SAP Security Days

Das Thema IT-Sicherheit, vor allem das Thema SAP-Sicherheit ist zu einem in den Medien nun sehr präsenten Thema geworden. Das ist eine positive Entwicklung, denn jahrelang hat das Thema Sicherheit ein Schattendasein gefristet, wenn es überhaupt auf der Agenda eines SAP-Bereichs in einem Unternehmen kam.

Das Thema SAP Sicherheit ist natürlich spannend und so kommen mit der Diskussion des Themas auch immer wieder die Aufreger-Themen hoch, in denen von wilden IT-Hacks und geopolitischen Verschwörungen nur so fabuliert wird.

Leider ist beides auch wahr und so sehr die Schilderungen der Hacks populistisch klingen, so sehr muss man auch immer wieder sagen, dass sie eine reale Bedrohung darstellen.

 

Der folgende Artikel ist eine teilweise Vorabveröffentlichung eines Artikes von mir und Daniel Berlin in der Zeitschrift SAPPORT im April 2016.

In regelmäßigen Abständen veranstaltet die SAP Security Events für Kunden und dieses Jahr wurde es zusammen mit der NTT Com Security veranstaltet. Der Director Consutling der NTT Com Security, Patrick Schraut, hatte dies mit sehr sprechenden, wenn auch beunruhigenden Zahlen illustriert. Von siebzig SIEM-Projekten (Security Information Event Management wie IBM Guardium oder HP Arcsight), also von siebzig Projekten, die eine Schutzarchitektur über alle Systeme des Unternehmens legen sollen, hatten nur zwei (!) eine SAP-Einbindung vorgesehen.

Zu den Gründen gab Schraut an, das eine Mischung aus technischen Schwierigkeiten, einem Kampf um Zuständigkeiten zwischen allgemeiner IT und SAP-IT und schlicht Komplexität der SAP Architektur die Gründe waren, eine Integration erst einmal gar nicht in den Projektplan aufzunehmen.

Diese Argumente sind leider in fast allen Projekten in Kundenlandschaften tägliche Realität. Redet man mit neuen Kunden erstmalig über Security, hört man zuerst einmal eine Litanei an Gründen, warum gerade hier SAP Sicherheit kein Thema ist, von Arbeitsüberlastung, Budget-Problemen, Zuständigkeiten und mangelndem Fachpersonal ist immer die Rede.

Eigentlich hätten die anwesenden Kunden nur weiter zuhören müssen. Jörg Zierke, von Februar 2004 bis November 2014 Präsident des deutschen Bundeskriminalamts (BKA), zeigte in eindrucksvollen Zahlen und Fakten die aktuelle Bedrohungslage. Hier war kein Panikmacher am Beschreiben der aktuellen Bedrohungsvektoren, sondern ein profunder Kenner aus der Mitte der Bedrohungslage.

Dieser Vortrag deckt sich sehr mit den Angriffsvektoren, mit denen man konfrontiert wird, wenn man mit Organisationen wie der Allianz für Cyber-Sicherheit des BSI zusammen arbeitet und diskutiert. Auch hier, vom Angriff auf Hochöfen bis zur Analyse des Hacks auf den Bundestag, zeigt sich, wie sich Cyber-Kriminalität, Wirtschaftsspionage und geopolitische Interessen zu einer gefährlichen Allianz vermischen, deren Bedrohung tägliche Realität ist.

Doch wie soll man sich als in der Verantwortung eines SAP-Bereichs, eines in der Verantwortung von IT-Sicherheit stehender Person verhalten, wenn man sich dem Thema „Sicherheit und Sicherung von SAP-Systemen stellen will?

Alles in der IT eines Unternehmens maximal abzusichern heißt letztendlich, das am Ende die Systeme gar nicht zugänglich sind – die ultimative Sicherheit ohne Nutzwert. Die große Frage, bevor überhaupt Sicherheitsprojekte im SAP-Bereich begonnen werden, ist die Frage nach Risiko, Bedrohung und Notwendigkeit der Abwehr. Brauchen wir überhaupt IT-Sicherheit? Ist die aktuelle Diskussion nicht nur ein überhitzte Diskussion, ein „Hype“, um immer teurere Produkte in den Markt zu bringen? Wo liegen überhaupt die Bedrohungen? Die Frage, die sich hieraus für viele Führungskräfte, aber auch Mitarbeiter in Projekten ergibt, ist die Frage nach der eigentlichen Bedrohung, des Schadenspotentials innerhalb des eigenen Unternehmens.

SAP-Verantwortliche stellen immer wieder fest, das nicht nur das eigene Unternehmen, die eigene öffentliche Institution oder Organisation, sondern auch die globale Ökonomie, in die man selbst eingebettet ist, ein sicheres System für den Schutz der Information und der Informationstechnologien braucht. Die Widerstandsfähigkeit in den Netzen der Cyber-Welt muss auf allen Ebenen erhöht werden, denn nur mit einem soliden Maß an Sicherheit in den eigenen Systemen und der umgebenden Cyber-Welt kann man technologische Innovation für das eigene Unternehmen gewährleisten. Im Zeitalter der Digitalisierung, der Industrie 4.0 und dem Wert, der in jeder Information steckt und den Mehr-Wert der Unternehmen zunehmend bestimmt, ist die Kenntnis und Bewertung der Informationen der wichtigste Schritt zu deren Schutz.

Die kritische Frage ist, die nach dem Handeln: Was können Sie in Ihrem Unternehmen veranlassen, was kann und was muss man tun, um diesen Rahmenparametern der globalen und lokalen Ökonomie zu entsprechen, um die Widerstandsfähigkeit des eigenen Unternehmens in der Cyber-Welt zu gewährleisten?

Im Januar 2014 hat das Weltwirtschaftsforum in Davos zusammen mit der Beratungsgesellschaft McKinsey eine Studie heraus gegeben. In der sehr lesenswerten Studie „Risiko und Verantwortung in einer hyper-vernetzten Welt” wird der Begriff der „Cyber-Resilience“ geprägt, der Ausdruck eines dringend benötigten, die Unternehmen verbindenden Verständnisses ist. Nicht nur das eigene Unternehmen, alle Unternehmen sind in dieser Cyber-Welt gleichzeitig diesen Bedrohungen ausgesetzt. Und auch nur in einer unternehmensübergreifenden, globalen Ansicht auf die möglichen Angriffsvektoren kann der erste Ansatz einer sicheren Unternehmens-Strategie liegen.