vorfinden und damit ungeschützte, bekannte Schwachstellen, die sogar schon bei Google zu finden sind. Da muss man nicht einmal ins Visier eines Top-Hackers geraten und es kann brenzlig werden.
Und mein letzter Tipp ist der aktive Austausch mit anderen Unternehmen. So erkennt man am schnellsten, welche Lösungen andere bereits für sich gefunden haben und kann Fehler ggf. vermeiden. Eine Möglichkeit hierfür sind unsere Veranstaltungen, in denen Kunden regelmäßig Best Practice Cases vorstellen und viel aktives Networking betrieben wird oder auch unsere Webinare, die immer die Möglichkeit für persönlichen Frage geben.
Vielen Dank für das Gespräch und die informativen Einblicke, Herr Henning.
Lars Henning (Produktmanager SAST SUITE, AKQUINET)
Die Security & Compliance Möglichkeiten unserer SAST SUITE interessieren Sie? Dann nehmen Sie Kontakt zu uns auf: sast@akquinet.de