Wir wissen, wie wichtig die Sicherheit Ihrer SAP-Systeme in Ihrem Unternehmen ist. Da Cyberangriffe immer erfolgreicher werden, ist es unerlässlich, über einen entsprechenden Prozess zu verfügen.
Im Folgenden finden Sie einige häufig gestellte Fragen zum Thema Sicherheit, die Ihnen einen Einblick in unseren Ansatz geben und aufzeigen, wie Avantra Sie auf diesem Weg unterstützen kann.
1. Wie wird Avantra bereitgestellt?
Das liegt weitgehend bei Ihnen oder Ihrem Dienstanbieter. Wir sind vollständig mandantenfähig und können überall bereitgestellt werden. In der Regel stellen Kunden Avantra innerhalb ihres Netzwerks bereit, entweder in einer virtuellen Maschinenumgebung oder bei einem Hyperscaler.
2. Was bedeutet das für die Datensicherheit?
Ihre Avantra-Daten gehören Ihnen – sie stehen vollständig in Ihrem Eigentum und werden von Ihnen verwaltet. Wir haben keinen Zugriff darauf.
3. Wie sieht es in einer mandantenfähigen Umgebung aus?
Avantra wurde von Anfang an als mandantenfähige Lösung konzipiert, und viele unserer Dienstleistungskunden nutzen ein einziges Avantra-System zur Verwaltung zahlreicher Kunden. Es gibt Netzwerk-Gateways, die den Datenverkehr einschränken, sowie eine Mandantenisolierung innerhalb der Avantra-Software selbst; dies bedeutet, dass Dienstleister ihren Teammitgliedern teilweisen Zugriff auf bestimmte Kunden gewähren können.
4. Erfasst Avantra Nutzungsdaten?
Ja, wir erfassen in begrenztem Umfang Aktivierungsdaten zur Anzahl der genutzten Systeme sowie einige Kennzahlen dazu, welche Funktionen genutzt werden, um unser Produkt zu verbessern. Wir erfassen niemals personenbezogene Daten oder geschäftliche Daten aus Ihren SAP-Systemen. Wir legen sehr transparent offen, welche Daten übermittelt werden, und Kunden können den genauen Inhalt direkt in Avantra selbst einsehen.
5. Wie gehen Sie das Thema Cybersicherheit an?
Sicherheit hat für uns ebenso wie für unsere Kunden höchste Priorität, weshalb wir bei der Cybersicherheit einen konsequenten Ansatz verfolgen. Wir überprüfen unsere Bibliotheken täglich auf bekannte Sicherheitslücken und bewerten diese je nach Schweregrad. Bei weniger schwerwiegenden Problemen aktualisieren wir die Bibliothek in einer neueren Version von Avantra, während wir bei schwerwiegenderen Problemen umgehend eine neue Version veröffentlichen und unsere Kunden benachrichtigen.
6. Verfügen Sie über eine Sicherheitszertifizierung?
Ja, wir sind nach ISO 27001 zertifiziert und haben einen sicheren Entwicklungsprozess sowie einen Prozess zur kontinuierlichen Verbesserung der Sicherheit eingeführt. Wir führen ein jährliches externes Audit, halbjährliche interne Audits und vierteljährliche Besprechungen zur Überprüfung der Fortschritte durch und ergreifen bei Bedarf täglich entsprechende Maßnahmen. Wir ermitteln langfristige Möglichkeiten zur Verbesserung von Avantra und integrieren diese in unsere jährliche Hauptversion von Avantra.
Unsere Richtlinie zur Informationssicherheit sowie unser ISO 27001-Zertifikat sind auf Anfrage erhältlich.
Wir sind zudem von SAP sowohl für S/4HANA als auch für RISE with SAP zertifiziert und haben uns von SAP beraten lassen, wie wir unseren SAP-Transport so absichern können, dass Avantra nur auf bestimmte Funktionen und Daten zugreifen kann.
7. Verfügt Avantra über Superuser-Zugriff auf SAP?
Nein, unser agentenbasierter Ansatz für SAP bedeutet, dass wir bei SAP-Funktionen und -Daten nach dem Whitelist-Prinzip vorgehen. Außerdem verfolgen wir beim SAP-Transportmanagement einen polymorphen Ansatz. Das bedeutet, dass wir nur einen Transport für die gesamte SAP-Überwachung und einen für die Automatisierung nutzen, was den Aufwand für die Sicherheitsteams verringert.
8. Wie sieht es mit Penetrationstests aus?
Im Rahmen unserer ISO 27001-Zertifizierung führen wir jährlich einen Penetrationstest durch; alle dabei festgestellten Probleme werden entsprechend ihrem Schweregrad behoben und regelmäßig überprüft.
Einige unserer Fortune-50-Kunden führen zudem eigene jährliche Penetrationstests und Code-Reviews durch, deren Ergebnisse wir in unseren Risikomanagementprozess einbeziehen.
9. Bieten Sie ein Bug-Bounty-Programm an?
Selbstverständlich, die Details finden Sie hier. Bitte beachten Sie, dass das Bug-Bounty-Programm für die Avantra-Software selbst gilt und daher auf Kunden beschränkt ist.
10. Kann ich weitere Informationen zu meiner Sicherheitsüberprüfung erhalten?
Lesen Sie auf jeden Fall unser Sicherheits-Whitepaper.
11. Kann ich meine eigene Sicherheitsüberprüfung durchführen?
Wir empfehlen Ihnen, zunächst unser Sicherheits-Whitepaper zu lesen. Sollten Sie danach dennoch eine Sicherheitsüberprüfung für notwendig erachten, wenden Sie sich bitte an uns, damit wir Ihnen bei den ersten Schritten helfen können. Der Avantra-Server und der Avantra-Agent basieren auf Java, und wir verfügen zudem über eine beträchtliche Menge an SAP-ABAP-Code, den Sie einsehen können.
Abschließende Worte
Wir nehmen das Thema Sicherheit sehr ernst und schätzen es sehr, wenn sich unsere Kunden die Zeit nehmen und die Mühe machen, uns Feedback zu geben. Wenn Sie Anregungen zum Thema Sicherheit für uns haben oder Fragen zur Sicherheit, die Sie gerne in unseren FAQ sehen würden, teilen Sie uns diese bitte mit.
Wenn Sie kostspielige Leistungs- und Sicherheitsprobleme mit dem SAP-System vermeiden möchten, sprechen Sie noch heute mit einem unserer SAP-Experten.