SAP-Security

By on 26. Januar 2012 in Trends in München / no comments

In vielen Unternehmen laufen wichtige Prozesse auf SAP-Anwendungen, die eigenen Mitarbeiter, Lieferanten, Berater und Anbieter greifen je nach Administrationskonfiguration auf die Datenbestände zu. Das schafft Probleme hinsichtlich der Sicherheit, für die inzwischen spezielle Lösungen bereitgestellt werden.

Administration von SAP-Landschaften

Die SAP-Architektur jedes Unternehmens wird mit individuellen Privilegien und Berechtigungen ausgestattet, damit die sehr spezifischen Aufgaben ermöglicht und der Geschäftsbetrieb abgesichert werden können. In Kombination mit gewissen Tools kann dieser SAP-Zugriff auch Sabotage, Datendiebstahl und Betrug ermöglichen. Die verschiedenen Endgeräte und Übertragungsmedien sind ebenfalls nicht gegen solche Angriffe gefeit. In der Netzwerkumgebung kooperieren die SAP-Anwendungen mit dem Internet, Cloud-Services und E-Mail-Programmen. Daher muss eine SAP-Architektur überwacht werden. Event-Daten müssen zwingend aus verschiedensten Systemen gesammelt werden, beispielsweise aus dem kompletten Netzwerk-Equipment, also Routern und Switches sowie Load Balancers, aus Security-Geräten wie IPS, Firewalls und Proxy, aus Betriebssystemen, Applikationsservern, Datenbanken und sämtlichen Clientsystemen wie Smartphones, Notebooks und Workstations. Auch sind die Kommunikationsaktivitäten wie Chats, Exchange, Cloud-Services und Peer-to-Peer zu überwachen.

Zielrichtung der SAP-Security

Da die SAP-Landschaften sehr komplex sein können, sind die Organisationen und Unternehmen verpflichtet, für die nötige Sicherheit innerhalb der zahllosen Prozesse zu sorgen. Das ist nur über eine entsprechende Sicherheitsarchitektur und -konfiguration möglich. Bestimmte Szenarien zählen zu den Klassikern bei Angriffen auf ein SAP-System, zum Beispiel:
-Benutzer richten einen virtuellen Lieferanten ein und vergüten an einen Komplizen nicht ausgeführte Leistungen (Segregation of Duties)
-Administratoren erstellen neue Benutzer oder ändern eigenmächtig Berechtigungen (SoD)
-Benutzerrechte laufen in Konflikte
Es ist sicherzustellen, dass stets nur die tatsächlich nötigen Berechtigungen vergeben werden (Least Privilege). Organisationen können die Sicherheitsstruktur ihrer SAP-Architektur oft nur schwer nachweisen, die Kontrollen sind kaum zu automatisieren. Wenn bei veränderten Anforderungen an die Administration die Kontrollen nicht durchgängig zu gewährleisten sind, müssen ergänzende Maßnahmen ergriffen werden.
Der Anbieter it-cube.net verwendet mit dem Programm agileSI Agenten, welche die SAP-Quellsysteme direkt schützen, die Agenten selbst werden durch agileSI überwacht. Der Kern von agileSI ist ein Proxy, mit dem Daten aus SAP-Systemen gesammelt werden, die Ausgabe erfolgt in CEF (Common Event Format). Damit werden Meta-Daten auf einfache Weise in das SIEM-Tool importiert. Diese Lösung stellt eine sichere Variante für die SAP-Security dar.

foto:©Ohmega1982

 

About the author

More posts by

 

0 Comments

You can be the first one to leave a comment.

Leave a Comment