1 Einleitung
SAP-Sicherheit und GRC (Governance, Risk & Compliance) werden für viele Unternehmen immer wichtiger. Während traditionelle Systeme wie HR (Human Resources), ERP (Enterprise Resource Planning), CRM (Customer Relationship Management), SCM (Supply Chain Management) oder BW (Business Warehouse) im Mittelpunkt der wesentlichen Geschäftsprozesse stehen, führt der Umstieg auf SAP HANA, Big Data und Cloud-Lösungen eine weitere, entweder parallele oder integrierte, technologische Säule ein.
Die Gewährleistung eines angemessenen Sicherheits- und Konformitätsniveaus für die sich ständig verändernde Systemlandschaft der SAP-Infrastruktur ist von größter Bedeutung. Die Einhaltung gesetzlicher und regulatorischer Anforderungen ist ein wesentlicher Faktor im Unternehmen. Darüber hinaus verstehen immer mehr Unternehmen, dass ein angemessenes Sicherheitsniveau eine Schlüsselanforderung für den Schutz des geistigen Eigentums des Unternehmens und für den Schutz wichtiger Geschäftsdaten, wie z.B. hochsensible Kundeninformationen, ist.
Zukunftsorientierte Unternehmen integrieren starke Sicherheit in alle ihre Prozesse und Systeme, was für sicherheitsbewusste Partner und Kunden ohne Zweifel ein Alleinstellungsmerkmal ist. Eine angemessene Unternehmenssicherheitsstrategie (die typischerweise in einem geeigneten Regelwerk definiert ist) deckt ein breites Spektrum von Aspekten ab, von Audit und Fraud Management über IAM (Identity and Access Management) bis hin zu Risiko- und Prozessmanagement.
Konventionelle SAP-Sicherheit konzentriert sich auf Access Governance, d.h. die Verwaltung und Kontrolle von Berechtigungen, Benutzern, Rollen und Profilen. Dazu gehören Funktionen zur Rollenmodellierung sowie die Gestaltung und Implementierung von Lebenszyklus- und Workflow-Prozessen, einschließlich der Genehmigung von Anträgen und der Rezertifizierung. Ein typischer nächster Schritt ist die Steuerung geschäftsorientierter Prozesse wie die Anwendung von SoD (Segregation of Duties) Regeln oder die Einhaltung des Minimalprinzips (least privilege access).
Dies sind sehr wichtige Kriterien, aber die betriebswirtschaftlichen Aspekte dürfen nicht der einzige Fokus in Sachen SAP-Sicherheit sein. SAP-Systeme sind anspruchsvolle und komplexe Software-Infrastrukturen, die auf allen relevanten Ebenen gesichert werden müssen. Ausgehend von der Systemebene erfordert dies eine gehärtete und getestete Betriebssystembasis. Auf Netzwerkebene muss ein unsachgemäßer Zugriff auf das System verhindert werden.
Alle SAP-Komponenten und alle weiteren Komponenten von Drittanbietern müssen durch ein ausgereiftes Software-Update-Management auf dem neuesten Stand gehalten werden. Umfangreiche Informationen (z.B. Sicherheitshinweise) über erforderliche Patches und die Schwachstellen veralteter Softwareversionen sind abrufbar und können die Basis dafür bilden. Die Anwendung klar definierter Best Practices für die Konfiguration einzelner Komponenten und der gesamten SAP-Infrastruktur ist eine ständige Herausforderung und muss durch geeignete Werkzeuge unterstützt werden.
Das Erkennen und Verhindern von Informationslecks sind wahrscheinlich die wichtigsten Aspekte, wenn es um den Schutz wichtiger Datenbestände geht. Im Hinblick auf die sich ständig verändernde Bedrohungslandschaft mit internen und externen Bedrohungsakteuren wird die Echtzeit-Erkennung oder Verhinderung von Anomalien und unerwünschtem Verhalten durch den Einsatz ausgefeilter Analyse-Technologien immer wichtiger. Idealerweise wird dies durch gezielte Benachrichtigungen oder durch adäquate, automatisierte Reaktionen ergänzt.
Der Markt für GRC-Lösungen für SAP-Systeme entwickelt sich schnell. Die akquinet AG, ein Hamburger Anbieter, bietet Dienstleistungen und Lösungen im Bereich Standardsoftware wie SAP oder Microsoft Dynamics an. Ein Schwerpunkt liegt in der Bereitstellung von Software und Dienstleistungen für SAP Security und GRC, den SAST SOLUTIONS. AKQUINET nutzt die Erfahrungen und das Fachwissen aus einer Vielzahl erfolgreicher SAP GRC- und SAP-Sicherheitsprojekte und verbessert und erweitert kontinuierlich seine eigene, unabhängige Produktsuite für GRC, Zugangskontrolle und Sicherheit für SAP-Umgebungen.