![\"IT-Onlinemagazin](\"https:\/\/sast-solutions.de\/blog-de\/wp-content\/uploads\/2019\/12\/Expert-Talk_Logo_mitSAST_200px.jpg\"){kind=logo}
Eine ganzheitliche Security-Strategie umfasst auch die regelm\u00e4\u00dfige Pr\u00fcfung, Pflege und den Schutz von Berechtigungen, Installationen und Eigenentwicklungen vor inneren und \u00e4u\u00dferen Bedrohungen \u2013 insbesondere in der SAP-Landschaft. Doch welche Rolle spielen Projektorganisation und Projektmanagement bei der Erh\u00f6hung der SAP-Sicherheit?<\/p>\n
<\/p>\n
<\/p>\n
Das folgende Interview zwischen Helge Sanden (Chefredakteur IT-Onlinemagazin) und Ralf Kempf (CTO SAST SOLUTIONS) ist am 26. April 2022 im IT-Onlinemagazin<\/a> erschienen.<\/strong><\/p>\n Eine Herausforderung, die derzeit vermutlich alle IT-F\u00fchrungskr\u00e4fte eint, ist der Mangel an erfahrenden Fachkr\u00e4ften und der Wettbewerb um neue Talente. Mit konsequenten Ma\u00dfnahmen zur Aus- und Weiterbildung l\u00e4sst sich jedoch nur zum Teil gegensteuern. Entscheidend sind durchdachte Automatisierungen im Bereich der Cybersicherheit, um dem massiven Ressourcenmangel entgegenzuwirken.<\/p>\n Dabei ist es wichtig, die Sicherheit hybrider IT-Umgebungen unbedingt ganzheitlich zu betrachten. Der Trend entwickelt sich immer weiter weg von klassischen ERP-Insell\u00f6sungen hin zu vollintegrierten und ineinander verzahnten IT-Systemwelten zu denen SAP-Systeme ebenso z\u00e4hlen wie Non-SAP.<\/p>\n Eine weitere Herausforderung, der wir in Security-Projekten immer wieder begegnen, ist der Umgang von Unternehmen mit Schatten-IT. F\u00fcr spezielle Anforderungen wird von Mitarbeitern schnell mal eine neue Software installiert \u2013 h\u00e4ufig sogar als Freeware und daher ohne Genehmigungsprozess. Die Einf\u00fchrung erfolgt jedoch so gut wie nie compliant-konform oder gar auf Basis eines Nutzungskonzepts. Da sind Sicherheitsl\u00fccken quasi vorprogrammiert.\u00a0<\/strong><\/p>\n Unternehmen versuchen h\u00e4ufig bei der Erkennung von Schwachstellen anzusetzen und diese zu automatisieren. Doch das Erkennen l\u00e4sst sich nicht so einfach erlernen bzw. f\u00fchrt h\u00e4ufig zum \u00dcberlernen oder falschem Training und dann greift ein Algorithmus bei echten Bedrohungen ganz schnell auch mal nicht ein.<\/p>\n Wir empfehlen unseren Kunden prim\u00e4r die Bereitstellung von Informationen zu automatisieren und zu optimieren. Hier ist ein unternehmensweites einheitliches Verst\u00e4ndnis f\u00fcr IT-Security entscheidend, denn nur dann k\u00f6nnen SIEM-\/SOC-Teams beispielsweise auch SAP-Systeme mit betrachten. Einen gro\u00dfen Vorteil hinsichtlich der Transparenz der aktuellen Sicherheitslage bieten zweckgebundene Security Dashboards. So lassen sich Ergebnisse f\u00fcr Security Teams nachvollziehbar visualisieren und es erlaubt die zeitnahe Identifikation und Reaktion auf \u00c4nderungen der Bedrohungslage.<\/p>\n Daneben zeigt gerade hier ein gezielter Know-how Aufbau f\u00fcr interne Security-Experten einen der gr\u00f6\u00dften Effekte. Denn nur wer Angriffsszenarien wirklich durchdringt, kann sie auch effektiv verhindern.\u00a0<\/strong><\/p>\n \u00c4hnlich wie IT-Umgebungen, sind auch Security-Projekte deutlich vielschichtiger geworden. Ein gut durchdachtes User- und Berechtigungsmanagement allein ist f\u00fcr erfolgreiche Security-Projekte nicht mehr ausreichend. Neben dem Berechtigungskonzept m\u00fcssen auch die Infrastruktur, System-Schnittstellen, Datenbanken und die ABAP-Eigenentwicklungen auf den Pr\u00fcfstand.<\/p>\n Und all diese Punkte m\u00fcssen nach dem aktuellen Stand der Technik gepr\u00fcft werden. Dabei reichen inhaltlich gute, doch nur punktuelle Checks bei Weitem nicht mehr aus \u2013 das gilt insbesondere f\u00fcr das das Coding. Es gibt t\u00e4glich neue Sicherheitsl\u00fccken unterschiedlicher Relevanz, dementsprechend ist es wichtig kontinuierlich, idealerweise in Echtzeit, zu pr\u00fcfen. Das bedeutet, Security-Projekte von heute enden quasi nie und sind einer st\u00e4ndigen Weiterentwicklung unterworfen.<\/p>\n Hinzu kommt, dass speziell im Bereich SAP die Abteilungen wie SAP-Basis, Berechtigungen und Coding oftmals getrennt sind \u2013 sowohl organisatorisch als auch in der Verantwortung. Diese Bereiche m\u00fcssen im Projekt gewinnbringend f\u00fcr alle zusammengef\u00fchrt und alle Handlungen aufeinander abgestimmt werden. Entscheidend f\u00fcr den Erfolg ist es daher, Kommunikationsbarrieren zu \u00fcberwinden und Bereiche miteinander reden zu lassen.\u00a0<\/strong><\/p>\n Dieses Mal konnten wir Sven Ruffersh\u00f6fer als Referenten gewinnen. Er gibt exklusiv Einblicke in das SAP-Systemh\u00e4rtungsprojekt bei der DATEV eG und wird schildern, welche Hindernisse sie untersch\u00e4tzt haben und wie das Security-Projekt \u00fcber alle Bereiche hinweg \u2013 von der Basis \u00fcber Berechtigungen bis zum Codinig \u2013\u00a0 durch eine gezielte Zusammenarbeit schlussendlich erfolgreich wurde.<\/p>\n Im Rahmen einer allumfassenden SAP Security Strategie stellte sich auch die DATEV eG der Pr\u00fcfung ihrer Berechtigungen, Installationen und Eigenentwicklungen vor inneren und \u00e4u\u00dferen Bedrohungen. Dabei sollte fehlendes Know-how in fachlicher und organisatorischer Sicht kein Grund sein, das Thema SAP-Sicherheit auf die lange Bank zu schieben und wir wurden sehr fr\u00fchzeitig als Experten-Unterst\u00fctzung zum Projekt hinzugezogen.<\/p>\n Vor dem Hintergrund der aktuellen Gef\u00e4hrdungslage in Ost-Europa, aber auch weltweit, r\u00fcckt \u201eHacking\u201c mit dem Ziel der Sabotage, statt zur Spionage oder Monetarisierung immer st\u00e4rker in den Fokus. Das gilt insbesondere f\u00fcr hochkritische Unternehmensbereiche.<\/p>\n Wurde Ransomware bisher prim\u00e4r in Rahmen von Erpressungsversuchen und zur finanziellen Bereicherung eingesetzt, k\u00f6nnte es k\u00fcnftig vermehrt um politische Interessen gehen und darum, eine dauerhafte Gesch\u00e4ftsunf\u00e4higkeit eines Unternehmens zu erwirken.<\/p>\n Daher ist es wichtiger denn je, beim Thema Cybersecurity nicht den schnellen Return on Investment berechnen zu wollen und zu versuchen die Kosten f\u00fcr Sicherheitsma\u00dfnahmen mit der Wahrscheinlichkeit eines Schades abzuw\u00e4gen, sondern vorrangig die Betriebsf\u00e4higkeit und Unternehmensexistenz zu sichern.<\/p>\n Vielen Dank f\u00fcr das Gespr\u00e4ch.<\/strong><\/p>\n Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.<\/p>\n M\u00f6chten Sie noch tiefer in das Thema einsteigen? Dann empfehlen wir Ihnen unsere Aufzeichnung des SAST Expert-Talks<\/a> vom 19. Mai 2022. Gemeinsam mit Sven Ruffersh\u00f6fer (Referent Systemdesign SAP | DATEV) berichtet Ralf Kempf, wie die technische SAP-Absicherung bei der DATEV gelungen ist. Fordern Sie gleich den Zugangslink an:\u00a0https:\/\/t1p.de\/z4ti<\/a><\/p>\n <\/p>\nHerr Kempf, welche gr\u00f6\u00dften Herausforderungen sehen Sie aktuell f\u00fcr CIO und CISO?<\/strong><\/h3>\n
SAP-Knowhow und Sicherheitsverst\u00e4ndnis n\u00f6tig<\/strong><\/h2>\n
Rund vier von f\u00fcnf SAP-Kunden wollen laut DSAG-Investitionsreport 2022 in die Verbesserung ihrer Cybersecurity investieren. Worauf ist dabei zu achten?<\/strong><\/h3>\n
Welche Bedeutung haben Projektorganisation und Projektmanagement in Security-Projekten?<\/strong><\/h3>\n
Erfahrungsbericht zum SAP-Systemh\u00e4rtungsprojekt<\/strong><\/h2>\n
Herr Kempf, was erfahren wir von Ihnen bei der ITOK22 im Mai?<\/strong><\/h3>\n
Was wird in den n\u00e4chsten zw\u00f6lf Monaten das dominierende Sicherheitsthema in der SAP-Community?<\/strong><\/h3>\n
![\"Helge](\"https:\/\/sast-solutions.de\/blog-de\/wp-content\/uploads\/2019\/02\/Helge-Sanden-IT-Onlinemagazin-6458-300x200.jpg\")
\n<\/strong>Helge Sanden (Chefredakteur des IT-Onlinemagazins)<\/strong><\/p>\n![\"Ralf](\"https:\/\/sast-solutions.de\/blog-de\/wp-content\/uploads\/2022\/01\/RalfKempf_Shooting_72dpi-300x225.jpg\")
\n<\/strong>Ralf Kempf (CTO SAST SOLUTIONS)<\/strong><\/p>\nWeitere Interviews mit Herrn Kempf:<\/h2>\n