SAP: Sicherheit lässt sich nicht auslagern
Wer seine ERP-Software in die Cloud verlagert, sollte sich nicht allein auf die Sicherheitsstandards von SAP verlassen. Sondern ist selbst in der Pflicht. Denn gerade die individuellen Anpassungen der Anwender können Unbefugten Schlupflöcher öffnen. Deshalb rät QSC ihren Kunden zu ganzheitlichem Schutz, damit die SAP-Systeme sicher bleiben.
Bild: © istock.com / pick-uppath
Spätestens mit dem Umstieg auf SAP S/4HANA wechseln viele Unternehmen in die Cloud. Sie versprechen sich geringere Wartungskosten, mehr Flexibilität dank Skalierbarkeit und wollen mit der Cloud im Unternehmen agiler arbeiten.
Noch scheuen sich viele Unternehmen zwar, ihr komplettes Enterprise-Resource-Plannig-System (ERP) in die Cloud zu migrieren. Stattdessen ergänzen immer mehr Firmen ihr on-premises betriebenes SAP-System mit neuen Modulen aus der Cloud und beziehen beispielsweise Lösungen für Financials, Human Ressources, Customer Experience, Procurement oder Big Data als Software-as-a-Service (SaaS). Das Herzstück ihrer IT vollständig aus dem eigenen Serverraum zu entlassen, fällt vielen jedoch noch schwer.
Das macht die Studie „The Impact of Cloud on ERP“ der Cloud Security Alliance deutlich. Demnach halten knapp 87 Prozent der Befragten ihr ERP-System für geschäftskritisch – und daher für besonders schützenswert. Dennoch liegt für die Unternehmen die Zukunft in der Cloud: Laut Studie stecken 64 Prozent mitten in einem Migrationsprojekt oder planen ein solches Vorhaben.
Sicherheit ist eine gemeinsame Verantwortung
Zum Beispiel mit Software der SAP: Denn die Walldorfer überzeugen mit ihren hohen Sicherheitsstandards und der Fülle ihrer Schutzvorkehrungen. Darauf allein können sich Unternehmen jedoch nicht verlassen. Die größten Herausforderungen für Sicherheit und Security liegen laut Studie nicht in der Cloud, sondern in den von Kunden verwalteten Richtlinien und Konfigurationen. Bis 2022 hätten bei mindestens 95 Prozent der Sicherheitsvorfälle in der Cloud die Kunden Schuld.
„Moving to the cloud is also about understanding the shared responsibility model for security“, schreibt Sean Michael Kerner daher in seinem Beitrag für das Technologie- und Wirtschaftsmagazin eWeek. Heißt: Bei der Umstellung auf die Cloud tragen Cloud-Provider und Kunde gemeinsam Verantwortung.
Es geht nicht anders. Denn die individuellen Anpassungen des SAP-ERP-Systems auf Anwenderseite können Unbefugten jede Menge Schlupflöcher eröffnen. Hinzu kommt: Bei SAP S/4HANA aus der Cloud greifen Mitarbeiter auch mittels Apps auf ihren mobilen Endgeräten auf Daten aus den ERP-Systemen zu. Damit eröffnen sie – und mit ihnen ihr Unternehmen – eine weitere Flanke, die es zu schützen gilt. Mobile Anwendungen verlangen besondere Maßnahmen.
Benutzer- und Rechtekonzept überdenken
Natürlich dürfen Kunden darauf vertrauen, dass ihnen Rechenzentren der Cloud-Dienstleister ein gewisses Maß an Security bieten. Cloud-Provider sind jedoch nur für den Teil verantwortlich, den sie selbst auch zur Verfügung stellen. Für alles Weitere müssen Nutzer selbst Sorge tragen.
Ein unbedingtes Muss ist dabei ein gut durchdachtes Benutzer- und Rechtekonzept (Identity & Access Management – kurz: IAM). Solche IAM-Kontrollen sind laut Studie bei 68 Prozent der befragten Unternehmen üblich. Weitere 63 Prozent verwenden Firewalls, 62 Prozent setzen auf Schwachstellenanalysen.
In puncto Sicherheit gibt es also reichlich Luft nach oben. Das ließe sich ändern. Denn die Cloud selbst bietet Unterstützung: Moderne ERP-Systeme in der Cloud beinhalten ein Rechtemanagement. Damit können Unternehmen die Zugriffs-, Lösch- und Export-Rechte auf befugte Personen übertragen. Die Nutzungsrechte lassen sich sogar kurzfristig anpassen. Auf diese Weise, so schreibt security-insider, ließe sich das Risiko für Datenklau und -manipulation um ein Vielfaches verringern.
Standardisierte Systeme sind sicherer
SAP-Systeme verlangen nach ganzheitlichem Schutz: Kerner macht zu Recht darauf aufmerksam, dass die Unternehmen weitere Kontrollen implementieren müssen. Dabei geht es dann beispielsweise um die ERP-Schnittstellen-Datensicherheit.
Vor allem aber sollte sich das Augenmerk von Unternehmen auf alle individuellen ERP-Anpassungen richten. Analysen in SAP-Migrationsprojekten haben nämlich gezeigt, dass in historisch gewachsenen und individuell angepassten SAP-Systemen Fehler in den Software-Codes und andere Schwachstellen eher die Regel als die Ausnahme sind. Gerade diese bieten Hackern Angriffsfläche und damit Zugriff auf Daten. Daher weisen standardisierte Systeme per se höhere Security auf. Denn wo stets aktuelle Software zum Einsatz kommt – wie bei SAP S/4HANA aus der Cloud – gibt es auch keine hausgemachten Schlupflöcher durch fehlerhaften, weil selbstgeschriebenen Code.
Am besten fahren Unternehmen daher mit einem Lösungsanbieter wie QSC, der eine Ende-zu-Ende-Sicht gewährleisten kann. Das gilt in besonderem Maße, wenn Unternehmen ihr ERP-System in ein IoT-Konzept einbinden wollen. Denn das Internet of Things (IoT) bietet potenziellen Angreifern ein zusätzliches Einfallstor. Doch mit einem starken Partner an der Seite sind Unternehmen weit erfolgreicher im Kampf gegen Dritte.
Drucken