SAP-Umgebungen richtig absichern

SAP-Sicherheit ist ein Problem. Zum einen, weil Gefahren hier nicht weniger relevant sind und aufgrund ihrer direkten Auswirkung auf Geschäftsprozesse enorme und unmittelbare Folgen mit sich bringen. Zum anderen, weil zu viele Beteiligte sich zuständig fühlen könnten und sich deswegen keiner zuständig fühlt. Für die Sicherheit kommen ja auch viele Personen in Frage: Der Softwarehersteller selbst, die jeweiligen ERP-Fachabteilungen, die Entwickler von Anwendungen, aber auch SAP-Berater, SAP-Partner, Kunden sowie externe und interne Auditoren. Und nicht zuletzt auch die Administratoren der Nicht-SAP-IT.

Vor allem fehlt es aber an Ressourcen. Auditoren bekennen unter der Hand, dass sie alle regelmäßig anfallenden Audits über ihre SAP-Systeme mit ganzen zwei Mitarbeitern bewältigen sollen. Solche Audits umfassen komplette SAP-Landschaften, unter Umständen bei einem Wildwuchs von historisch gewachsenen 300 oder bis zu 1.000 Instanzen und mit SAP-Servern, deren Eigenschaften durch über 1.500 Parameter definiert werden.

Großflächige Lücken

Das Resultat ist eindeutig: SAP-Penetrationstests, die beispielsweise die Experten von Onapsis in den letzten Jahren mit nur geringen Hilfsmitteln bei rund 1.000 Unternehmen durchführten, zeichnen ein erschreckendes Bild. Rund 95 Prozent der überprüften Systeme können als unsicher betrachtet werden. Bei den Tests verfügten die Experten lediglich über einige IP-Adressen von Servern, die im Zweifelsfall jeder Hacker schnell im Internet recherchieren kann, einen ganz normalen Front-End-Zugang und ansonsten über keinerlei Informationen oder gar Zugangsdaten zu Accounts.

Viele der Sicherheitsbedrohungen, die unsere Schlagzeilen beherrschen, können eigentlich nur plausibel als ein Angriff auf ERP-Systeme erklärt werden. So etwa die Weitergabe von Steuer-CDs oder der Zugriff auf Bankkontodaten. Die Dunkelziffer an verheimlichten Fällen

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.