sdecoret - stock.adobe.com
Wie man die Sicherheit von SAP ECC erhöht
Lernen Sie die wichtigsten Schritte kennen, die Unternehmen bei SAP ECC ausführen sollten, um ihre Sicherheit zu erhöhen und vor Cyberattacken gewappnet zu sein.
Cybersicherheit hat für Unternehmen auf der ganzen Welt nach wie vor oberste Priorität – nicht zuletzt deshalb, weil aufsehenerregende Hacking-Attacken die Risiken der Geschäftstätigkeit in einer stark vernetzten Welt deutlich gemacht haben. Unternehmen, die weiterhin SAP ECC einsetzen, gelten als besonders gefährdet. Sie müssen noch mehr tun, um Bedrohungen einen Schritt voraus zu sein.
Unternehmen, die SAP ECC On-Premises einsetzen, sollten besonders vorsichtig sein. In den vergangenen Jahren herrschte die gängige Meinung vor, dass Cloud-Software für Sicherheitsprobleme in gewisser Weise anfälliger sei als lokale Systeme. Doch es zeigt sich immer mehr, dass das Gegenteil der Fall ist.
Unternehmen, die On-Premises-Software einsetzen, sind in der Regel für den Schutz ihrer eigenen Systeme verantwortlich und damit anfälliger für Angriffe. Für gehostete SaaS-Umgebungen ist hingegen oft geschultes 24/7-Personal zuständig, das die Systeme zuverlässig überwacht und Bedrohungen abwehrt.
Hier sind einige wichtige Schritte, die Unternehmen mit On-Premises SAP ECC angehen sollten, um ihre Sicherheit angesichts der zunehmenden Bedrohungen zu erhöhen.
Weisen Sie für die SAP-Sicherheit klare Verantwortlichkeiten zu
SAP-Systeme sind komplex und vielschichtig, und es existieren verschiedene Sicherheitsvorkehrungen für ECC, BW, HCM, CRM und die vielen anderen Anwendungen unter dem Dach von SAP. Diese Komplexität bedeutet, dass Unternehmen Experten einsetzen sollten, die sich mit den Feinheiten der SAP-Software auskennen. Die Fachleute müssen eine angemessene Bandbreite für die Überwachung von Schwachstellen, die Prüfung der Systemsicherheit und die Festlegung und Durchsetzung von Richtlinien bereitstellen können.
Schwachstellen auf der Ebene der Datenbank oder des Betriebssystems sind ein äußerst wichtiges Anliegen, weshalb eine effektive Kommunikation und definierte Prozesse zwischen den verschiedenen Sicherheitsspezialisten unerlässlich sind.
Behalten Sie den Überblick über Benutzer, Rollen und Berechtigungen
Die Verwaltung von Benutzern und Berechtigungen wird in Unternehmen oft lax gehandhabt. SAP ECC umfasst individuelle Benutzer, von denen jeder eine oder mehrere Rollen haben kann. SAP stellt eine Sammlung von vorkonfigurierten Rollen zur Verfügung, mit denen diese genau festgelegt werden.
Administratoren sollten diese Liste prüfen, bevor sie eine neue Rolle von Grund auf erstellen. Ein weiteres bewährtes Verfahren ist die Verwendung des SAP-Profilgenerators beim Hinzufügen oder Pflegen von Rollen und Berechtigungen in ECC. Auf diese Weise wird sichergestellt, dass während des Prozesses nichts übersehen wird, einschließlich der Möglichkeit, einen zu weitreichenden Zugriff zu gewähren.
Wie bei jedem System sollten Unternehmen Benutzer, Rollen und Berechtigungen routinemäßig überprüfen. Sind irgendwelche Berechtigungen zu weit gefasst? Sind Administratorrechte auf diejenigen beschränkt, die sie wirklich benötigen? Sollten Benutzer aktuelle Berechtigungen widerrufen? Korrigiert die IT die Informationen für die Benutzeranmeldung sofort, wenn ein Mitarbeiter das Unternehmen verlässt?
Setzen Sie die Sicherheitshinweise von SAP umgehend um
Die Sicherheit von SAP-Systemen konzentriert sich hauptsächlich auf die Benutzerrechte. Unternehmen müssen aber auch die Sicherheitshinweise von SAP im Auge behalten.
SAP veröffentlicht routinemäßig Sicherheitshinweise zu potenziellen Cybersecurity-Problemen. Die Publizierung erfolgt normalerweise am zweiten Dienstag eines jeden Monats, der mit dem Patch Day des Unternehmens zusammenfällt und mit anderen Software-Unternehmen abgestimmt wird. Wenn Unternehmen einen Sicherheitshinweis erhalten, wägen viele das Risiko gegen die potenziellen Kosten einer sofortigen Behebung ab. Sind Systemausfälle zu befürchten, können Unternehmen einige Korrekturen aufschieben – doch sollten sie das Risiko sorgfältig abwägen.
Stellen Sie die richtigen Tools zur Erkennung von Bedrohungen bereit
Zum Erkennen von Bedrohungen und für die Alarmierung der Administratoren verwenden die meisten Unternehmen ein SIEM-Tool (Security Information and Event Management). Ein solches Werkzeug ist insbesondere wichtig, wenn sofortige Maßnahmen erforderlich sind. Die Tools versuchen in der Regel, die IT-Infrastruktur zu schützen, indem sie fragwürdigen Netzwerkverkehr, fehlgeschlagene Anmeldungen und alle anderen Probleme überwachen.
SIEM-Tools sind normalerweise nicht speziell für die Anwendungssicherheit konzipiert. SAP bietet deshalb sein eigenes Sicherheitsüberwachungs-Tool: SAP Enterprise Threat Detection (ETD). Während sich SIEM-Software auf die Infrastruktur und den Netzwerkverkehr konzentriert, untersucht ETD die Anwendungsprotokolle von ECC und sucht nach anormalem Verhalten und Schwachstellen.
Obwohl Benutzer einige SIEM-Tools so konfigurieren können, dass sie SAP-Logs verfolgen, kann ETD Unternehmen mit ECC gezielter und auf verschiedene Weise helfen. SAP aktualisiert ETD routinemäßig mit neuen Bedrohungsmustern, sobald diese auftauchen, und bietet so eine zusätzliche Schutzebene, wenn neue SAP-Schwachstellen aufgedeckt werden. Darüber hinaus erfasst ETD die Protokolldaten, während sie aufgezeichnet werden, so dass die Informationen auch dann erhalten bleiben, wenn Hacker versuchen, ihre Spuren zu verwischen, indem sie diese Dateien löschen.
Einige Unternehmen haben auch Drittanbieter-Tools zur Erkennung von Bedrohungen und zur Sicherheitsüberprüfung von SAP-Anwendungen entwickelt. Unternehmen, die Sicherheitsprozesse automatisieren und routinemäßig umfassende Audits durchführen wollen, sollten den Einsatz dieser Tools in Betracht ziehen.
Entwickeln Sie bei Ihren Nutzern ein Sicherheitsbewusstsein
Unternehmen sind einer ständigen Gefahr durch Social Engineering ausgesetzt. Hacker versuchen routinemäßig, autorisierte Benutzer dazu zu bringen, ihre Anmeldedaten weiterzugeben. Dies erfolgt unter anderem durch Phishing-E-Mails oder echt erscheinende Telefonanrufe. Endbenutzer müssen lernen, bei E-Mail-Anhängen, betrügerischen Websites und nicht-autorisierten Desktop-Anwendungen misstrauisch zu sein.
Ein effektives SAP ECC-Sicherheitsprogramm sollte deshalb auch Schulungen zur Sensibilisierung der Endbenutzer umfassen. In diesen Trainings lernen die Mitarbeiter, potenzielle Probleme zu erkennen und sie umgehend an die dafür vorgesehenen Stellen zu melden.
