Enterprise Resource Planning (ERP) bildet in vielen Unternehmen das Rückgrat der Informationsverarbeitung und umfasst Kernsysteme wie Finanzen, Personalwesen, Fertigung, Logistik oder Warenwirtschaft. Die Systeme von SAP sind deshalb ein attraktives Ziel für Cyber-Kriminelle.
Kein fabrikneues ERP-System dieser Welt kann in sich abgeschlossen bleiben, denn es beginnt erst in der jeweiligen Anwendung zu „leben“. Bei der Implementierung in die Unternehmens-IT und bei der Anpassung an die betrieblichen Gegebenheiten – ob Großkonzern oder Mittelständler, ob Hightech-Industrie oder Dienstleistungssektor – wird jedoch oft zu wenig auf die Sicherheit geachtet: unzureichende Konfigurationen, unsichere Eigenentwicklungen, veraltete Patch-Stände, Möglichkeiten für einen unberechtigten Zugriff … die Liste der potenziellen Sicherheitslücken ist lang. Die SAP-Security-SpezialistInnen von SEC Consult verschaffen hier einen nötigen Überblick, wo Gefahren lauern, und helfen bei der Absicherung.
Khalil Bijjou, Head of SAP Security, SEC Consult AG, betont, wie wichtig ein ganzheitlicher Blick auf die IT-Sicherheit ist: „Auch die SAP-Anwendungen müssen von Beginn an in die sichere Gestaltung der gesamten Systemlandschaft mit eingebunden werden. Sind sie richtig implementiert? Wie sicher sind Benutzer- und Rechteverwaltung, Schnittstellen, Notfallkonzepte oder Businessanwendungen, auf welchem Stand ist das Patch-Management, wie funktioniert es auf der Betriebssystemebene? Auch die Cyber-Security-Awareness im Unternehmen sollte allerspätestens vor der Implementierung auf den neuesten Stand gebracht werden.“
Dank umfassender Tests der Einstellungen von Basis-Systemen, Schnittstellen, Applikationen und Datenbanken auf unsichere Konfigurationen können Schwachstellen wie auch Verstöße gegen Best-Practice-Verfahren aufgedeckt werden. Die SAP-Experten des Beratungsunternehmens für Cyber- und Applikationssicherheit prüfen auch die firmeninternen Sicherheitsrichtlinien für die Konfiguration, ebenso können Eigenentwicklungen auf Stimmigkeit und Korrektheit geprüft und deren richtige Verwendung sichergestellt werden. Mit der Kombination aus automatisierten und händischen Prüfungen lässt sich eine größtmögliche Abdeckung der verschiedenen Themen sicherstellen. (rhh)
