SAP-Umgebungen richtig absichern

Im toten Winkel

SAP-Sicherheit ist ein in Unternehmen erschreckend vernachlässigtes Thema. Viele Firmen begehen grundlegende Fehler bei der Implementierung und im Betrieb ihrer SAP-Landschaft. Hinzu kommt die enorme Komplexität großer Umgebungen. Die Folgen können fatal sein. Dieser Beitrag gibt einen Überblick über typische Lücken und zeigt Wege für mehr Sicherheit auf.
Zum Jahresende dreht sich im IT-Administrator alles rund um das Thema 'Client- und Applikations-Virtualisierung'. So lesen Sie in der Dezember-Ausgabe, welche ... (mehr)

SAP-Sicherheit ist ein Problem. Zum einen, weil Gefahren hier nicht weniger relevant sind und aufgrund ihrer direkten Auswirkung auf Geschäftsprozesse enorme und unmittelbare Folgen mit sich bringen. Zum anderen, weil zu viele Beteiligte sich zuständig fühlen könnten und sich deswegen keiner zuständig fühlt. Für die Sicherheit kommen ja auch viele Personen in Frage: Der Softwarehersteller selbst, die jeweiligen ERP-Fachabteilungen, die Entwickler von Anwendungen, aber auch SAP-Berater, SAP-Partner, Kunden sowie externe und interne Auditoren. Und nicht zuletzt auch die Administratoren der Nicht-SAP-IT.

Vor allem fehlt es aber an Ressourcen. Auditoren bekennen unter der Hand, dass sie alle regelmäßig anfallenden Audits über ihre SAP-Systeme mit ganzen zwei Mitarbeitern bewältigen sollen. Solche Audits umfassen komplette SAP-Landschaften, unter Umständen bei einem Wildwuchs von historisch gewachsenen 300 oder bis zu 1.000 Instanzen und mit SAP-Servern, deren Eigenschaften durch über 1.500 Parameter definiert werden.

Großflächige Lücken

Das Resultat ist eindeutig: SAP-Penetrationstests, die beispielsweise die Experten von Onapsis in den letzten Jahren mit nur geringen Hilfsmitteln bei rund 1.000 Unternehmen durchführten, zeichnen ein erschreckendes Bild. Rund 95 Prozent der überprüften Systeme können als unsicher betrachtet werden. Bei den Tests verfügten die Experten lediglich über einige IP-Adressen von Servern, die im Zweifelsfall jeder Hacker schnell im Internet recherchieren kann, einen ganz normalen Front-End-Zugang und ansonsten über keinerlei Informationen oder gar Zugangsdaten zu Accounts.

Viele der Sicherheitsbedrohungen, die unsere Schlagzeilen beherrschen, können eigentlich nur plausibel als ein Angriff auf ERP-Systeme erklärt werden. So etwa die Weitergabe von Steuer-CDs oder der Zugriff auf Bankkontodaten. Die Dunkelziffer an verheimlichten Fällen

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Systeme mit Vamigru verwalten

Auch wer nur kleine Flotten von Linux-Servern verwaltet, freut sich über Werkzeuge, die ihm diese Arbeit erleichtern. Vamigru tritt mit diesem Versprechen an. Wir verraten, was es leistet und wie Sie es in der eigenen Umgebung in Betrieb nehmen. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite