itesys Logo
schwarze und silberne Sicherheitskameras an grauer Backsteinwand, die alle in eine Richtung zeigen.

Effiziente SAP Security
Build your “Security Wall” with us

Mit der Diversifizierung der SAP Systemlandschaften und auch mit der veränderten Arbeitswelt in der IT als Ganzes, sind Unternehmen zunehmend gefordert eine angemessene ganzheitliche Sicherheitsstrategie zu implementieren.

Mit der Diversifizierung der SAP Systemlandschaften und auch mit der veränderten Arbeitswelt in der IT als Ganzes, sind Unternehmen zunehmend gefordert eine angemessene ganzheitliche Sicherheitsstrategie zu implementieren.

Um dies sowohl in einem zeitlich als auch finanziell angemessenem Rahmen umzusetzen, empfiehlt sich eine zielgerichtete Herangehensweise, bei der in einem ersten Schritt mit der Schaffung eines Überblicks über die Systemlandschaft und einer Erstellung einer Risikoanalyse die wesentlichen Grundlagen für weitere Massnahmen geschaffen werden.

Ziel ist es, das Augenmerk auf besonders schützenswerte Systeme, Prozesse, Daten oder Schnittstellen zu legen, die in der Risikoanalyse ermittelt wurden. Aufgezeigt werden müssen alle Orte an denen sensible Daten abgelegt werden, so dass überall der gleiche Schutz hergestellt werden kann. Nicht zu vergessen sind die Übertragungswege, auch diese sind abzusichern.

Verschiedene Tools zur Umsetzung einer Sicherheitsstrategie

SAP stellt zur Umsetzung einer Sicherheitsstrategie verschiedenen Tools zur Verfügung. Dies beginnt beim allseits bekannten (1) Early Watch Report, der ein separates Kapitel zur Security enthält, welches von der Datenbank bis hin zu kritischen Berechtigungen reicht. Mit diesem werden generelle Sicherheitsaspekte adressiert. Sollte darin so eine Meldung auftauchen und die Benutzerzahlen in einem Produktivsystem in einem ähnlichen Verhältnis stehen, haben Sie ein ernsthaftes Problem.

Screenshot von Tabelle, die autorisierte Nutzer anzeigt.

Dies lässt sich dafür in der Regel schnell abstellen – Wir zeigen ihnen wie Sie dieses und andere Probleme beseitigen.

Um das System sicherheitstechnisch noch genauer zu beleuchten, stellt SAP den (2) Security Optimization Service zur Verfügung, der vom Kunden gebucht werden kann und der von SAP durchgeführt wird. Das Ergebnis des Checks ist ein umfassender Bericht der zu jeder Prüfung darstellt, wie und was geprüft wurde und zudem auch noch Empfehlungen enthält.

Wie bei jedem Softwaresystem gilt es auch bei SAP (3) regelmässig Sicherheitslücken durch Patches zu schliessen. Auch hier unterstützt uns SAP mit einem regelmässigen Patch Day und Security Notes. Um den Überblick zu behalten, stellt der (4) Solution Manager die sogenannten System Recommendations zur Verfügung. Diese ermitteln die pro System relevanten Sicherheitshinweise, so dass man diese zielgerichtet anwenden kann.

Bei der Vielzahl der sicherheitsrelevanten Aspekte kann es eine Herausforderung werden, den Überblick über die Konfigurationen der einzelnen Systeme zu behalten und diese gleich zu halten. Hier hilft uns SAP mit der ebenso im Solution Manager verfügbaren Configuration Validation, die Systeme gegen eine SAP Standard Konfiguration und auch zwei Kundensysteme miteinander vergleicht.

Prüfung auf Schwachstellen und Überwachung durch Echtzeit Monitoring

Insbesondere in ABAP Systemen, in denen häufig Kundenentwicklungen stattfinden, muss dafür gesorgt werden, dass sie mit Berechtigungsprüfungen so abgesichert werden, wie das auch der SAP Standard vorsieht. Um dies zu prüfen, stellt SAP die Code Vulnerability Analysis zur Verfügung, mit der der Quellcode strukturiert auf Schwachstellen untersucht werden kann. Wie zum Beispiel hier:

Parameters: p_table Type string.

.

.

.

CREATE DATA dataref Type (p_table).

Für den Laien nicht zu erkennen, für den Angreifer eine offene Tür um Kommandos einzuschleusen.

Wendet man die bisher gezeigten Vorgehensweisen und Tools an, hat man einen guten Grundschutz für die Systemlandschaft geschaffen. Diesen gilt es nun up to date zu halten und zum anderen sollte nun, ähnlich wie bei einem Gebäudeschutz, eine dauerhafte Überwachung stattfinden, um Einbrüche oder Einbruchsversuche sofort zu erkennen, um Gegenmassnahmen einleiten zu können. Hier setzen wir von itesys mit unserem eigenen SAP Monitoring Tool Scansor an, welches auf der Software PRTG basiert und ein Echtzeit​ Security Monitoring ​ übernimmt. Öffnet jemand den produktiven Mandanten? Weisst sich jemand kritische Berechtigungen zu? Verändert jemand sicherheitsrelevante Profilparameter? Verändert jemand im Debugging Feldwerte, um Berechtigungsprüfungen zu umgehen? Das Monitoring tool ​meldet es und ein «Angreifer» kann sofort gestoppt werden.

So etwas gilt es möglichst von vornherein zu verhindern. Für alle Benutzer auf einem System sollten die gleichen Regeln gelten. So gibt es auch keinen Grund z.B. bei externen Beratern eine Ausnahme zu machen, in der Realität sieht dies jedoch manchmal leider anders. Wir vermeiden das mit unseren vordefinierten Berechtigungspaketen für die Applikationen und insbesondere für den technischen Bereich.

Ebenso darf in Ausnahmesituationen die Systemsicherheit nicht vernachlässigt werden. Wenn es ein Problem im System gibt und das Business betroffen ist, muss schnell reagiert werden. Probleme müssen analysiert und behoben werden. Dabei ist oft nicht bekannt, wo diese begründet sind und man benötigt umfangreiche Rechte, um sie zu beheben. Um hier Sicherheit zu gewährleisten, kann unser Privileged User Management eingesetzt werden, das u.a. aufzeichnet was bestimmte User während des Notfalls im System getan haben.

Hier geht eszum Kontaktformular

Adäquate Systemsicherheit bedarf einer professionellen Orchestrierung und individuellen Auslegung auf Ihr Unternehmen. Lassen Sie uns dies zusammen angehen – Let’s build your Security Wall together.

Grafik von Komponenten einer Security Wall im IT-Bereich.

Über itesys die Spezialisten für SAP Basis Services

itesys ist der schweizweit führende SAP Basis Dienstleister für alle Facetten moderner SAP Landschaften.

itesys agiert mit rund 100 Mitarbeitenden international – mit Standorten in der Schweiz (Hauptsitz), Deutschland, Rumänien sowie in Neuseeland. Für Kunden aller Grössen sowie aus unterschiedlichen Branchen verantwortet itesys den SAP Betrieb und erzielte dabei in den letzten Jahren jeweils über zweistellige Wachstumsraten.

Als zuverlässiger Partner führt itesys ihre Kunden mit individuellen Leistungen rund um SAP Basis und SAP Basis-nahen Themen durch die digitale Transformation.

;