SAP-Umgebungen richtig absichern

Im toten Winkel

SAP-Sicherheit ist ein in Unternehmen erschreckend vernachlässigtes Thema. Viele Firmen begehen grundlegende Fehler bei der Implementierung und im Betrieb ihrer SAP-Landschaft. Hinzu kommt die enorme Komplexität großer Umgebungen. Die Folgen können fatal sein. Dieser Beitrag gibt einen Überblick über typische Lücken und zeigt Wege für mehr Sicherheit auf.
Zum Jahresende dreht sich im IT-Administrator alles rund um das Thema 'Client- und Applikations-Virtualisierung'. So lesen Sie in der Dezember-Ausgabe, welche ... (mehr)

SAP-Sicherheit ist ein Problem. Zum einen, weil Gefahren hier nicht weniger relevant sind und aufgrund ihrer direkten Auswirkung auf Geschäftsprozesse enorme und unmittelbare Folgen mit sich bringen. Zum anderen, weil zu viele Beteiligte sich zuständig fühlen könnten und sich deswegen keiner zuständig fühlt. Für die Sicherheit kommen ja auch viele Personen in Frage: Der Softwarehersteller selbst, die jeweiligen ERP-Fachabteilungen, die Entwickler von Anwendungen, aber auch SAP-Berater, SAP-Partner, Kunden sowie externe und interne Auditoren. Und nicht zuletzt auch die Administratoren der Nicht-SAP-IT.

Vor allem fehlt es aber an Ressourcen. Auditoren bekennen unter der Hand, dass sie alle regelmäßig anfallenden Audits über ihre SAP-Systeme mit ganzen zwei Mitarbeitern bewältigen sollen. Solche Audits umfassen komplette SAP-Landschaften, unter Umständen bei einem Wildwuchs von historisch gewachsenen 300 oder bis zu 1.000 Instanzen und mit SAP-Servern, deren Eigenschaften durch über 1.500 Parameter definiert werden.

Großflächige Lücken

Das Resultat ist eindeutig: SAP-Penetrationstests, die beispielsweise die Experten von Onapsis in den letzten Jahren mit nur geringen Hilfsmitteln bei rund 1.000 Unternehmen durchführten, zeichnen ein erschreckendes Bild. Rund 95 Prozent der überprüften Systeme können als unsicher betrachtet werden. Bei den Tests verfügten die Experten lediglich über einige IP-Adressen von Servern, die im Zweifelsfall jeder Hacker schnell im Internet recherchieren kann, einen ganz normalen Front-End-Zugang und ansonsten über keinerlei Informationen oder gar Zugangsdaten zu Accounts.

Viele der Sicherheitsbedrohungen, die unsere Schlagzeilen beherrschen, können eigentlich nur plausibel als ein Angriff auf ERP-Systeme erklärt werden. So etwa die Weitergabe von Steuer-CDs oder der Zugriff auf Bankkontodaten. Die Dunkelziffer an verheimlichten Fällen

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Support-Ende von SMBv1

Mit dem aktuellen Update für Windows 10 und Windows Server 2016 steht eine Änderung ins Haus, die gerade für Benutzer älterer Linux-Distributionen große Auswirkungen hat. Nachdem Microsoft es über viele Jahre schon angekündigt hat, entfernt der Konzern mit dem aktuellen Update-Release den Support für das SMB-Protokoll 1. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2018

Microsite