Wenn wir über IT-Sicherheit oder Cybersicherheit sprechen, denken wir meist an Penetrationstests, Endpunkt- und Netzsicherheit, Identitätsmanagement usw. Nicht oft an SAP-Sicherheit. Warum ist SAP-Sicherheit so besonders?
Ein SAP-Produkt ist ähnlich wie jedes andere Produkt auf dem Markt. SAP läuft auf einem Betriebssystem, verwendet eine Datenbanklösung und bietet den Endnutzern über ein Netzwerk Zugang. Aber was die Produktsicherheit selbst betrifft, haben Sie recht, es ist etwas Besonderes, denn SAP wurde so konzipiert, dass der Zugriff auf die Daten auf einem sehr niedrigen Niveau gesichert ist. Wenn Sie ein strenges Berechtigungskonzept definieren und es in SAP anpassen, haben Sie ein hohes Maß an Schutz.
Könnten Sie die spezifischen Dienstleistungen, die Ihr SAP-Sicherheitsberatungsangebot umfasst, erläutern? Und wie passen Sie Ihre SAP-Sicherheitsberatungsdienste an die spezifischen Bedürfnisse und Anforderungen jedes Kunden an?
Meine SAP-Sicherheitsberatung deckt im Wesentlichen die 10 bekanntesten Sicherheitslücken ab:
- Konfigurationsfehler und das Belassen von Einstellungen auf unsicheren Standardwerten.
- Unzureichend verwaltete Sicherheitsprotokolle
- Unvollständiges Patch-Management
- Standard-Credentials
- Unzureichende Kontrollen der Benutzerautorisierung
- Ungesicherte Schnittstellen
- Unzureichende Authentifizierung
- Unsicherer benutzerdefinierter Code
- Mangelndes Sicherheitsbewusstsein
- Veraltete und nicht unterstützte Systeme
Ich kann dann die Qualität des aktuellen Sicherheitsniveaus bewerten und auf der Grundlage der Ergebnisse Lösungen vorschlagen, um es zu verbessern.
Welche Methodik und welchen Ansatz verfolgen Sie bei der Durchführung von SAP-Sicherheitsbewertungen? Wie ermitteln Sie Schwachstellen und bewerten Sie die allgemeine Sicherheitslage von SAP-Umgebungen?
Normalerweise führe ich ein Interview durch oder habe, wenn möglich, direkten Zugang zum SAP-System: Dann gehen wir rund 200 Prüfpunkte durch und stelle die endgültigen Ergebnisse zur Verfügung.
Was sind in der Regel die größten Herausforderungen in der SAP-Umgebung, die sich auf die Sicherheit auswirken?
Meiner Erfahrung nach sind es Benutzer mit „privilegiertem Zugang“ wie z.B. administrative Rechte, manchmal sogar volle Rechte! Dabei kann es sich um gemeinsam genutzte Benutzer oder interne Benutzer handeln, aber auch um externe oder SAP-Support-Mitglieder. Dies sollte in Echtzeit erkannt und überwacht werden.
Gibt es einen signifikanten Unterschied in der Herangehensweise zwischen der SAP Version R/3 oder S4Hana?
Nein, ich sehe keinen unterschiedlichen Ansatz; der einzige große Unterschied bei S/4 ist die Möglichkeit, eine große Menge an Daten in Echtzeit zu verwalten (alles im Speicher).