Das vergangene Jahr endete sehr erfreulich, wir erhielten den Award zum „Top Lösungsanbieter für Identity and Access Management in Europa 2021“. Die Dezember-Ausgabe des Enterprise Security Magazins berichtete ausführlich über unsere IAM-Lösung und darüber, welche innovativen Features unsere Software so einzigartig machen. Im Interview mit Herrn Kempf wollen wir nun mehr über die angebotene Softwarelösung und aktuellen Technologietrends erfahren.
Herr Kempf, herzlichen Glückwunsch zu ihrem Award-Gewinn. Was steht hinter SAST SOLUIONS und der angebotenen IAM-Lösung?
Jedes zweite Unternehmen weltweit war bereits Opfer mindestens eines bedeutenden IT-Sicherheitsvorfalls. SAP-Systeme sind zunehmend das Ziel solcher Angriffe. Die wachsende Komplexität der Systemumgebungen und die üblicherweise begrenzte Sicherheitserfahrung vieler Mitarbeiter lassen oft gravierende Sicherheitslücken entstehen. Daher gehen die heutigen SAP-Sicherheitsanforderungen weit über die traditionellen Access-Governance-Anforderungen in Bezug auf Benutzer, deren Zugriff und Rollen hinaus.
Mit dem SAST SOLUTIONS-Portfolio haben wir uns auf die ganzheitliche Sicherheit von SAP-Umgebungen spezialisiert. Neben der Software-Suite bietet SAST SOLUTIONS auch einen Rundumschutz für SAP ERP- und S/4HANA-Systeme inklusive Consulting-Experten und Managed Services.
Was ist das Besondere an Ihrem Software-Produkt SAST SUITE?
Heutzutage ist das Auftreten eines IT-Sicherheitsvorfalls weniger eine Frage des „ob“ als des „wann“. Immer häufiger sind es die eigenen Mitarbeiter, die solche Vorfälle verursachen, sei es aus Versehen oder in böser Absicht.
Die SAST SUITE ist so konzipiert, dass sie genau die Unterstützung bietet, die Unternehmen bei der Umsetzung von Identity- und User Access Management-Konzepten benötigen, indem sie die Verstöße sofort meldet – und nicht erst, wenn der Schaden bereits entstanden ist.
Können Sie einige der aktuellen Trends im IAM-Sektor nennen, und wie Sie diese Technologietrends in Lösungen und Angebote umgesetzt haben?
Interessant ist, dass die „Trends“ in Bezug auf Schwachstellen von SAP-Systemen seit Jahren unverändert sind und dennoch in vielen Unternehmen noch nicht beseitigt wurden.
Angesichts der sich ständig verändernden Bedrohungslandschaft mit internen und externen Akteuren wird daher die Echtzeit-Erkennung von Anomalien und unerwünschtem Verhalten durch Analysetechnologien immer wichtiger. Und genau dafür wurde die SAST SUITE entwickelt und wird weiterhin für die neuesten Angriffsszenarien optimiert. Dabei geht es zum einen um fehlerhafte Systemkonfigurationen, die Angreifern zu viele Lücken überlassen, dann um den Missbrauch von Benutzerrollen und Berechtigungen und drittens um das unerwünschte Verhalten von Benutzern im System, das zu internen Sicherheitsvorfällen führt.
Neben dem Aspekt der IT-Sicherheit und des IAM gibt es zwei primäre Trends, die die gesamte SAP-Welt derzeit und noch für einige Zeit beeinflussen werden. Der erste ist der Technologiewechsel von SAP ERP zu S/4HANA. Aus unserer Sicht wird es sicherlich interessant sein zu sehen, ob mehr Unternehmen von den Early Adopters lernen und beginnen, die S/4HANA-Transformation ganzheitlicher zu betrachten. Immerhin vergessen rund 20 % der Unternehmen bei der Migration auf S/4HANA die IT-Sicherheit komplett! Um den technischen und funktionalen Anforderungen der neuen SAP S/4HANA-Umgebung gerecht zu werden, haben wir die SAST SUITE for S/4HANA als eigenständiges Produkt entwickelt. So stellen wir sicher, dass unsere bewährte Software auch in der nächsten Dekade noch genutzt werden kann.
Neben dem großen Thema der SAP-Migration werden wir auch immer häufiger nach der Cloud im SAP-Umfeld gefragt. Mein Tipp: Sensible Daten sollten nicht außerhalb der eigenen Kontrolle gespeichert werden. Entsprechend sollten Unternehmen Sicherheitslösungen und Dashboards on-premise und möglichst nicht in der Cloud implementieren. Aber natürlich deckt die SAST SUITE sowohl die traditionellen On-Premise SAP-Lösungen als auch die SAP Cloud Solutions ab und die Weiterentwicklung der Software ist darauf ausgerichtet, dem Wandel in die Cloud zu folgen.
Identity and User Access Management allein reicht aus Sicht der Sicherheit nicht aus. IAM-Lösungen sollten immer Teil einer ganzheitlichen Sicherheitsstrategie sein und auch regelmäßige Audits unterstützen. Darüber hinaus sollten IAM-Lösungen im SAP-Umfeld Funktionen bieten, die ein automatisiertes Erkennen von Benutzerfehlverhalten (z.B. „Ändern von Sicherheitseinstellungen“) ermöglichen und strukturelle Gegenmaßnahmen erlauben.
Was genau bieten Ihre IAM-Lösungen und wie helfen sie Ihren Kunden, ihre Fähigkeiten zu stärken?
Die SAST SUITE ermöglicht es unseren Kunden, ein automatisiertes Rollenmanagement einzurichten, Funktionstrennungskonflikte zu beseitigen und so die Zugriffsrechte aller Benutzer – einschließlich der privilegierten Benutzer – besser zu kontrollieren. Unsere Software kann auch die Berechtigungen „selbst anpassen“ und sie deutlich verschlanken, ohne das Tagesgeschäft einzuschränken.
Kein Unternehmen gleicht dem anderen. Welche Strategien wendet SAST SOLUTIONS an, um sich gegen den Wettbewerb auf dem Markt durch zu setzen?
Die SAST SUITE bietet separate Lösungen mit klar definierter Funktionalität für bestimmte Aspekte im Bereich SAP Security und IAM, die als integriertes Paket angeboten werden und eine nahtlose Kombination verschiedener Funktionen ermöglichen. Basierend auf diesem Ansatz kann die SAST SUITE individuell auf die Anforderungen des jeweiligen Anwendungsfalles zugeschnitten werden.
Schauen Sie sich gerne hierzu die Success Stories unserer Kunden Takeda, s.Oliver, NordWest Handel und BWB (Berliner Wasserbetriebe) an.
Möchten Sie interessierten Unternehmen einen Ratschlag mit auf den Weg geben?
Wir erhalten zum Beispiel immer wieder Anfragen, was nach der Entdeckung eines Angriffsversuchs zu tun ist. Leider gibt es kein Patentrezept, das alles heilt. Denn die optimale Reaktion hängt sehr stark von dem jeweiligen Angriffsversuch ab. Ich rate allen Unternehmen zu einem gut definierten Risikomanagementsystem mit festgelegten Prozessen zum Durchspielen von Risikoszenarien. Die Prozessmodelle von NIST (National Institute of Standards and Technology), ISO2700x oder BSI (Bundesamt für Sicherheit in der Informationstechnik in Deutschland) können dabei helfen.
Können Sie abschließend sagen, was die SAST SOLUTIONS so einzigartig macht und potenzielle Kunden zu einer Partnerschaft bewegt?
Wir erweitern unsere Software regelmäßig mit innovativen Funktionen, sie stammen direkt aus der praktischen Projekterfahrung. Einzigartig auf dem Markt ist aber sicherlich das brandneue Security Dashboard, das die SAST SUITE seit dem letzten Release ergänzt.
In der Praxis müssen SAP-Kunden täglich das Ergebnis von 2.000 einzelnen Prüfaktionen aus 300 SAP-Systemen überwachen und Schwachstellen durch kritische Konfigurationen und auffällige Nutzung identifizieren. Mit unserem Security Dashboard ist dies einfach und in Echtzeit möglich. Sie können durch die verschiedenen Ebenen bis hin zu den Details der Alarmmeldung navigieren.
Das Security Dashboard der SAST SUITE ermittelt auf Knopfdruck den aktuellen Sicherheitsstatus anhand vordefinierter Risikoindikatoren, zeigt Ursachen für Sicherheitslücken auf, analysiert und veranschaulicht die historische Entwicklung und liefert jederzeit hochwertige Risikoinformationen auf einen Blick. Auf diese Weise erreichen Unternehmen eine Transparenz, die eine ganzheitliche Echtzeitüberwachung und damit eine qualifizierte und schnelle Reaktion auch auf unvorhergesehene Bedrohungen in hohem Maße ermöglicht.
Herzlichen Dank für das Gespräch, Herr Kempf!
Tanja Dietz (Head of Business Development SAST SOLUTIONS)
Ralf Kempf (CTO SAST SOLUTIONS)
Lesen Sie hierzu auch den Original-Artikel aus der Dezember-Ausgabe des Enterprise Security Magazins, Seite 18.
Weitere Interviews mit Ralf Kempf: