Avantra und SAP-Sicherheit: FAQ

Wir wissen, wie wichtig Ihnen die Sicherheit der SAP-Systeme in Ihrem Unternehmen ist. Angesichts zunehmender und noch dazu immer erfolgreicher Cyberangriffe braucht es hier einen etablierten Prozess.

Nachfolgend finden Sie einige häufig gestellte Fragen und Antworten zum Thema Sicherheit, die Ihnen einen Einblick in unseren Ansatz geben und Ihnen zeigen, wie Avantra Sie sicher zum Ziel bringt.

1. Wie wird Avantra bereitgestellt?

Die Entscheidung liegt weitestgehend bei Ihnen oder Ihrem Dienstleister. Avantra ist voll mandatenfähig und lässt sich überall bereitstellen. Die meisten unserer Kunden entscheiden sich, Avantra in ihrem eigenen Netzwerk bereitzustellen, entweder in einer virtuellen Maschinenumgebung oder auf einer Hyperscaler-Plattform.

2. Was bedeutet das für die Sicherheit meiner Daten?

Ihre Avantra-Daten sind allein Ihre Daten, sie gehören nur Ihnen und werden auch von Ihnen verwaltet. Wir haben keinen Zugriff auf sie.

3. Gilt das auch für Multi-Tenant-Umgebungen?

Avantra wurde von Anfang an als Multi-Tenant-Lösung entwickelt. Viele unserer Service Provider-Kunden verwalten mit einem einzigen Avantra-System zahlreiche Kunden. Es gibt Netzwerk-Gateways, die den Datenverkehr einschränken, außerdem bleiben die Daten der einzelnen Mandanten innerhalb der Avantra-Software selbst isoliert. Das bedeutet, dass Service Provider Teammitgliedern teilweisen Zugriff für bestimmte Kunden gewähren können.

4. Sammelt Avantra Nutzungsdaten?

Ja, wir sammeln einige wenige Aktivierungsdaten hinsichtlich Anzahl der eingesetzten Systeme und einige Kennzahlen darüber, welche Funktionen genutzt werden. Dies dient allein der Verbesserung des Produkts. Wir sammeln niemals personenbezogene Daten oder Geschäftsdaten aus Ihren SAP-Systemen. Wir gewährleisten maximale Transparenz hinsichtlich der übermittelten Daten. Unsere Kunden können den genauen Inhalt jederzeit direkt in Avantra einsehen.

5. Welchen Ansatz verfolgte Avantra in der Cybersicherheit?

Sicherheit hat für uns – ebenso wie für unsere Kunden – oberste Priorität. Darum gehen wir beim Thema Cybersicherheit keine Kompromisse ein. Wir überprüfen unsere Bibliotheken täglich auf bekannte Sicherheitslücken und bewerten sie auf Grundlage ihres Schweregrads. Bei weniger schwerwiegenden Problemen aktualisieren wir die Bibliothek in einer neueren Version von Avantra, während wir bei gravierenderen Sicherheitsproblemen umgehend eine neue Version veröffentlichen und unsere Kunden benachrichtigen.

6. Haben Sie eine Sicherheitszertifizierung?

Ja, wir sind nach ISO 27001 zertifiziert und haben einen sicheren Entwicklungsprozess implementiert, der kontinuierliche Sicherheitsverbesserungen gewährleistet. Wir unterziehen uns einer jährlichen externen Prüfung, halbjährlichen internen Prüfungen und halten vierteljährliche Meetings zur Überprüfung des Fortschritts ab. Darüber hinaus ergreifen wir bei Bedarf tägliche Maßnahmen. Wir arbeiten stets an langfristigen Möglichkeiten zur Verbesserung von Avantra und nehmen sie in unsere jährliche Hauptversion von Avantra auf.

Unsere Richtlinien zur Informationssicherheit sowie unser ISO 27001-Zertifikat sind auf Anfrage erhältlich.

Darüber hinaus sind wir von der SAP sowohl für S/4HANA als auch für RISE with SAP zertifiziert und haben uns von der SAP beraten lassen, wie wir unseren SAP-Transport so absichern können, dass Avantra nur auf bestimmte Funktionen und Daten zugreifen kann.

7. Hat Avantra Superuser-Zugriff auf SAP?

Nein, unser agentenbasierter SAP-Ansatz bedeutet auch, dass wir einen Zulassungslistenansatz für SAP-Funktionen und -Daten verfolgen. Hinzu kommt ein polymorpher Ansatz im SAP-Transportmanagement. Das bedeutet, dass wir nur einen Transport für die gesamte SAP-Überwachung und einen weiteren für die Automatisierung verwenden, was den Aufwand für Sicherheitsteams reduziert.

8. Gibt es bei Avantra Penetrationstests?

Im Rahmen unserer ISO27001-Zertifizierung führen wir jährlich einen Penetrationstest durch. Werden dabei Probleme gefunden, werden diese entsprechend ihrem Schweregrad behoben und regelmäßig überprüft.

Wir haben zudem Fortune-50-Kunden, die ihre eigenen jährlichen Penetrationstests und Code Reviews durchführen. Wir berücksichtigen deren Ergebnisse und lasen sie in unser Risikomanagement einfließen.

9. Haben Sie ein Bug-Bounty-Programm?

Ja, absolut. Alle Details dazu finden Sie hier. Bitte beachten Sie, dass das Bug-Bounty-Programm ausschließlich für die Avantra-Software selbst gilt und somit Kunden vorbehalten ist.

10. Kann ich weitere Einzelheiten für meine eigene Sicherheitsüberprüfung erhalten?

Selbstverständlich. Wir haben alles Wissenswerte für Sie in unserem englischsprachigen Security Whitepaper zusammengefasst.

11. Kann ich meine eigene Sicherheitsüberprüfung durchführen?

Wir empfehlen Ihnen, zunächst unser Security Whitepaper zu lesen. Sollten Sie danach auch weiterhin eine eigene Sicherheitsüberprüfung bevorzugen, nehmen Sie bitte Kontakt mit uns auf. Wir unterstützen Sie gerne bei der Vorbereitung. Der Avantra-Server und -Agent basieren auf Java. Darüber hinaus gibt es eine beträchtliche Menge an SAP ABAP-Code, den Sie überprüfen können.

Zu guter Letzt

Wir nehmen das Thema Sicherheit sehr ernst und wissen es zu schätzen, wenn unsere Kunden Zeit und Aufwand investieren, um uns ihr Feedback zu geben. Falls auch Sie etwas zum Thema Sicherheit beizutragen haben oder Fragen rund um die Sicherheit unserer Produkte haben, die Sie gerne in unseren FAQ sehen würden, haben wir immer ein offenes Ohr.

Wenn auch Sie teure Performance- und Sicherheitsprobleme mit Ihrem SAP-System vermeiden möchten, sprechen Sie noch heute mit einem unserer SAP-Experten.