Warum SIEM-Tools für SAP taub sind? Nicht nur für KRITIS-Betreiber bei der S/4HANA-Migration eine interessante Frage.

Ralf Kempf (SAST SOLUTIONS)Cybersecurity ist derzeit in aller Munde: Die verstärkte Nutzung externer Zugriffe auf Unternehmensnetzwerke während der Pandemie und die weitere Professionalisierung der Angreifer haben diese noch wichtiger werden lassen. In den letzten Monaten lesen wir fast täglich von Angriffen auf Unternehmen, die bis hin zu tagelangen Komplettausfällen alles erlebt haben. Was hat sich nun also bei der SAP-Sicherheit verändert, für wen ist das IT-Sicherheitsgesetz 2.0 relevant, wie berücksichtigt man das beim Umstieg auf S/4HANA und was können alle Unternehmen zur Verbesserung der SAP-Sicherheit tun?

 

Das folgende Interview zwischen Helge Sanden (Chefredakteur IT-Onlinemagazin) und Ralf Kempf (CTO SAST SOLUTIONS) ist am 7. Januar 2022 im IT-Onlinemagazin erschienen.

Herr Kempf, haben sich die Sicherheitsanforderungen in letzter Zeit verändert — und wenn ja, wie?

Mit SAP S/4HANA sind Datenbank, User Interface, Gateway, Applikationen und Berechtigungen noch enger zusammengewachsen. Der Zugriff auf wichtige Daten ist also noch einmal komplexer geworden und somit auch schwieriger zu überwachen. Entscheidend ist bei Migrationsprojekten daher, eine umfassende Security-Betrachtung und eine ganzheitliche Strategie, die alle Themen vereint.

Welche Notwendigkeit sehen Sie, Sicherheitsaspekte bereits in einer frühen Phase einer SAP S/4HANA-Umstellung zu betrachten?

Nach unseren Erfahrungen vernachlässigen leider noch immer zu viele Unternehmen, die eine Migration auf SAP S/4HANA planen, die Absicherung der neuen Systeme.

Bei einer Konvertierung ist es jedoch entscheidend, von vorneherein eine belastbare und konsistente Grundsicherheit in die Migrationsstrategie mit einzubeziehen. So vermeiden Unternehmen nicht nur die typischen Stolperfallen beim Plattformwechsel an sich, wie beispielweise das außer Acht lassen von Schnittstellen und Altsystemen, sondern auch eine zu späte Überführung der SAP-Berechtigungen.

Ob Green-, Brown- oder Bluefield – eines eint alle Ansätze: Es gilt eine Reihe grundlegender Entscheidungen bereits vor der Einführung von SAP S/4HANA zu treffen. Wir erleben oft, dass Verantwortlichen zu Projektbeginn nicht wirklich bewusst ist, welche Herausforderungen insgesamt vor ihnen liegen und das kostet später nicht nur Zeit, sondern verursacht häufig auch erhebliche Extrakosten.

Dabei bietet ein Migrationsprojekt auch die Chance, die IT-Sicherheit auf ein ganz neues Level zu heben – nämlich mit einer sauber aufgesetzten und ganzheitlichen geplanten SAP Security & Compliance-Strategie. Daher ist diese Herausforderung auch als Chance zu verstehen: die Sicherheit in SAP-Systemen zu verbessern, Rollenkonzepte effizienter zu gestalten und so das neue System mit all seinen Vorteilen nutzen zu können.

Inwiefern ist das IT-SiG für SAP-Kunden nützlich?

Für wen ist das IT-Sicherheitsgesetz 2.0 relevant?

Das ITSiG fordert von allen Betreibern kritischer Infrastrukturen ein detailliertes Business Continuity Planning und Desaster-Recovery-Szenarien. Als KRITIS-Betreiber wurden bis dato neun Sektoren mit wichtiger Bedeutung für das Gemeinwesen definiert, bei deren Beeinträchtigung nachhaltig Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit eintreten würden, also beispielweise Energieversorger, Gesundheits- und Finanzwesen oder Transport & Verkehr.

Relevant ist insbesondere, dass all diese Unternehmen ab sofort zum Einsatz von Systemen zur Anomalie und Intrusion Detection Erkennung (§8a) verpflichtet sind, das sie automatisiert und in Echtzeit über Sicherheitsausfälle informiert. Und das ist alle zwei Jahre dem BSI (Bundesamt für Sicherheit in der Informationstechnik) gegenüber nachzuweisen.

Anomalie und Intrusion Detection Systeme erkennen und konkretisieren Angriffe mithilfe von Log-Dateien und Netzwerkflüssen. Gemäß dem ITSig 2.0 müssen diese Log-Daten jedoch nicht nur aufgezeichnet, sondern auch ausgewertet werden. So sind künftig SIEM-Systeme (Security Incident and Event Management) für das schnelle Identifizieren von Cyberattacken nahezu unverzichtbar. Für die SAP-Sicherheit greift diese Überwachung jedoch zu kurz, da die speziellen SAP-Protokolle und -Auswertungen selten verstanden und folglich keine Angriffsmuster erkannt werden. Hierfür sind zusätzlich die Expertise von SAP-Sicherheitsprofis und spezielle Software erforderlich. Die SAST Suite bietet hier mit dem Modul Security Radar entsprechende SAP SIEM Monitoring Komponenten bereit.

…kann man auch Empfehlungen für Unternehmen ableiten, für die das IT-SiG nicht verpflichtend ist, die aber trotzdem einen hohen Schutzbedarf haben?

Definitiv. Die Einbindung eines professionellen SAP Security-Partners ist für alle SAP-Anwendungsunternehmen ratsam. Ganz gleich, ob im Rahmen eines S/4HANA-Projekts, zur Optimierung und Ergänzung eines bestehenden SIEM-Systems und für den klassischen Mittelstand ebenso wie für Unternehmen mit sehr vielen SAP-Systemen.

Wir sehen in der Praxis immer wieder, dass selbst Unternehmen, die hochprofessionell IT Security betreiben, die SIEM im Einsatz haben und alle Non-SAP-Bereiche par excellence beherrschen, SAP unwissentlich oder gar wissentlich ausblenden. Weil sie etwa hoffen, dass ihre SAP-Mitarbeiter das „irgendwie selbst kontrollieren“ oder auch weil nicht bekannt ist, dass es Möglichkeiten gibt, diese Lücke zu schließen. Hier muss sich so mancher CISO fragen lassen: Seid ihr sicher, dass ihr SAP auch ausreichend betrachtet? Falls nicht, führt beide Welten zusammen, denn das macht einfach Sinn.

Unsere Security-Software speist beispielsweise alle relevanten Informationen aus SAP praktisch „out of the box“ in bestehende SIEM-Systeme aller Couleur ein, macht sie auswertbar und alle sicherheitsrelevanten Vorfälle – ob in SAP ERP- oder S/4HANA-Systemen – können mit anderen IT-Systemen konsolidiert werden. So findet SAP im SIEM Gehör und Unternehmen erhalten auf Knopfdruck eine bewertete Dashboard-basierte Darstellung ihres gesamten Sicherheitsstatus. Dabei analysiert die SAST SUITE zur Gefahrenerkennung nicht nur SAP-Protokolle, sondern integriert auch Konfigurations- und Rollenanalysen.

Denken Sie beim Umstieg auf S/4HANA an die SAP-Sicherheit!

Was erfahren wir bei der ITOK22 von Ihnen und wer sollte sich Ihren Erfahrungsbericht ansehen, der sich vielleicht noch nicht direkt angesprochen fühlt?

Wir erzählen in unserem Expert Talk aus unserer täglichen Praxis: Wo liegen die Schwachstellen klassischer SIEM-Tools? Warum fällt SAP gefährlich oft durch das Erkennungsraster? Wie gewährleisten KRITIS-Betreiber auch bei der S/4HANA-Migration das Zusammenspiel zwischen Konzeption und Management, ebenso wie zwischen Überwachung, Verwaltung und Auditing.

Darüber hinaus gibt unser Kunde, die rku-it GmbH, exklusive Einblicke, wie sie als IT-Service-Provider für Energieversorger die Anforderungen des neuen IT-Sicherheitsgesetzes 2.0 wirksam erfüllen und gleichzeitig die Revisionssicherheit ihrer SAP-Systemlandschaft weiter erhöht haben.

Egal in welcher Phase sich Unternehmen beim Umstieg auf SAP S/4HANA gerade befinden, ob noch in der Informationsphase, bereits bei der Migrationsstrategie oder schon in den konkreten Vorbereitungen auf den Umstieg, in unserem Expert Talk findet sicherlich Jeder Denkanstöße für das eigene Projekt und interessante Learnings aus anderen Projekten.

Was wird 2022 das dominierende Thema in der SAP-Community?

Die Einbettung eines integrierten Sicherheits- und Berechtigungskonzeptes ist weiterhin eine der Kernaufgaben des gesamten Migrationsprozesses auf S/4HANA – und ist oftmals ein Grund, warum die Transformation als Ganzes scheitert. Technische Systemabsicherung, aber auch Rollen und Berechtigungen, gehören somit auch 2022 unverändert zu den größten Herausforderungen für SAP-Verantwortliche.

Zum anderen sehen wir, dass SAP Security Dashboards immer mehr an Bedeutung gewinnen, ob Management-View oder detaillierte Arbeitsliste für Maßnahmen zur Risikominimierung. Wichtig ist es immer mehr Unternehmen, hochwertige Informationen genau in der Qualität zu erhalten, wie sie sie im jeweiligen Augenblick benötigen. Ein kleiner Spoiler sei hier erlaubt: Darum steigen wir in dieses Thema bei der IT-Onlinekonferenz im Mai 2022 tiefer ein…

Darauf freuen wir uns. Vielen Dank für das Gespräch.

Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.

Helge Sanden IT-Onlinemagazin
Helge Sanden (Chefredakteur des IT-Onlinemagazins)

Ralf Kempf (SAST SOLUTIONS)
Ralf Kempf (CTO SAST SOLUTIONS)

Wir empfehlen Ihnen zu diesem Thema die Aufzeichnung unseres SAST Expert-Talk vom 27. Januar 2022. Unser CTO Ralf Kempf und Marek Stasiczek von der rku-it GmbH waren zu Gast bei der IT-Onlinekonferenz. Herr Stasiczek berichtet über das neue Notfall-User-Verfahren und von den Besonderheiten eines einheitlichen Rollentemplates für ihre Kunden aus dem KRITIS-Sektor. Unser CTO geht darüber hinaus auf die Herausforderungen für ein erfolgreiches S/4HANA-Projekt ein, unter den besonderen Gesichtspunkten des IT-SiG 2.0. Fordern Sie gleich den Zugangslink an: https://t1p.de/z4ti

 

Das könnte Sie auch interessieren:

SAP Cyber Security: Fünf Fragen und Antworten zur wirksamen Überwachung von SAP-Systemen

SAP Security: Warum SIEM auf diesem Ohr taub ist und wie man SAP-Incidents dennoch Gehör verschafft