DSAG-Umfrage zur IT-Security im SAP-Umfeld

Gefühlte Sicherheit ist trügerisch

Eine Umfrage unter Mitgliedern der Deutschsprachigen SAP-Anwendergruppe (DSAG) von Dezember 2017 bis Januar 2018 beleuchtet Trends im Umgang mit der IT-Sicherheit im SAP-Umfeld – und leitet daraus konkrete Forderungen ab.

  • Dr. Alexander Ziesemer, DSAG

    Dr. Alexander Ziesemer, Sprecher der Arbeitsgruppe SAP Security Vulnerability Management

  • Ralf Peters, DSAG-Vorstand Technologie

    Ralf Peters, DSAG-Vorstand Technologie

  • SAP, die Cloud & Security

    81 Prozent der befragten SAP-Kunden sehen eine sehr große bzw. große Herausforderung darin, die SAP-Cloud-Produkte in ihre eigenen Sicherheitskonzepte zu integrieren.

Das Positive vorneweg: 87 Prozent der befragten DSAG-Mitglieder wissen um allgemeine Vorgaben bzw. eine Strategie zum Thema SAP-Sicherheit in ihren Unternehmen. Zudem haben innerhalb der letzten zwölf Monate 55 Prozent der Befragten zusätzlich investiert, um ihre SAP-Systeme sicherer zu machen und Risiken zu minimieren.

Dabei wäre es für 78 Prozent der Befragten sinnvoll, wenn der Hersteller bei Updates, neuen Releases und Services für die SAP-Systeme entsprechende Sicherheitsbestandteile bereits standardmäßig aktivieren würde („Security by Default“). DSAG-Technologievorstand Ralf Peters wünscht hier eine engere Zusammenarbeit mit SAP, denn „es bedarf deutlich mehr Standards und Unterstützung in diesem sensiblen Bereich“.

Zentrales SAP-Security-Dashboard

So zwingend erforderlich Sicherheitskonzepte sind, ohne ein ordentliches Dashboard können sie kaum umgesetzt werden. Doch 72 Prozent der Befragten verwenden noch kein zentrales SAP-Security-Dashboard für die Übersicht über ihre Sicherheitseinstellungen. „Einige Anwender vertrauen dafür auf den SAP Solution Manager“, warnt Dr. Alexander Ziesemer, Sprecher der Arbeitsgruppe SAP Security Vulnerability Management im Arbeitskreis Security, vor einem großen Fehler. Denn dessen primäre Aufgabe sieht er zumindest derzeit (noch?) nicht darin, die Funktionen eines umfassenden Security-Dashboards abzubilden. Deshalb schlägt Ziesemer vor: „Gemeinsam mit uns könnte die SAP einen Standard für ein komplementäres SAP-Security-Dashboard erarbeiten, um den Sicherheitsanforderungen aus Sicht der DSAG gerecht zu werden.“

Ziesemer weiß, wovon er spricht, denn in die Security-Arbeitsgruppe mit ihren über 1.000 Mitgliedspersonen beschäftigt sich mit den Schwerpunkten SAP Security Notes, Tools zur Auswertung und Anwendung von System Recommendations im SAP Solution Manager. Außerdem stehen Prozesse zur Implementierung auf der Agenda.

Netzwerksicherheit: gut aber ausbaufähig

In Bezug auf die Netzwerksicherheit haben 54 Prozent der Befragten ihr SAP-Server-Netz von anderen Netzen getrennt und geschützt. „Ein gutes Ergebnis, das aber dennoch stark ausbaufähig ist“, kommentiert Ziesemer; dieser Wert müsse sich noch deutlich erhöhen. Denn im Umkehrschluss heißte dass auch, dass noch 46 Prozent keine entsprechenden Sicherheitsvorkehrungen getroffen haben.

Über Konzepte zur Absicherung von Internet-of-Things-gestützten Prozessen verfügen derzeit nur 20 Prozent der Befragten. Auch hier sieht Peters noch Handlungsbedarf sowohl bei den Unternehmen als auch bei SAP: „IoT-Vorhaben benötigen eine durchgängige Sicherheits-Architektur bzw. entsprechende Steuerungs-Modelle. Zu beidem bedarf es entsprechender Lösungen.“

Sicherheitskonzepte für die Cloud

Mehr Initiative von SAP ist auch weiterhin bezüglich des Cloud-Computing gefordert, denn über die Hälfte der Befragten (55 Prozent) haben ihre SAP-Systeme mit einer Cloud verbunden und nutzen entsprechende Services direkt über das Internet.

Große Einigkeit (87 Prozent) herrscht darüber, dass es für die Cloud-Lösungen anderer, spezieller Sicherheitsstrategien und -konzepte bedarf. Zudem sehen 81 Prozent eine sehr große bzw. große Herausforderung darin, die SAP-Cloud-Produkte in ihre eigenen Sicherheitskonzepte zu integrieren (siehe Grafik). „Daraus leiten wir die Forderung an SAP ab, dass weiter intensiv an der Sicherheit der Cloud-Produkte gearbeitet werden muss, z. B. durch ein einheitliches, in die Prozesse integriertes Identitäts- und Berechtigungsmanagement“, fasst Ralf Peters den Sachverhalt zusammen.

Cloud-Thematik ist noch sekundär

Bemerkenswert in dem Zusammenhang: Die Cloud-Thematik ist derzeit noch sekundär für die Befragten. „Als primär werden aktuell die Schnittstellen-Sicherheit, die SAP-Sicherheitsrichtlinien und Schulungen zur Sensibilisierung für das Thema über alle Unternehmensebenen hinweg eingestuft. So stehen z. B. Sicherheits-Schulungen zu SAP-relevanten Inhalten bei bislang lediglich 12 Prozent der befragten Unternehmen auf der Agenda“, kommentiert Dr. Alexander Ziesemer.

SAP arbeitet nach DSAG-Einschätzung zwar bereits daran, die Sicherheitskonzepte in Unternehmen in Zukunft besser zu unterstützen. Das reicht laut Peters aber nicht, denn auch die Unternehmen selbst müssten im Bereich Sicherheit für Transparenz sorgen, ihre Richtlinien aktualisieren und ihre Mitarbeiter noch mehr dafür sensibilisieren. An der Befragung hatten sich 177 DSAG-Mitgliedsfirmen aus Deutschland, Österreich und der Schweiz beteiligt.

Bildquelle: DSAG

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok