Die steigende Zahl von Cyberangriffen auf deutsche Unternehmen im Jahr 2023 verdeutlicht einen alarmierenden Trend: Es ist nicht mehr die Frage, ob ein Unternehmen Ziel eines Angriffs wird, sondern wann dies geschieht. Mit der stetigen Weiterentwicklung der IT-Landschaften, der Integration von Cloud-Technologien und hybriden Infrastrukturen wächst auch die Angriffsfläche beträchtlich.
Angreiferinnen und Angreifer perfektionieren fortlaufend ihre Methoden und fokussieren sich gezielt auf Schwachstellen von Unternehmen. Dabei kann zwischen internen und externen Angreiferinnen und Angreifern unterschieden werden. Externe Angreifer sind in der Regel Hacker oder Cyberkriminelle, die von außerhalb auf des Unternehmensnetzwerks zugreifen und versuchen, sich unautorisierten Zugriff auf Systeme und Daten zu verschaffen. Interne Angreifer hingegen sind Mitarbeitende oder Partnerinnen und Partner des Unternehmens, die bereits Zugang zu internen Ressourcen haben und ihre privilegierte Position ausnutzen, um Schaden zu verursachen oder Daten zu stehlen. Diese Dynamik erschwert die frühzeitige Erkennung von Anomalien und Sicherheitsvorfällen erheblich, da sowohl interne als auch externe Bedrohungen berücksichtigt werden müssen. An dieser Stelle setzt Threat Detection für SAP an, um Unternehmen dabei zu unterstützen, ihre wertvollen Daten effektiv vor solchen Bedrohungen zu schützen.
Manuelle vs. Toolgestützte Erkennung
Die Wahl zwischen manueller und toolgestützter Erkennung spielt eine entscheidende Rolle. Die manuelle Erkennung durch die Betrachtung des Systems Audit Logs (SAL) ist aufgrund seiner Komplexität und des enormen Umfangs häufig zu anspruchsvoll und zeitintensiv, was dazu führen kann, dass Angriffe zu spät erkannt und potenziell verdächtige Aktivitäten übersehen werden. Dennoch leistet sie durch ihre gründliche Analyse einen wichtigen Beitrag zur Erfüllung der Prüferanforderungen. Im Gegensatz dazu bieten toolgestützte Erkennungslösungen entscheidende Vorteile. Diese Tools überwachen im Normalfall 10-20 verschiedene Protokolle in Echtzeit, reagieren sofort auf Bedrohungen und verarbeiten große Datenmengen effizient. Dadurch werden Reaktionszeiten verkürzt und die Sicherheitslage des Unternehmens erheblich verbessert, da Sicherheitsvorfälle zeitnah erkannt und angemessen behandelt werden können.
Ganzheitliche Sicherheitsüberwachung für SAP-Systeme
Für SAP-Systeme gibt es umfassende Möglichkeiten zur Angriffserkennung, sei es durch den Einsatz spezialisierter Tools oder durch die Unterstützung eines externen Managed Services. Mit Hilfe von maschinellem Lernen kann das System verdächtige Aktivitäten in Echtzeit erkennen und darauf reagieren. Es identifiziert Muster und Anomalien im Benutzerverhalten, die auf potenzielle Sicherheitsrisiken hinweisen könnten. Die Umsetzung eines solchen Threat Detection Services ist dabei flexibel und individuell auf das jeweilige Unternehmen anpassbar. Je nach Intensität und Häufigkeiten der Sicherheitsanalysen, die je nach spezifischen Anforderungen und Budget festgelegt werden können.
Relevanz und Herausforderungen
Obwohl Threat Detection für SAP zunehmend an Bedeutung gewinnt, stehen viele Unternehmen erst am Anfang der Implementierung solcher Sicherheitssysteme. Dies ist teilweise auf die Zurückhaltung bei der Freigabe von Budgets zurückzuführen, da Unternehmen die Komplexität und den vollen Nutzen solcher Lösungen noch nicht vollständig erfassen. Dennoch treibt die Gesetzgebung wie das IT-Sicherheitsgesetz die Notwendigkeit voran, Systeme zur aktiven Angriffserkennung einzusetzen. Ein besonderer Fokus einer solchen Threat Detection für SAP liegt auf der Erkennung interner Anomalien, also auf Aktivitäten innerhalb des Systems, die von bereits autorisierten Personen ausgehen. Dies ist besonders kritisch, da interne Bedrohungen oft schwerer zu erkennen und zu bekämpfen sind als externe Angriffe.
Von Pflichterfüllung zu strategischem Mehrwert
Bei der passiven Erfüllung von Compliance setzen Unternehmen spezialisierte Tools zur Angriffserkennung oder externe Managed Services lediglich ein, um gesetzliche und regulatorische Anforderungen zu erfüllen. Das bedeutet, dass sie nur die minimal notwendigen Maßnahmen implementieren, um Strafen oder rechtliche Konsequenzen zu vermeiden. Hingegen kann eine bewusste und individuelle Anwendung von Threat Detection für SAP Unternehmen einen erheblichen Wettbewerbsvorteil verschaffen. Durch die proaktive Anpassung und Optimierung der Sicherheitsmaßnahmen basierend auf den unternehmensspezifischen Anforderungen und Risiken können Bedrohungen nicht nur schneller erkannt, sondern auch effizienter abgewehrt werden. Die Einführung eines Tools um Angriffe auf SAP Systeme zu erkennen ist nur die halbe Miete – Es müssen auch entsprechende Ressourcen und Kapazität dafür vorgesehen und geschult werden. Problematisch hierbei ist, dass typische Forensik-Abteilungen kein SAP Know-how haben und die SAP Abteilung kaum IT-Forensik Know-how hat. Dadurch können sich teilweise auch Managed Services lohnen.
Ein Beitrag von Luca Cremer.
Quelle: mindsquare AGLuca Cremer, Partner und Bereichsleiter Security mindsquare AG
