Fehlerhafte Parametereinstellungen in SAP, dem Betriebssystem oder der Datenbank führen häufig zu schwerwiegenden Sicherheitsmängeln. Viele Unternehmen, die eine zentrale Prüfpolicy als Dokument entwickelt haben, stehen vor denselben Herausforderungen. Häufig werden Parameterwerte noch manuell und sehr zeitintensiv mit den Soll-Vorgaben abgeglichen. Diese Vorgehensweise ist schon bei einem einzelnen System sehr aufwendig, der Abgleich einer ganzen Systemlandschaft ist denkbar anspruchsvoller. Ein zentrales Monitoring mit automatisierter Lösung spart Ressourcen und erhöht gleichzeitig die IT-Sicherheit.
Weltweiter Gas-Anlagenbauer LINDE ändert seine Prozesse
LINDE, ein weltweites Technologie-Unternehmen mit dem Fokus auf Gase und Prozess-Anlagen, verfügt über eine große Systemlandschaft mit ca. 60 SAP-Produktivsystemen weltweit. Verschiedene externe Dienstleister verwalteten die Systeme operativ und das IT Security Management wurde sowohl zentral als auch dezentral betrieben. Hierfür waren globale und für alle Systeme gültige IT Security Policies definiert, deren Prüfung auf Einhaltung jedoch extrem zeitaufwändig war. Die Gefahr bestand darin, dass Schwachstellen im System möglicherweise zu spät erkannt werden. Aus diesem Grund strebte das Unternehmen an, die Prüfungen zu zentralisieren und auch zu automatisieren.
Das Ziel: Zentrales Monitoring mit detailliertem Überblick auf die gesamte SAP-Systemlandschaft
Eine automatisierte Lösung, in kurzer Frequenz angewendet und möglichst die gesamte Systemlandschaft abdeckend, spart Ressourcen und erhöht gleichzeitig die Sicherheit, da Schwachstellen unmittelbar auffallen. Schnell stellte sich bei LINDE heraus, dass hierzu eine geeignete Softwarelösung benötigt wird.
Die Softwarelösung sollte vielfältige Funktionen bieten, um die Sicherheit von SAP-Systemen zu analysieren und zu erhöhen. Ziel war es, fehlerhafte Parametereinstellungen in SAP, dem Betriebssystem oder der Datenbank systematisch aufzudecken. Die Auswertungen sollten aus einem Zentralsystem heraus für alle angebundenen Systeme periodisch automatisiert erfolgen, um alle Einstelllungen zentral im Blick zu behalten – damit zu jeder Zeit Transparenz über die Gefährdungslage besteht und die Reaktionszeit bei aufkommenden Schwachstellen minimiert wird.
Automatisierung der Prüfung mit Hilfe der SAST SUITE
LINDE entschied sich genau für diesen Ansatz: der Zentralisierung auf dem Solution Manager und für die Automatisierung der Prüfung mittels SAST SUITE.
Die SAST SUITE ermöglicht eine automatisierte Policy Prüfung, mit der der interne Revisor die gefundenen Risiken unmittelbar bewerten kann. Sollten sich bei der Bewertung wichtige Erkenntnisse ergeben, so können diese direkt an das Risiko „angeheftet“ werden. Ändert der zuständige Revisor beispielsweise den Status einer gefundenen Bedrohung auf „mitigiert“, so deutet dies auf die Akzeptanz des Risikos oder einen Kontrollmechanismus (z.B. ein Genehmigungsprozess oder eine Firewall im Netzwerk) hin, der die Bedrohung mildert.
Ein weiterer Vorteil für LINDE: es gibt nun eine detaillierte Beschreibung mit Lösungsansätzen zu jeder Gefährdung. Die Einsicht und Bearbeitung der Risikoauswertung ist dabei auf Personenkreise eingrenzbar. So können beispielsweise die Datenbankadministratoren nur die sie betreffenden Risiken sehen und bearbeiten.
Mit der Installation der SAST SUITE wird sowohl eine umfassende Prüfpolicy, welche den allgemeinen Prüfstandards folgt, als auch der DSAG-Prüfleitfaden als Vorlage mitgeliefert. LINDE verwendete diesen Standard als Basis für die Erstellung einer individuellen Prüfpolicy.
Der DSAG-Prüfleitfaden umfasst folgende Struktur:
Die Vorteile für LINDE: Analyse und Echtzeitüberwachung aller Risiken
Mit Hilfe der SAST SUITE ist es LINDE gelungen, sein IT Security Management neu aufzustellen. Er besteht nun die Möglichkeit, auf Knopfdruck einen Check über alle Risiken in allen Systemen durchzuführen. Darüber hinaus konnte das Unternehmen mit der SAST SUITE eine Echtzeitüberwachung aller Bedrohungen etablieren. Abweichungen von der definierten Policy werden somit umgehend aufgedeckt.
„Die Erfahrung der SAP-Berater des SAST-Teams bei der Analyse von Security-Events und der Untersuchung kritischer Ereignisse hat uns immens unterstützt“, erläutert Klaus Brenk, Head of Monitoring, QA & Governance der Linde Group. „Und nicht zuletzt war es auch eine sehr angenehme und vertrauensvolle Zusammenarbeit.“
Zentrales Monitoring Ihrer SAP-Systemeinstellungen – Nutzen auch Sie die folgenden Vorteile:
- Systemübergreifende und automatisierte Auswertung von Risiken
- Zustand Ihrer globalen kritischen Systemeinstellungen auf einen Blick
- Direktes Erkennen von Abweichungen von definierten Standards
- Kommentieren von Risikostatus durch ausgewählte Verantwortlichkeiten möglich
- Definieren von Risikoverantwortlichkeiten
- Vergleichbarkeit von Prüfperioden
- Schnelle Verbesserung des Sicherheitsstandards durch vorgefertigte Policies
Wenn Sie mehr über das zentrale Monitoring mit Echtzeitüberwachung herausfinden möchten, besuchen Sie unsere Website oder schreiben Sie uns.
Außerdem empfehlen wir Ihnen unser Webinar „Wie Linde Sicherheitsvorfälle in ihren SAP-Systemen erkennt und nachverfolgt“, fordern Sie gleich den Zugangslink zur Webinar-Aufzeichnung an.
Thomas Tenberge (SAP Security Consultant, SAST SOLUTIONS)
Über LINDE
Linde ist ein weltweit führender Technologiekonzern, der in den Bereichen Industriegase und Engineering in über 100 Ländern tätig ist. Im Oktober 2018 schlossen sich die amerikanische Praxair Inc. und die deutsche Linde AG zusammen und gründeten die Linde plc. Im darauffolgenden Jahr erwirtschaftete LINDE einen Umsatz von 28 Milliarden US-Dollar (25 Milliarden Euro). Das Unternehmen bedient eine Vielzahl von Endmärkten wie Chemie & Raffinerie, Lebensmittel & Getränke, Elektronik, Gesundheitswesen, Fertigung und Primärmetalle. Lindes Industriegase werden in unzähligen Anwendungen eingesetzt, von lebensrettendem Sauerstoff für Krankenhäuser über Spezialgase für die Elektronikfertigung bis hin zu Wasserstoff für saubere Kraftstoffe. Darüber hinaus liefert Linde hochmoderne Lösungen für die Gasverarbeitung, um Kunden bei der Expansion, Effizienzsteigerung und Emissionsreduzierung zu unterstützen. Die Strategie der Linde Group ist dabei auf ertragsorientiertes und nachhaltiges Wachstum ausgerichtet.
Internetseite: www.linde.com
Weitere Beiträge zum Thema:
Warum es wichtig ist, Transaktionen in SAP-Systemen zuverlässig zu überwachen
SAP Security Audit Log – Empfehlungen für ein optimales Monitoring