Wie mit dem Titel meines Blogs schon angesprochen, ist SAP Security mehr als nur IT Security oder Basis Administration. Und ja, es ist auch mehr als nur User und Berechtigungsadministration. Ein grundsätzliches Verständnis in Sachen SAP Security fehlt.
Vor vier Jahren habe ich begonnen, mich intensiv mit dem Thema SAP Security zu beschäftigen. Seither habe ich mich mit vielen Personen über das Thema SAP Security unterhalten. Experten aus dem Bereich der IT Security, Information Security, SAP Security Experten und auch normalen Anwendern mit oder ohne SAP Kenntnissen.
Abgesehen von den SAP Security Experten kannten nahezu alle immer nur einen kleinen Ausschnitt aus dem gesamten SAP Security Bereich. Und so war eine Frage auch recht gerne vertreten.
SAP ist nicht nur ein ERP System?!?
Ja genau, SAP beschränkt sich nicht nur auf das ERP System. Und nein, es ist nicht nur „ein“ System. Allein das Produktportfolie auf der SAP Website (Produkte von A-Z) listet sage und schreibe 258 Produkte auf.
Dann kommen noch Softwarepakete wie SAP Business Suite, Business Objects oder auch SAP Leonardo dazu. Ergänzt wird das durch JAVA, ABAP, SAP Router oder auch Webdispatchern. Und verfeinert wird es noch mit FI, MM, PP, SD oder auch Basis. Und zu guter Letzt haben wir noch so etwas wie SAP_ABA, ST_PI oder auch SAP_UI.
Hm, war da nicht noch so etwas wie Kernel, Diagnostics Agenten und CryptoLib. Und wo war das gleich alles nochmal? In der Cloud oder On Premises? Und – habe ich jetzt noch etwas vergessen?
Tja, vermutlich habe ich jetzt die nicht SAP affinen Leser beim zweiten Satz verloren. Und ein paar der SAP Kollegen irgendwann etwas später zumindest vielleicht etwas verwirrt.
Bei 258 Produkten kann man sich vorstellen, dass die oben genannten Begrifflichkeiten nur ein winzig kleiner Teil der gesamten SAP Welt ausmachen. Wie soll das alles jemand verstehen der von SAP keine Ahnung hat?
Grundsätzliches Verständnis fehlt
Besonders in Gesprächen mit Security Kollegen ist mir aufgefallen, dass kaum jemanden die SAP Funktionalitäten bewusst oder bekannt sind. Wer hätte mit einem zusätzlichen Reverse Proxy aus dem Hause SAP gerechnet, welcher obendrauf vielleicht auch noch offen zugänglich im Internet steht. Dem zentralen Identity Provider macht noch ein notwendiger SAP Identity Provider Konkurrenz. Und auch das Patch Management ist nicht mit dem von Windows oder anderen Programmen vergleichbar.
Security Experten fehlt es folglich oft am grundsätzliche Verständnis der SAP Welt.
SAP Verbreitung
Allein beim Blick auf das SAP Corporate Fact Sheet wird klar, wie weit SAP verbreitet ist.
SAP Customers:
SAP Corporate Fact Sheet
– Approx. 80% of SAP’s customers are SME
– SAP customers include:
— 92% of the Forbes Global 2000 companies
— 98% of the 100 most valued brands
— 97% of the greenest companies(Newsweek)
– Our customers distribute 78% of the world’s food and 82% of the world’s medical devices
– 77% of the world’s transaction revenue touches an SAP system
Bei diesen beeindruckenden Zahlen muss man sich daher ja eigentlich wundern, wie selten man bei Data Breaches etwas über SAP liest. Laut ERPScan liegen die durchschnittlichen SAP Data Breach Kosten bei 5 Millionen Dollar und dennoch scheint SAP Security ein Randthema zu sein.
Wenn man auf Google nach SAP Security sucht und keine Ahnung von der Materie hat, kann man schnell annehmen, alles drehe sich hierbei nur um Berechtigungen. Immerhin dominiert das Thema Berechtigungen die Suchergebnisse. Klar sind Berechtigungen ein wesentlicher Teil in SAP Systemen und auch aus betriebswirtschaftlicher sowie rechtlicher Sicht sind sie ein must have. Doch das alleine ist es aber nicht und ein Blick auf die Secure Operations Map zeigt was sich noch alles dahinter versteckt.
Streng geheim oder nicht präsent?
Richtig verwundert war ich 2018, als ich auf der österreichischen IKT Sicherheitskonferenz war. Vermutlich Österreichs größte und wohl auch umfangreichste Konferenz in Sachen Informations- und Kommunikationstechnik, welche vom österreichischen Bundesheer ausgetragen wird.
Bei keinem Vortrag den ich mir angehört habe, konnte ich etwas zum Thema SAP hören. Auch in den Unterlagen zu den Vorträgen und denen vom letzten Jahr, welche man sich alle downloaden kann, ist mir nichts zu SAP aufgefallen. Natürlich muss man zugeben, der Schwerpunkt der Konferenz liegt auf IKT Themen, aber andererseits bietet die Mischung der Themen genügend Anknüpfungspunkte für SAP und könnte die Konferenz dadurch eventuell zusätzlich aufwerten.
Ein Blick auf die Website des österreichischen Bundesheeres macht mich dann aber schon ein wenig stutzig und so findet man darauf folgenden Absatz.
Im Bundesheer sind viele SAP-Anwendungsprogramme im Einsatz; mit dem neuen Ausbildungszentrum hat das Heer eines der modernsten Software-Schulungspakte für die Ausbildung zur Verfügung. SAP-Software ist für den Logistikbereich mittlerweile unentbehrlich.
https://www.bundesheer.at/cms/artikel.php?ID=3647 (Wien, 02. Oktober 2007)
Hm, „SAP-Software ist für den Logistikbereich mittlerweile unentbehrlich“. Das in einem Artikel aus dem Jahr 2007. Und wenn ich überlege, wie viele Lebensmittelkonzerne oder Kraftwerksbetreiber SAP Software im Einsatz haben und diese zu den kritischen Infrastrukturen gehören. Dann könnte man sich fragen ob SAP Security streng geheim gehalten wird oder einfach nicht präsent ist.
Ich will jetzt niemanden etwas unterstellen, dennoch kann ich mir schwer vorstellen, dass alles streng geheim ist. Vielleicht sind die Informationen in den Systemen geheim, doch die grundlegenden SAP Security Themen sind alles andere als geheim und vieles davon findet man gut dokumentiert auf den SAP Seiten. Und das alles öffentlich zugänglich. Exploits nehmen zu und Hacker sind schon längst auf den Zug aufgesprungen.
Ist es schon zu spät?
Ich denke es gibt genug Firmen bei denen sich die Kronjuwelen des Unternehmens in einem SAP System befinden, doch wie sollen Security Experten die Kronjuwelen absichern, wenn keiner etwas von SAP versteht?
Laut einer DSAG Umfrage fordern 84% der Umfrageteilnehmer mehr Security by default. Das zeigt sehr schön, dass SAP Systeme nicht von Anfang an abgesichert sind. Und wenn sich in solchen Systemen die Kronjuwelen befinden, so ist es folglich nur eine Frage der Zeit bis diese in andere Hände gelangen.
Oder ist es vielleicht schon passiert und keiner hat es mitbekommen, da es keine angemessenen Schutzmaßnahmen gibt?
SAP Systeme in Sachen Security links liegen zu lassen, wird nicht funktionieren da SAP ganzheitlich mit einbezogen werden muss, um die Informationen wirklich schützen zu können. Damit SAP Security ganzheitlich betrachtet wird, muss jemand die Systeme und Prozesse verstehen. Auch müssen die Menschen mit einbezogen werden um folglich die richtigen Maßnahmen passend abgeleitet werden.
Das alles kann nebenbei nur schwer bewerkstelligst werden, denn es benötigt Zeit, Erfahrung und stets einen offen Blick auf neue Themen. Vielfach wird SAP Security vom SAP Basis Team mit betreut, doch ein Basisadministrator wird immer mit sich selbst im Konflikt stehen.
Hat jetzt Security oder der Betrieb den Vorrang? Was ist wichtiger?
Deswegen kann ich nur jedem empfehlen die Verantwortlichkeiten zu trennen.
Oder soll sich ein Basis Administrator auch mit Normen und Regulierungen beschäftigen? Sowie sich um Datenschutz, Compliance und SAP Sicherheitskonzepte kümmern?
Vermutlich habt ihr es schon bemerkt, SAP Security bedeutet viel Arbeit. Zum Schutze der möglichen Kronjuwelen.
Bleibt dran und taucht ein in die Welt der SAP Security.
Schöne Grüße
Andreas