Die Softwarebranche hat in den vergangenen 20 Jahren viele Milliarden Dollar in mehr Softwaresicherheit durch automatische Updates investiert. Ist Ihr SAP-System geschützt?
Ein Gastbeitrag von John Appleby
Die Chancen stehen gut, dass Sie in letzter Zeit Ihren Laptop aufgeklappt haben und eine Meldung Sie darüber informiert hat, dass zu Ihrer Sicherheit ein automatisches Update durchgeführt wurde. Das war längst nicht immer so. Noch vor 20 Jahren mussten Sie Updates manuell einspielen, ein Paradies für Hacker auf der Suche nach Sicherheitslücken, über die sich private Daten abgreifen lassen.
In den letzten 20 Jahren haben Softwarehersteller viele Milliarden Dollar ausgegeben, um durch Softwarebugs verursachte Angriffsvektoren zu schließen, die den Zugriff auf sensible Daten ermöglichen. Automatische Softwareupdates sollen heute Ihren Schutz gewährleisten, ohne dass Sie gezwungen sind, immer wieder manuelle Updates durchzuführen.
Man war zu der Erkenntnis gekommen, das Durchschnittsnutzer die Risiken verpasster Updates nicht wirklich verstehen oder zumindest davon ausgehen, dass ihnen schon nichts passieren wird und deshalb auf regelmäßige Updates verzichten. Ein ganz ähnliches Bild zeigt sich bei Herstellerrückrufen für Lebensmittel und Autos, weshalb Automobilhersteller im Fall der Fälle sehr viel Zeit damit verbringen, ihre Kunden ausfindig zu machen und sie darüber zu informieren, dass zum Beispiel ein undichter Kraftstofftank ausgetauscht werden muss.
SAP geht jedoch einen anderen Weg. Hier geht man davon aus, dass Kunden ihre Systeme schon selbst absichern werden, sie auf dem neuesten Stand halten und Einstellungen zur Aufrechterhaltung der Sicherheit entsprechend anpassen. Natürlich gibt es Kunden, die dies auch sehr akribisch tun, das gilt insbesondere für Unternehmen in Hochrisikobranchen wie der Pharmaindustrie und für staatliche Stellen.
Ein neuer Onapsis-Bericht hat jedoch sehr deutlich gezeigt, dass die überwiegende Mehrheit der SAP-Kunden dies eben nicht tut. Nicht, weil es ihnen egal ist, sondern weil es so unglaublich kompliziert ist, die Sicherheit von SAP-Systemen zu gewährleisten. Im Folgenden erfahren Sie, welche Schlüsselbereiche dringend Ihre Aufmerksamkeit erfordern.
SAP-Updates lassen sich in drei Hauptkategorien unterteilen:
Was bedeutet das im Einzelnen?
Eine SAP-Version hat einen zeitlich begrenzten Support; SAP Business Suite 7.0 – die wohl am weitesten verbreitete SAP-Software – zum Beispiel wird noch bis ins Jahr 2025 unterstützt und bis dahin werden auch regelmäßig Sicherheitsupdates veröffentlicht. Es gibt aber natürlich auch Kunden, die ältere SAP-Version im Betrieb haben, deren Support längst ausgelaufen ist und für die keine Sicherheitsupdates verfügbar sind.
SAP stellt die Mehrzahl seiner Sicherheitsupdates per Support Package Stacks – also in einer Sammlung aus verschiedenen Softwareupdates – zur Verfügung. Die Zahl der betroffenen Codezeilen steigt da schnell in die Millionen und SAP zeichnet sich gerade dadurch aus, dass wirklich alles individuell anpassbar ist – so auch der von SAP gelieferte Code. In der Folge ist das Einspielen von Support Package Stacks immer auch mit hohen Kosten verbunden und sie werden von Kunden anders als Windows-Updates wenn überhaupt meist nur halbjährlich oder jährlich eingespielt.
Es gibt auch immer wieder Sicherheitsfixes, die als SAP Notes oder auch „Hot News“ bereitgestellt werden und manuell ins System eingespielt werden können. Betroffen sind in diesem Fall nur einige hundert oder tausend Codezeilen, was auch ein Einspielen mit minimalen Testaufwand möglich macht. Ihr SAP-Betriebsteam muss jedoch immer nach diesen Fixes Ausschau halten.
Investitionen in umfassende Sicherheitsaudits, in Penetrationstests und Best Practices sind ein Mittel. Unglücklicherweise sind solche Maßnahmen auch mit sehr hohen Kosten verbunden und lösen das Problem nur kurzfristig. Fakt ist, dass sich die Mehrzahl der Probleme in SAP-Umgebungen auf fehlerhafte Konfigurationen und falsche Versionen zurückführen lassen.
Was aber, wenn es eine Software gäbe, die:
- eine Best-Practices-Vorlagensammlung für alle diese Bereiche bereitstellt, die sich einfach auf Ihre spezifischen Anforderungen abstimmen lässt,
- diese Best Practices entweder automatisch auf Ihre Systeme anwendet oder tägliche Audits für Ihre Systeme automatisch durchführt,
- Sie unverzüglich informiert, wenn es in einem System zu Compliance-Verstößen kommt und jegliche Änderungen aufzeichnet,
- Sie mit Upstream-Service-Tickets versorgt, damit Sicherheitsproblemen ein Vorfall zugeordnet werden kann?
Habe ich Ihr Interesse geweckt? Kontaktieren Sie uns, um Ihre persönliche Demo zu vereinbaren.