SAP-Security erfordert spezielle Maßnahmen, die über die generelle IT-Sicherheit hinausgehen. Nicht allen Unternehmen sei das bewusst, erläutern Holger Hügel von SecurityBridge und Holger Bruchelt von Microsoft im aktuellen Podcast von "heise meets".
Entscheidend sei, dass das Bewusstsein für die Risiken und den Schutzbedarf von SAP-Systemen auf höchster Führungsebene ankommt. "Wenn ich nicht das Bewusstsein habe, wie risikoreich ich unterwegs bin", dann könne man auch nichts tun, sagt Hügel.
Dabei geht es nicht nur um technische Aspekte, sondern vor allem auch um organisatorische Maßnahmen und Prozesse. Admins sollten beispielsweise im Normalfall so gut wie nie mit vollen Rechten arbeiten. Erhöhte Rechte dürfe es nur bei Bedarf und mit temporärer Freigabe geben.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Podcasts immer laden
Beschleunigte Reaktion auf Vorfälle
Ein wichtiger Baustein sei die Auswertung von Log-Daten aus SAP-Systemen, um verdächtige Aktivitäten zu erkennen. Dabei komme es auf die Kontextinformationen an, wie Bruchelt betont: Es sei "ein Riesenunterschied", ob ein Benutzer eine VA02 oder eine SE16 aufruft.
Mit VA02 starten Anwender Standardfunktionen. Mit SE16 hätten sie dagegen vollen Zugriff auf alle Tabellen. Erkennt das System solch ungewöhnliche Aktionen, kann es Alarm schlagen und Gegenmaßnahmen einleiten, wie zum Beispiel einen Benutzer zu sperren. Das müsse innerhalb von Minuten erfolgen, um den Schaden zu begrenzen.
Der Mensch bleibt die größte Schwachstelle
Doch technische Maßnahmen alleine reichen nicht aus. Die größte Schwachstelle bleibt der Mensch. Hügel verweist auf Beispiele, in denen Mitarbeiter leichtfertig Phishing-Mails zum Opfer fallen und Angreifern so Tür und Tor öffnen. Dagegen helfen nur Schulungen und Awareness-Maßnahmen. Auch Führungskräfte müssen dabei mitmachen.
Das Bewusstsein für Risiken zu schaffen, sei eine Daueraufgabe – genauso wie ständiges Anpassen und Verbessern von Schutzmaßnahmen. Angesichts immer neuer Angriffsmethoden bleibe IT-Sicherheit jedoch ein Katz-und-Maus-Spiel.
Ein vollständiges Transkript der aktuellen Podcast-Episode von heise meets gibt es unter den Shownotes bei Podigee zu lesen.
(mki)
English (US) ·