RISE with SAP, das Serviceangebot der SAP zur Business Transformation in die SAP S/4HANA Cloud Private Edition, ist ein Paket verschiedener Werkzeuge, Services und Lizenzmodelle. Auf Ebene der Infrastruktur und grundlegenden Systeme werden dabei auch wichtige Sicherheitsaufgaben übernommen. Was die Anwendungen angeht, bleibt das Thema Security jedoch Sache des Unternehmens. Hierfür bedarf es zusätzlicher Sicherheitsinstrumente.
Von Holger Hügel, Product Management Director bei SecurityBridge.
Eine spezielle SAP-Security-Plattform ermöglicht tiefen Einblick in den Sicherheits- und Compliance-Status der SAP-Landschaft. Mit Funktionen für Systemhärtung, Echtzeit-Bedrohungserkennung, Patch-Management und ABAP Code-Analyse erfüllen SAP-Kunden die differenzierten RISE-with-SAP Anforderungen an die Sicherung ihrer ERP-Umgebung vor und nach der S/4HANA-Transition.
Migrationsprojekte beschleunigen sich, Security wird als fester Treiber für Effizienz und Compliance positioniert, Anwendungssicherheit als Teil einer integrierten Enterprise-Cybersecurity-Strategie umgesetzt.
Privileged Access Management-Ansatz
Eines der dringlichsten SAP-Sicherheitsprobleme liegt in der unpräzisen Verwaltung von Identitäten sowie im ungeregelten Zugriff auf (und der Autorisierung von) Anwendungen. Dem Missbrauch lässt sich hier ein Riegel vorschieben durch Echtzeit-Erkennung und selbstlernenden Identitätsschutz. Eine Sicherheitsplattform überwacht verdächtige Kontoaktivitäten und alarmiert im Verdachtsfall.
Ein proaktiver Ansatz, der – kombiniert mit dem Prinzip der Least Privilege – sicherstellt, dass jede:r nur die notwendigen Berechtigungen erhält, während gleichzeitig alle privilegierten Aktionen kenntlich gemacht werden. Schwer zu verwaltende „Dummy“-Identitäten sind bei einem solchen Privileged Access Management nicht mehr erforderlich.
Systemhärtung und Compliance
Zwar legt SAP für seine RISE-with-SAP-Umgebungen Mindestanforderungen für die Systemhärtung fest, dieser sollte jedoch um eine umfassende 360°-Ansicht der Sicherheitslage des Unternehmens auf Grundlage dieses Standards erweitert werden.
Eine Security-Plattform überwacht dafür zusätzlich die Einhaltung von Branchenregularien wie SOX, NIST, KRITIS oder NIS2. Sie bietet außerdem einen Überblick über die Sicherheit von SAP-Anwendungsschnittstellen und deren Kommunikation mit Drittanbietern - Bereiche, die vom Standard-Serviceumfang der SAP ausgeschlossen sind.
Kunden, die ihre Geschäftsprozesse über die SAP Business Technology Platform (BTP) individuell anpassen, benötigen außerdem Funktionen für deren Sicherung. Durch Scannen von benutzerdefiniertem ABAP-Code und Drittanwendungen lassen sich Schwachstellen in BTP-Erweiterungen bereits vor der Bereitstellung erkennen.
Audit-Protokollierung der Anwendungssicherheit
Über eine externe Plattform lassen sich des weiteren SAP-Audit-Logs in Echtzeit überwachen. Durch kontinuierlichen Einblick in Benutzeraktivitäten, Systemanomalien und potenzielle Datenlecks kann man sehr schnell gegen Bedrohungen vorgehen. RISE with SAP deckt mit seinem Standardansatz in erster Linie den Client 000 (Starter- und Entwicklungssystem für das Customizing) ab, die Überwachungsfunktionen müssen aber auf produktive Umgebungen ausgedehnt werden.
SAP erklärt ausdrücklich, dass der Kunde dafür verantwortlich ist. Eine Security-Lösung, die in der Lage ist, Ereignisse zu korrelieren, verbessert die Entscheidungsfindung. Sie sorgt dafür, dass sich die Sicherheitsteams auf tatsächliche Bedrohungen konzentrieren, anstatt sich im Großen und Ganzen zu verlieren.
Sichere Entwicklung benutzerdefinierter Anwendungen
Benutzerdefinierte Entwicklung und Änderungsmanagement sind oft übersehene Aspekte der SAP-Sicherheit, können aber erhebliche Schwachstellen beinhalten. Lösung ist die Einbettung automatisierter Codesicherheit in kundenspezifische SAP-Anwendungen auf der BTP.
Damit werden Entwicklungsabteilungen von Anfang an unterstützt, hohe Sicherheitsstandards bei der Erstellung von Anwendungen umzusetzen. Das Scannen von Code und Anwendungen von Drittanbietern vor der Bereitstellung verhindert ebenfalls, dass Schwachstellen in die Produktionsumgebung gelangen.
Anwendungsänderungsmanagement und Patching
Auch beim Patch-Management bekommt man mit RISE with SAP nur einen Basisbaustein. SAP kümmert sich um die wichtigsten Hot News (sehr kritische Sicherheitslücken) und dringende Sicherheitshinweise, die keinen Systemneustart erfordern. Für die Identifizierung aller anderen, für die SAP-Umgebung benötigten Patches sind die Kunden allein verantwortlich.
Eine Sicherheitsplattform spielt diese ein und koordiniert sie mit dem SAP ECS-Team (Enterprise Cloud Services) – ein traditionell mühsamer Prozess, der durch automatische Validierung und Analyse der Auswirkungen im Vorfeld erheblich beschleunigt und vereinfacht wird.
Wo die betrieblichen Auswirkungen neuer Patches im Vorfeld identifiziert werden, lassen sich Implementierungen effektiver planen und Ausfallzeiten minimieren. Zusätzliche Schutzebene wäre eine Funktion für virtuelles Patching, welche die Verwendung von anfälligem Code überwacht, bis permanente Patches angewendet werden, und so eine ununterbrochene Sicherheitsabdeckung gewährleistet.
Fazit
Zwar stellt RISE with SAP die grundlegende Integrität der Cloud-Infrastruktur sicher. Anwenderunternehmen müssen aber auch (und vor allem) die Anwendungsschicht stärken, in der sich die meisten Schwachstellen befinden. Dies kann eine gesonderte Security-Lösung leisten, die sich mit dem Modell der geteilten Sicherheitsverantwortung in RISE with SAP verbindet. So entsteht ein robuster Rahmen für die digitale Transformation für alle Unternehmen, die mit der Komplexität der Cloud-Migration und -Modernisierung zu tun haben.