{"id":3169,"date":"2022-01-24T13:51:44","date_gmt":"2022-01-24T12:51:44","guid":{"rendered":"https:\/\/sast-solutions.de\/blog-de\/?p=3169"},"modified":"2022-02-02T10:09:27","modified_gmt":"2022-02-02T09:09:27","slug":"warum-siem-tools-fuer-sap-taub-sind-bei-der-s-4hana-migration-eine-interessante-frage","status":"publish","type":"post","link":"https:\/\/sast-solutions.de\/blog-de\/2022\/01\/24\/warum-siem-tools-fuer-sap-taub-sind-bei-der-s-4hana-migration-eine-interessante-frage\/","title":{"rendered":"Warum SIEM-Tools f\u00fcr SAP taub sind? Nicht nur f\u00fcr KRITIS-Betreiber bei der S\/4HANA-Migration eine interessante Frage."},"content":{"rendered":"

\"RalfCybersecurity ist derzeit in aller Munde: Die verst\u00e4rkte Nutzung externer Zugriffe auf Unternehmensnetzwerke w\u00e4hrend der Pandemie und die weitere Professionalisierung der Angreifer haben diese noch wichtiger werden lassen. In den letzten Monaten lesen wir fast t\u00e4glich von Angriffen auf Unternehmen, die bis hin zu tagelangen Komplettausf\u00e4llen alles erlebt haben. Was hat sich nun also bei der SAP-Sicherheit ver\u00e4ndert, f\u00fcr wen ist das IT-Sicherheitsgesetz 2.0 relevant, wie ber\u00fccksichtigt man das beim Umstieg auf S\/4HANA und was k\u00f6nnen alle Unternehmen zur Verbesserung der SAP-Sicherheit tun?<\/p>\n

<\/p>\n

 <\/p>\n

Das folgende Interview zwischen Helge Sanden (Chefredakteur IT-Onlinemagazin) und Ralf Kempf (CTO SAST SOLUTIONS) ist am 7. Januar 2022 im IT-Onlinemagazin<\/a> erschienen.<\/p>\n

Herr Kempf, haben sich die Sicherheitsanforderungen in letzter Zeit ver\u00e4ndert \u2014 und wenn ja, wie?<\/strong><\/h3>\n

Mit SAP S\/4HANA sind Datenbank, User Interface, Gateway, Applikationen und Berechtigungen noch enger zusammengewachsen. Der Zugriff auf wichtige Daten ist also noch einmal komplexer geworden und somit auch schwieriger zu \u00fcberwachen. Entscheidend ist bei Migrationsprojekten daher, eine umfassende Security-Betrachtung und eine ganzheitliche Strategie, die alle Themen vereint.<\/p>\n

Welche Notwendigkeit sehen Sie, Sicherheitsaspekte bereits in einer fr\u00fchen Phase einer SAP S\/4HANA-Umstellung zu betrachten?<\/strong><\/h3>\n

Nach unseren Erfahrungen vernachl\u00e4ssigen leider noch immer zu viele Unternehmen, die eine Migration auf SAP S\/4HANA planen, die Absicherung der neuen Systeme.<\/p>\n

Bei einer Konvertierung ist es jedoch entscheidend, von vorneherein eine belastbare und konsistente Grundsicherheit in die Migrationsstrategie mit einzubeziehen. So vermeiden Unternehmen nicht nur die typischen Stolperfallen beim Plattformwechsel an sich, wie beispielweise das au\u00dfer Acht lassen von Schnittstellen und Altsystemen, sondern auch eine zu sp\u00e4te \u00dcberf\u00fchrung der SAP-Berechtigungen.<\/p>\n

Ob Green-, Brown- oder Bluefield \u2013 eines eint alle Ans\u00e4tze: Es gilt eine Reihe grundlegender Entscheidungen bereits vor der Einf\u00fchrung von SAP S\/4HANA zu treffen. Wir erleben oft, dass Verantwortlichen zu Projektbeginn nicht wirklich bewusst ist, welche Herausforderungen insgesamt vor ihnen liegen und das kostet sp\u00e4ter nicht nur Zeit, sondern verursacht h\u00e4ufig auch erhebliche Extrakosten.<\/p>\n

Dabei bietet ein Migrationsprojekt auch die Chance, die IT-Sicherheit auf ein ganz neues Level zu heben \u2013 n\u00e4mlich mit einer sauber aufgesetzten und ganzheitlichen geplanten SAP Security & Compliance-Strategie. Daher ist diese Herausforderung auch als Chance zu verstehen: die Sicherheit in SAP-Systemen zu verbessern, Rollenkonzepte effizienter zu gestalten und so das neue System mit all seinen Vorteilen nutzen zu k\u00f6nnen.<\/p>\n

Inwiefern ist das IT-SiG f\u00fcr SAP-Kunden n\u00fctzlich?<\/strong><\/h2>\n

F\u00fcr wen ist das IT-Sicherheitsgesetz 2.0 relevant?<\/strong><\/h3>\n

Das ITSiG fordert von allen Betreibern kritischer Infrastrukturen ein detailliertes Business Continuity Planning und Desaster-Recovery-Szenarien. Als KRITIS-Betreiber wurden bis dato neun Sektoren mit wichtiger Bedeutung f\u00fcr das Gemeinwesen definiert, bei deren Beeintr\u00e4chtigung nachhaltig Versorgungsengp\u00e4sse oder erhebliche St\u00f6rungen der \u00f6ffentlichen Sicherheit eintreten w\u00fcrden, also beispielweise Energieversorger, Gesundheits- und Finanzwesen oder Transport & Verkehr.<\/p>\n

Relevant ist insbesondere, dass all diese Unternehmen ab sofort zum Einsatz von Systemen zur Anomalie und Intrusion Detection Erkennung (\u00a78a) verpflichtet sind, das sie automatisiert und in Echtzeit \u00fcber Sicherheitsausf\u00e4lle informiert. Und das ist alle zwei Jahre dem BSI (Bundesamt f\u00fcr Sicherheit in der Informationstechnik) gegen\u00fcber nachzuweisen.<\/p>\n

Anomalie und Intrusion Detection Systeme erkennen und konkretisieren Angriffe mithilfe von Log-Dateien und Netzwerkfl\u00fcssen. Gem\u00e4\u00df dem ITSig 2.0 m\u00fcssen diese Log-Daten jedoch nicht nur aufgezeichnet, sondern auch ausgewertet werden. So sind k\u00fcnftig SIEM-Systeme (Security Incident and Event Management) f\u00fcr das schnelle Identifizieren von Cyberattacken nahezu unverzichtbar. F\u00fcr die SAP-Sicherheit greift diese \u00dcberwachung jedoch zu kurz, da die speziellen SAP-Protokolle und -Auswertungen selten verstanden und folglich keine Angriffsmuster erkannt werden. Hierf\u00fcr sind zus\u00e4tzlich die Expertise von SAP-Sicherheitsprofis und spezielle Software erforderlich. Die SAST Suite bietet hier mit dem Modul Security Radar entsprechende SAP SIEM Monitoring Komponenten bereit.<\/p>\n

…kann man auch Empfehlungen f\u00fcr Unternehmen ableiten, f\u00fcr die das IT-SiG nicht verpflichtend ist, die aber trotzdem einen hohen Schutzbedarf haben?<\/strong><\/h3>\n

Definitiv. Die Einbindung eines professionellen SAP Security-Partners<\/a> ist f\u00fcr alle SAP-Anwendungsunternehmen ratsam. Ganz gleich, ob im Rahmen eines S\/4HANA-Projekts, zur Optimierung und Erg\u00e4nzung eines bestehenden SIEM-Systems und f\u00fcr den klassischen Mittelstand ebenso wie f\u00fcr Unternehmen mit sehr vielen SAP-Systemen.<\/p>\n

Wir sehen in der Praxis immer wieder, dass selbst Unternehmen, die hochprofessionell IT Security betreiben, die SIEM im Einsatz haben und alle Non-SAP-Bereiche par excellence beherrschen, SAP unwissentlich oder gar wissentlich ausblenden. Weil sie etwa hoffen, dass ihre SAP-Mitarbeiter das \u201eirgendwie selbst kontrollieren\u201c oder auch weil nicht bekannt ist, dass es M\u00f6glichkeiten gibt, diese L\u00fccke zu schlie\u00dfen. Hier muss sich so mancher CISO fragen lassen: Seid ihr sicher, dass ihr SAP auch ausreichend betrachtet? Falls nicht, f\u00fchrt beide Welten zusammen, denn das macht einfach Sinn.<\/p>\n

Unsere Security-Software speist beispielsweise alle relevanten Informationen aus SAP praktisch \u201eout of the box\u201c in bestehende SIEM-Systeme aller Couleur ein, macht sie auswertbar und alle sicherheitsrelevanten Vorf\u00e4lle \u2013 ob in SAP ERP- oder S\/4HANA-Systemen \u2013 k\u00f6nnen mit anderen IT-Systemen konsolidiert werden. So findet SAP im SIEM Geh\u00f6r und Unternehmen erhalten auf Knopfdruck eine bewertete Dashboard-basierte Darstellung ihres gesamten Sicherheitsstatus. Dabei analysiert die SAST SUITE zur Gefahrenerkennung nicht nur SAP-Protokolle, sondern integriert auch Konfigurations- und Rollenanalysen.<\/p>\n

Denken Sie beim Umstieg auf S\/4HANA an die SAP-Sicherheit!<\/strong><\/h2>\n

Was erfahren wir bei der ITOK22 von Ihnen und wer sollte sich Ihren Erfahrungsbericht ansehen, der sich vielleicht noch nicht direkt angesprochen f\u00fchlt?<\/strong><\/h3>\n

Wir erz\u00e4hlen in unserem Expert Talk<\/a> aus unserer t\u00e4glichen Praxis: Wo liegen die Schwachstellen klassischer SIEM-Tools? Warum f\u00e4llt SAP gef\u00e4hrlich oft durch das Erkennungsraster? Wie gew\u00e4hrleisten KRITIS-Betreiber auch bei der S\/4HANA-Migration das Zusammenspiel zwischen Konzeption und Management, ebenso wie zwischen \u00dcberwachung, Verwaltung und Auditing.<\/p>\n

Dar\u00fcber hinaus gibt unser Kunde, die rku-it GmbH, exklusive Einblicke, wie sie als IT-Service-Provider f\u00fcr Energieversorger die Anforderungen des neuen IT-Sicherheitsgesetzes 2.0 wirksam erf\u00fcllen und gleichzeitig die Revisionssicherheit ihrer SAP-Systemlandschaft weiter erh\u00f6ht haben.<\/p>\n

Egal in welcher Phase sich Unternehmen beim Umstieg auf SAP S\/4HANA gerade befinden, ob noch in der Informationsphase, bereits bei der Migrationsstrategie oder schon in den konkreten Vorbereitungen auf den Umstieg, in unserem Expert Talk findet sicherlich Jeder Denkanst\u00f6\u00dfe f\u00fcr das eigene Projekt und interessante Learnings aus anderen Projekten.<\/p>\n

Was wird 2022 das dominierende Thema in der SAP-Community? <\/strong><\/h3>\n

Die Einbettung eines integrierten Sicherheits- und Berechtigungskonzeptes ist weiterhin eine der Kernaufgaben des gesamten Migrationsprozesses auf S\/4HANA \u2013 und ist oftmals ein Grund, warum die Transformation als Ganzes scheitert. Technische Systemabsicherung, aber auch Rollen und Berechtigungen, geh\u00f6ren somit auch 2022 unver\u00e4ndert zu den gr\u00f6\u00dften Herausforderungen f\u00fcr SAP-Verantwortliche.<\/p>\n

Zum anderen sehen wir, dass SAP Security Dashboards immer mehr an Bedeutung gewinnen, ob Management-View oder detaillierte Arbeitsliste f\u00fcr Ma\u00dfnahmen zur Risikominimierung. Wichtig ist es immer mehr Unternehmen, hochwertige Informationen genau in der Qualit\u00e4t zu erhalten, wie sie sie im jeweiligen Augenblick ben\u00f6tigen. Ein kleiner Spoiler sei hier erlaubt: Darum steigen wir in dieses Thema bei der IT-Onlinekonferenz im Mai 2022 tiefer ein\u2026<\/p>\n

Darauf freuen wir uns. Vielen Dank f\u00fcr das Gespr\u00e4ch.<\/strong><\/p>\n

Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.<\/p>\n

\"Helge
\nHelge Sanden <\/strong>(Chefredakteur des IT-Onlinemagazins)<\/strong><\/p>\n

\"Ralf
\n<\/strong>Ralf Kempf <\/strong>(CTO SAST SOLUTIONS)<\/strong><\/p>\n

Wir empfehlen Ihnen zu diesem Thema die Aufzeichnung unseres SAST Expert-Talk<\/a> vom 27. Januar 2022. Unser CTO Ralf Kempf und Marek Stasiczek von der rku-it GmbH waren zu Gast bei der IT-Onlinekonferenz. Herr Stasiczek berichtet \u00fcber das neue Notfall-User-Verfahren und von den Besonderheiten eines einheitlichen Rollentemplates f\u00fcr ihre Kunden aus dem KRITIS-Sektor. Unser CTO geht dar\u00fcber hinaus auf die Herausforderungen f\u00fcr ein erfolgreiches S\/4HANA-Projekt ein, unter den besonderen Gesichtspunkten des IT-SiG 2.0. Fordern Sie gleich den Zugangslink an: https:\/\/t1p.de\/z4ti<\/a><\/p>\n

 <\/p>\n

Das k\u00f6nnte Sie auch interessieren:<\/h2>\n

SAP Cyber Security: F\u00fcnf Fragen und Antworten zur wirksamen \u00dcberwachung von SAP-Systemen<\/a><\/p><\/blockquote>\n