Beitrag

Ein etwas anderer SAP Security Blog

Herzlich willkommen auf meiner Website. Ich muss gestehen, ich hätte mir nie gedacht, dass ich mal den Schritt wage und einen Blog schreiben werde. Aber als Ende 2016 fest stand, dass ich die Rolle als SAP Security Manager übernehmen darf, hätte ich mir gewünscht es gäbe so einen. Und soweit ich das mitbekommen habe, geht es vielen gleich oder ähnlich. Es gibt zwar schon einige Blogs oder Webseiten die sich mit dem Thema SAP Security beschäftigen aber da war nicht das dabei was ich gesucht habe. Die Materie war irgendwie neu für mich und ich musste mich als aller erstes schlau machen, was denn da alles dazu gehört. Zudem musste ich die Welt der SAP Sicherheit mit der der Informationssicherheit in Einklang bringen. Zwei Welten, mit Sprachen, die unterschiedlicher nicht sein können. Eine spannende Aufgabe die mir bis heute noch großen Spaß macht.

Wo soll ich nur anfangen?

Auf der Seite der SAP fand ich etliche Dokumente zum Thema Security. Dokumente mit 150, 300 oder auch mal mehr als 800 Seiten. Ich hatte ehrlich gesagt keine Ahnung was nun wichtig oder unwichtig ist. Zigtausend Seiten zum lesen. Und das schlimmste dabei war, dass ich das wirklich beste Dokument zum loslegen zunächst übersehen habe. Mehr dazu gibt es aber in meinem nächsten Blogbeitrag.

Mich würde es interessieren ob es SAP seitig tatsächlich jemanden gibt, der alle Security relevanten Dokumente gelesen hat oder zumindest kennt. Das kann ich mir bei dieser Vielzahl an Unterlagen nämlich nicht vorstellen. Aber ehrlich gesagt ist das in der Realität auch gar nicht notwendig. Wenn man grob weiß, wo und wie, dann findet man schon richtig viel. Nur leider gibt es nicht die eine zentrale Stelle von der man alles aus finden kann und so muss man sich alles irgendwie zusammen sammeln.

Mein erstes Buch zum Thema SAP Security

Gerade in der ersten Zeit habe ich mich in jeder freien Minute mit dem Thema SAP Security auseinandergesetzt. Und ich kann euch sagen, das war wirklich eine sehr intensive Zeit. Je mehr ich über das Thema im Internet nachgelesen habe, desto unklarer wurde mir wo ich anfangen soll. So organisierte ich mir auch mein erstes Buch zum Thema SAP Security „SAP-Systeme schützen„, geschrieben von Holger Stumm und Daniel Berlin. Das Buch geht auf jede Menge Themen ein und spannt einen Bogen zwischen Theorie und Praxis. Neben Risiko- und Bedrohungsanalyse, Sicherheitsstrategie, hilfreiche Werkzeuge und der Schutz von wichtigen Komponenten ist noch vieles mehr mit dabei. Der Inhalt ist wirklich gut aber irgendwie fehlte mir dann doch noch etwas um so richtig loslegen zu können.

SAP Security geht nicht nebenbei!

Glücklicherweise konnte ich zu diesem Zeitpunkt bereits auf gut 9 Jahre Basis-Administration sowie User- und Berechtigungsadministration zurückgreifen. Weswegen viele der Security Themen für mich nicht fremd waren. Aber aus Security-Sicht bekommt so manches Thema nochmal eine ganz andere Bedeutung. Ich traue mich sogar zu behaupten, dass es für viele Basis-Admins schwer ist, alle Security Maßnahmen zu implementieren ohne in einen inneren Konflikt zu kommen.

… Steht der Aufwand für eine saubere und sichere Implementierung wirklich dafür, oder geht es nicht auch einfacher. Und ist das wirklich so kritisch? …

Und wenn man bei all den Themengebieten nur mal an der Oberfläche kratzt, dann hat man schon jede Menge an Arbeit. Und genau das geht dann nicht mehr nebenbei. Das ist auch etwas was ich in meiner Funktion bei der DSAG als Arbeitsgruppensprecher SAP Cloud Security immer wieder mitbekomme.

Mittlerweile kann ich mich in meinem Beruf zu 100% auf SAP Security konzentrieren, ein Luxus den scheinbar viele nicht haben. Und es wäre ein Einfaches, mich wesentlich mehr mit so manchem Thema zu befassen. Je mehr Systeme, umso mehr Zeit ist notwendig.

SAP Security nebenbei in der SAP Basis mitzumachen ist meiner Meinung nach ein Tropfen auf den heißen Stein. Wenn Security ernsthaft betrieben werden soll, dann muss das jemand wirklich zur Gänze tun.

Nicht nur IT Security

Aber was genau bedeutet denn eigentlich SAP Security? SAP Security ist nicht einfach nur Applikationssicherheit, Berechtigungen oder IT Security so wie man es immer wieder mal liest oder hört. SAP Security ist wesentlich mehr, komplexer und oft auch das große Unbekannte mit einer eigenen Sprache die keiner versteht. Und wenn ich dann noch einen Ausflug in die Informationssicherheit mache, dann kennt sich sowieso keiner mehr aus.

Viele werden mir jetzt vielleicht widersprechen, aber ich bin der Meinung, SAP Security ist oft in den Unternehmen noch nicht angekommen. Auch wenn es mittlerweile besser geworden ist gibt es noch genug Luft nach oben.

Deswegen der Titel des Blogs

Wie ihr vermutlich schon bemerkt habt, gibt es jede Menge Themen die man beleuchten kann. Und genau deswegen habe ich diesen Blog angefangen. Ich bin kein Berater der jemanden etwas verkaufen will oder seine Dienstleistung an den Mann oder Frau bringen muss. Mir geht es darum meine Erfahrung mit Menschen zu teilen und vielleicht dem Ein-oder-Anderen damit zu helfen.

Es wird zwar nicht bei einem reinen Blog bleiben aber es wird sich mit Sicherheit alles rund um SAP Security drehen. Manchmal etwas technischer und manchmal etwas auf einem höheren Fluglevel. Also wird für jeden etwas dabei sein. Ihr könnt so zum Beispiel auch meine Buchempfehlungen auf der Seite finden.

Damit ihr neue Beiträge nicht verpasst werde ich diese auf LinkedIn teilen oder ihr schnappt euch meinen RSS Feed um auf laufenden zu bleiben.

Lasst euch einfach überraschen und begleitet mich auf meiner Seite. Gerne könnt ihr mir ein Kommentar hinterlassen, eine persönliche Nachricht schreiben oder mit mir auf LinkedIn in Verbindung treten.

Bleibt dran und schöne Grüße,
Andreas