<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=380018&amp;fmt=gif">
4 min read

Die Automatisierung befreit uns von dem falschen Gefühl der SAP-Sicherheit

Die Automatisierung befreit uns von dem falschen Gefühl der SAP-Sicherheit

Wenn es um den Schutz unserer wichtigsten Geräte und Systeme geht, könnten wir uns in falscher Sicherheit wiegen. Schließlich kommen die Apples und Microsofts dieser Welt zu uns, nicht einmal, wenn es ein Problem gibt, sondern nur, um sich zu melden. Um uns auf dem Laufenden zu halten. Um uns zu beruhigen, auch wenn wir mit unseren Gedanken ganz woanders sind.

In der Unternehmenswelt wird dieser Gedanke natürlich durch eine dringendere Notwendigkeit überlagert. Die überwiegende Mehrheit der Unternehmensgeräte ist im Alltag gut geschützt und wir lassen unsere Gedanken wieder in andere Betriebsbereiche schweifen in dem Wissen, dass entweder der Gerätehersteller oder unsere IT-Abteilungen alles im Griff haben.

Dies ist jedoch nicht immer der Fall, wenn es um SAP geht. 

Nicht weniger als 96 % des weltweiten Bruttoinlandsprodukts werden über SAP abgewickelt. Regierungen, Universitäten, Kernfertigung, Versorgungsunternehmen, Konsumgüter, Öl & Gas, Transport... die Liste ist endlos. Wenn Microsoft angegriffen würde, würden Linux und Xenix immer noch laufen. Würden SAP-Umgebungen weltweit lahmgelegt, käme derselbe Globus wirklich zum Stillstand. Nicht nur die Wirtschaft, sondern die gesamte Gesellschaft.

Dies ist kein Lagebericht, der schockieren soll. Vielmehr ist es ein Ausruf der Verwunderung, dass es bisher nicht mehr groß angelegte, öffentliche SAP-Hacks gegeben hat, wenn man bedenkt, welche dramatischen Folgen Cyber-Kriminelle zu erwarten haben. Es ist daher auch eine Erinnerung daran, dass das, was wir in Bezug auf unsere Infrastruktursicherheit für selbstverständlich halten, immer noch Raum für erhöhte Wachsamkeit, Verbesserungen und - ganz wichtig - Automatisierung bietet. 

Ein versteckter - aber anfälliger - Juwel

Erst im Juli wurde eine Sicherheitslücke namensRECON hat die Verwundbarkeit von mehr als 40.000 SAP-Systemen aufgedeckt  als Beweis für das Risiko, das lauert. SAP reagierte schnell mit einem Patch, aber RECONs Punktzahl von 10 von 10 des Common Vulnerability Scoring System (CVSS) zeigte die Bedrohung, die für die persönlichen Daten und Anwendungen der Anwender bestand.

Dies ist jedoch selten. Die Gründe, warum es bisher keinen aufsehenerregenden SAP-Vorfall gab, sind auf einen Blick drei verschiedene. Im Gegensatz zu Firewalls, Routern und Webservern sind SAP-Systeme keine Edge-Systeme - in den meisten Fällen handelt es sich um Core-Systeme. 

Außerdem neigen Unternehmen dazu, eine Schicht vor ihrem SAP-System zu installieren, da sie schwer zu patchen sind und nicht am Rande stehen. Dies dient sowohl als Schutz als auch als Ablenkung, da Hacker mit potenziell niedriger hängenden Früchten in einem früheren Stadium des Prozesses konfrontiert werden. Und schließlich verleiht der Status von SAP als eine Art spezialisiertes Rätsel ihm "Sicherheit durch Unklarheit". 

Es wird im Wesentlichen verdeckt als verstecktes, unerreichbares Juwel bewacht, obwohl es in Wirklichkeit immer noch anfällig ist, wie von RECON bewiesen.

Sie ist anfällig aufgrund der Art und Weise, wie Unternehmen ihren Schutz angehen. Die meisten verfolgen eine Strategie, bei der sie eine private Cloud, einen Hyper-Scaler, eine Version der R3 Business Suite oder S/4 HANA vor Ort betreiben und erwarten, dass sie sich intern darum kümmern. Anschließend wenden sie sich an ausgelagerte Dienstleister, die die Systeme scannen, Probleme identifizieren und eine Liste von Maßnahmen bereitstellen, die - wieder - intern durchzuführen sind. 

Dies ist Beratung, nicht Schutz. Was ist, wenn Sie eine Zero-Day-Schwachstelle finden? Sie geben das an SAP weiter und warten, bis diese Probleme gepatcht sind, wohl wissend, dass Sie für diese Zeit kompromittiert sind. Alle 100, 200, 300 Ihrer Systeme könnten in einem Bereich gefährdet sein, der für Sie, Ihren Betrieb, Ihre Lieferkette und Ihren Umsatz entscheidend ist. Und Sie haben nicht wirklich die Kontrolle über die Behebung der Situation.

 

Wiederholung des Patch-Tuesday-Models

Es besteht die absolute Notwendigkeit, die Denkweise der SAP-Sicherheit von periodischem Scannen und Reagieren zu einer eingebetteten Echtzeit-Automatisierung von Erkennung und Reaktion zu ändern.

Das derzeit größte Industrieunternehmen der Welt, Apple, legt so viel Wert auf SAP-Schutz, dass es Updates in China durchführt. Kein Internet ist gleichbedeutend mit keiner Chance auf Hackerangriffe.

Natürlich verfügt die Mehrheit der Unternehmen nicht über diese Art von Ressourcen. SAP-Schutz ist daher für die meisten zu teuer, um ihn konsequent und manuell durchzuführen. Aber auch zu wichtig, um es angesichts der Bedrohung und der Auswirkungen nicht zu tun.

Die Antwort, die zwischen diesen beiden polarisierenden Herausforderungen liegt, ist die Automatisierung.

Durch eine Partnerschaft mit einem AIOps-Anbieter erhalten Unternehmen die Möglichkeit, wichtige Funktionen auszuführen, zu denen sie derzeit nicht in der Lage sind. In der Theorie geht es um regelmäßige, taktische Updates und Patches, die manuell einfach nicht durchgeführt werden können.

Microsoft hat eine ähnliche Funktion bereits auf ‘Patch Tuesdays’. Hinzu kommen jeden dritten Dienstag im Monat Bewertungen und Aktionen rund um größere Systeme. 

Für SAP kann das gleiche Ethos auf die Automatisierung der SAP Kernel Updates, Anwendung von planmäßiger und laufender Wartung und Überwachung von Tausenden von Systemen, um kontinuierliche Sicherheit und Einblicke zu gewährleisten.

Ein echtes Gefühl von Sicherheit 

Stellen Sie sich vor, der manuelle Schutz von 1.000 Systemen würde eine Stunde pro System in Anspruch nehmen, um diese Fähigkeit in Stunden und Dollar auszudrücken. 1.000 Stunden Arbeit wurden soeben automatisiert. Das spart Zeit, Geld und erhebliche Investitionen in hochqualifizierte Fähigkeiten in einer komplexen Umgebung.

In der Zwischenzeit erkennt Ihr AIOps-Partner kontinuierlich mögliche Probleme, die sich auf Ihre Systeme auswirken könnten, holt die Genehmigung zum Eingreifen von den Besitzern dieser Systeme ein und installiert dann automatisch Patches. 

So schließt sich der Kreis und Sie können sich wieder ganz auf das Tagesgeschäft und die Unternehmensstrategie konzentrieren - nur diesmal mit sicheren SAP-Systemen. Ein echtes Gefühl der Sicherheit.

In Zukunft wird sich dieser Support-Level zu einem End-to-End-Support für alle SAP-Teile des Puzzles entwickeln. Da Cyber-Kriminelle immer besser werden und die Datensicherheit immer mehr zu einem Unterscheidungsmerkmal wird, werden der ROI und die Sicherheit umso deutlicher, je früher Sie in diese automatisierte, geschützte Zukunft investieren.

 

Ursprünglich veröffentlicht von Global Security Magazine