In den vergangenen Jahren war die Sichtweise auf SAP-Security eine Inselsicht: Ähnlich wie in der US-Fernsehserie „Lost World“ war die allgemeine Risikoeinschätzung, dass SAP-Systeme innerhalb eines Unternehmens hinreichend isoliert und nicht wahrnehmbar waren, um für Angreifer interessant zu sein. „Bis so ein Hacker-Kid einmal SAP kann, ist es selbst ABAP-Programmierer geworden“ war die Meinung der meisten IT-Verantwortlichen. Und es lag auch eine gewisse Wahrheit darin.
Heute wird auf jedem Kongress, mit Vorliebe auf der amerikanischen Black Hat-Convention oder der deutschen Variante Troopers, über SAP Attack Vectors referiert. Nicht mehr das „Script Kiddie“, der Schüler, der nachmittags die Tools ausprobiert, die er auf dem Schulhof von anderen bekommen hat, ist die Gefahr für Unternehmen, sondern Industriespionage und organisierte Kriminalität. Und das bedeutet eine dramatisch neue Qualität der Angriffe. Auch die Angriffe von innen, von unzufriedenen Mitarbeitern oder durch Administratoren, die durch Social Engineering aus sozialen Netzen kompromittiert wurden, stellen eine exponentiell gestiegene Gefahr dar. Wie stellen Sie oder Ihr Unternehmen sich nun für diese New World Order der Cyber-Welt auf?
SAP als Produkt ist nicht einfacher, sondern durch die Proliferation von Produkten und neuen Technologien immer umfangreicher und immer komplexer geworden. Sehen Sie sich nur die wichtigsten SAP-Produkte an, von SAP CRM und SAP SRM über Portale, mobile Infrastrukturen, Aufstieg und Fall von Java, Prozessorchestration und Virtualisierung. SAP HANA und die Cloud-Ansätze. Der nun allein agierende SAP-CEO Bill McDermott erhöht Innovationsdruck, Entwicklungsgeschwindigkeit und die Einführung neuer Oberflächen. Damit wird aber trotz des Credos „Run Simple“ auch für Sie als Kunden wieder die Komplexität der gesamten Landschaft erhöht. Dies wird übrigens auch von vielen Finanzanalysten weltweit kritisch betrachtet. Neue Produkte und Variationen bringen auch ebenso viele neue Angriffsvektoren mit sich. Wenn man dann multinationale Installationen hinzunimmt, Hunderte von Systemen und deren Wartungszyklus, dann kann man erahnen, dass jedes neue Projekt eine Bugwelle an Veränderungen durch die SAP-NetWeaver-Landschaft sendet.
Dazu kommen nun noch weitere neue Querschnittsthemen wie Datenschutz, Datensicherheit, Risikomanagement und Thread-Analyse, Attack-Vektoren und globale Cyber-Attacken? Und am Ende bietet ein sicheres System nach alten Kostenrechnungsmaßstäben noch nicht einmal einen Mehrwert für das Unternehmen?
Bevor Sie in irgendeiner Art und Weise über eine technische Ausgestaltung von Sicherheit nachdenken, müssen Sie zuerst diese Risikobetrachtung vornehmen, die immer auch als Handlungsleitfaden oder Projektleitfaden benötigt wird, um im Projekt zu navigieren und Prioritäten zu setzen. Neben den im Folgenden aufgeführten internationalen Standardisierungsgremien, die sich umfassende Gedanken gemacht haben, gibt es auch direkte Formulierungen, die sehr grafischen Charakter haben. Der ehemalige General und NSA-Direktor Michael Hayden hat es auf einem SAP-CRM-Kongress in Richtung der anwesenden SAP-Kunden direkt formuliert:
Risiko = Bedrohung x Verletzbarkeit x Konsequenz
Diese Risiko-Formel liegt leicht abgewandelt allen Sicherheitsmethoden und -normen zugrunde. Jedes Risiko ist letztlich das Produkt aus einer Wahrscheinlichkeit ihres Eintretens, multipliziert mit den Kosten des Schadens, wenn sie eintritt. Dies muss beziffert werden, und daraus leiten sich die Maßnahmen zur Absicherung ab. Wie bei einer Versicherung müssen Sie als Entscheider oder Mitarbeiter abwägen, ob die Kosten der Absicherung in Relation zu dem eintretenden Schaden stehen
Eine komplette Sicht auf die gesamte Welt der SAP Sicherheit bekommen Sie auch in meinem Buch:
Weitere Informationen zu dem Buch: SAP Systeme schützen
Kommentar hinterlassen
Du musst angemeldet sein, um einen Kommentar abzugeben.