Security-Projekte hören nicht beim Berechtigungskonzept auf

IT-Onlinemagazin Expert Talk mit SASTEine ganzheitliche Security-Strategie umfasst auch die regelmäßige Prüfung, Pflege und den Schutz von Berechtigungen, Installationen und Eigenentwicklungen vor inneren und äußeren Bedrohungen – insbesondere in der SAP-Landschaft. Doch welche Rolle spielen Projektorganisation und Projektmanagement bei der Erhöhung der SAP-Sicherheit?

 

Das folgende Interview zwischen Helge Sanden (Chefredakteur IT-Onlinemagazin) und Ralf Kempf (CTO SAST SOLUTIONS) ist am 26. April 2022 im IT-Onlinemagazin erschienen.

Herr Kempf, welche größten Herausforderungen sehen Sie aktuell für CIO und CISO?

Eine Herausforderung, die derzeit vermutlich alle IT-Führungskräfte eint, ist der Mangel an erfahrenden Fachkräften und der Wettbewerb um neue Talente. Mit konsequenten Maßnahmen zur Aus- und Weiterbildung lässt sich jedoch nur zum Teil gegensteuern. Entscheidend sind durchdachte Automatisierungen im Bereich der Cybersicherheit, um dem massiven Ressourcenmangel entgegenzuwirken.

Dabei ist es wichtig, die Sicherheit hybrider IT-Umgebungen unbedingt ganzheitlich zu betrachten. Der Trend entwickelt sich immer weiter weg von klassischen ERP-Insellösungen hin zu vollintegrierten und ineinander verzahnten IT-Systemwelten zu denen SAP-Systeme ebenso zählen wie Non-SAP.

Eine weitere Herausforderung, der wir in Security-Projekten immer wieder begegnen, ist der Umgang von Unternehmen mit Schatten-IT. Für spezielle Anforderungen wird von Mitarbeitern schnell mal eine neue Software installiert – häufig sogar als Freeware und daher ohne Genehmigungsprozess. Die Einführung erfolgt jedoch so gut wie nie compliant-konform oder gar auf Basis eines Nutzungskonzepts. Da sind Sicherheitslücken quasi vorprogrammiert. 

SAP-Knowhow und Sicherheitsverständnis nötig

Rund vier von fünf SAP-Kunden wollen laut DSAG-Investitionsreport 2022 in die Verbesserung ihrer Cybersecurity investieren. Worauf ist dabei zu achten?

Unternehmen versuchen häufig bei der Erkennung von Schwachstellen anzusetzen und diese zu automatisieren. Doch das Erkennen lässt sich nicht so einfach erlernen bzw. führt häufig zum Überlernen oder falschem Training und dann greift ein Algorithmus bei echten Bedrohungen ganz schnell auch mal nicht ein.

Wir empfehlen unseren Kunden primär die Bereitstellung von Informationen zu automatisieren und zu optimieren. Hier ist ein unternehmensweites einheitliches Verständnis für IT-Security entscheidend, denn nur dann können SIEM-/SOC-Teams beispielsweise auch SAP-Systeme mit betrachten. Einen großen Vorteil hinsichtlich der Transparenz der aktuellen Sicherheitslage bieten zweckgebundene Security Dashboards. So lassen sich Ergebnisse für Security Teams nachvollziehbar visualisieren und es erlaubt die zeitnahe Identifikation und Reaktion auf Änderungen der Bedrohungslage.

Daneben zeigt gerade hier ein gezielter Know-how Aufbau für interne Security-Experten einen der größten Effekte. Denn nur wer Angriffsszenarien wirklich durchdringt, kann sie auch effektiv verhindern. 

Welche Bedeutung haben Projektorganisation und Projektmanagement in Security-Projekten?

Ähnlich wie IT-Umgebungen, sind auch Security-Projekte deutlich vielschichtiger geworden. Ein gut durchdachtes User- und Berechtigungsmanagement allein ist für erfolgreiche Security-Projekte nicht mehr ausreichend. Neben dem Berechtigungskonzept müssen auch die Infrastruktur, System-Schnittstellen, Datenbanken und die ABAP-Eigenentwicklungen auf den Prüfstand.

Und all diese Punkte müssen nach dem aktuellen Stand der Technik geprüft werden. Dabei reichen inhaltlich gute, doch nur punktuelle Checks bei Weitem nicht mehr aus – das gilt insbesondere für das das Coding. Es gibt täglich neue Sicherheitslücken unterschiedlicher Relevanz, dementsprechend ist es wichtig kontinuierlich, idealerweise in Echtzeit, zu prüfen. Das bedeutet, Security-Projekte von heute enden quasi nie und sind einer ständigen Weiterentwicklung unterworfen.

Hinzu kommt, dass speziell im Bereich SAP die Abteilungen wie SAP-Basis, Berechtigungen und Coding oftmals getrennt sind – sowohl organisatorisch als auch in der Verantwortung. Diese Bereiche müssen im Projekt gewinnbringend für alle zusammengeführt und alle Handlungen aufeinander abgestimmt werden. Entscheidend für den Erfolg ist es daher, Kommunikationsbarrieren zu überwinden und Bereiche miteinander reden zu lassen. 

Erfahrungsbericht zum SAP-Systemhärtungsprojekt

Herr Kempf, was erfahren wir von Ihnen bei der ITOK22 im Mai?

Dieses Mal konnten wir Sven Ruffershöfer als Referenten gewinnen. Er gibt exklusiv Einblicke in das SAP-Systemhärtungsprojekt bei der DATEV eG und wird schildern, welche Hindernisse sie unterschätzt haben und wie das Security-Projekt über alle Bereiche hinweg – von der Basis über Berechtigungen bis zum Codinig –  durch eine gezielte Zusammenarbeit schlussendlich erfolgreich wurde.

Im Rahmen einer allumfassenden SAP Security Strategie stellte sich auch die DATEV eG der Prüfung ihrer Berechtigungen, Installationen und Eigenentwicklungen vor inneren und äußeren Bedrohungen. Dabei sollte fehlendes Know-how in fachlicher und organisatorischer Sicht kein Grund sein, das Thema SAP-Sicherheit auf die lange Bank zu schieben und wir wurden sehr frühzeitig als Experten-Unterstützung zum Projekt hinzugezogen.

Was wird in den nächsten zwölf Monaten das dominierende Sicherheitsthema in der SAP-Community?

Vor dem Hintergrund der aktuellen Gefährdungslage in Ost-Europa, aber auch weltweit, rückt „Hacking“ mit dem Ziel der Sabotage, statt zur Spionage oder Monetarisierung immer stärker in den Fokus. Das gilt insbesondere für hochkritische Unternehmensbereiche.

Wurde Ransomware bisher primär in Rahmen von Erpressungsversuchen und zur finanziellen Bereicherung eingesetzt, könnte es künftig vermehrt um politische Interessen gehen und darum, eine dauerhafte Geschäftsunfähigkeit eines Unternehmens zu erwirken.

Daher ist es wichtiger denn je, beim Thema Cybersecurity nicht den schnellen Return on Investment berechnen zu wollen und zu versuchen die Kosten für Sicherheitsmaßnahmen mit der Wahrscheinlichkeit eines Schades abzuwägen, sondern vorrangig die Betriebsfähigkeit und Unternehmensexistenz zu sichern.

Vielen Dank für das Gespräch.

Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.

Helge Sanden IT-Onlinemagazin
Helge Sanden (Chefredakteur des IT-Onlinemagazins)

Ralf Kempf (SAST SOLUTIONS)
Ralf Kempf (CTO SAST SOLUTIONS)

Möchten Sie noch tiefer in das Thema einsteigen? Dann empfehlen wir Ihnen unsere Aufzeichnung des SAST Expert-Talks vom 19. Mai 2022. Gemeinsam mit Sven Ruffershöfer (Referent Systemdesign SAP | DATEV) berichtet Ralf Kempf, wie die technische SAP-Absicherung bei der DATEV gelungen ist. Fordern Sie gleich den Zugangslink an: https://t1p.de/z4ti

 

Weitere Interviews mit Herrn Kempf:

Warum SIEM-Tools für SAP taub sind? Nicht nur für KRITIS-Betreiber bei der S/4HANA-Migration eine interessante Frage.

Interview mit Ralf Kempf und Norbert Klettner – Cybersecurity in der Logistik: Multinationale Attacken auf die schwächsten Glieder der Kette