Wo fange ich am besten mit SAP Security an? Eine Frage die ich mir am Anfang sehr oft gestellt habe. Und ich war mit dieser Frage scheinbar in guter Gesellschaft, denn ich höre diese auch heutzutage noch immer wieder.
Und ich kann mir auch gut vorstellen warum. Mir geht es auch heute noch so, dass ich ohne meine Bookmarks oder Shortlinks die benötigten Dokumente nur sehr schwer finde. So ist es für mich völlig verständlich, dass wenn man mit dem Thema SAP Security anfängt, die relevanten Seiten, Shortlinks oder Bereiche noch gar nicht kennt.
So nah und doch so fern
Am Anfang scheint der erste logische Schritt, ein Blick auf die Website des Herstellers zu sein. Und ja, man wird fündig. Unter Produkte findet man das ganze Produktportfolio. Und unter Schulungen findet man jede Menge Kurse. Aber für einen Kurs ist es zu Beginn noch etwas zu früh. Die Community liefert für den Anfang auch nicht wirklich die richtigen Informationen und so bleibt dann nur noch der Weg über die Suche.
Der Suchbegriff security liefert 149.130 Ergebnisse. Whitepapers, Security Guides, Parameter, Blogbeiträge und vieles mehr. Zigtausend Seiten an Material. Man merkt, dass SAP sehr viel in diesem Bereich tut. Nur was ist am Anfang denn jetzt wichtig oder unwichtig?
Versuchen wir es mal mit Google
Google liefert ja sonst auch recht gute Ergebnisse. Mal sehen wie es bei SAP Security aussieht. Legen wir los mit dem Suchbegriff „SAP Security wie anfangen“. Das Ergebnis, nur Security Guides und Werbung. Ok, dann mal mit einem Englischen Suchbegriff „SAP Security how to start“. Das Ergebnis liefert diesmal sogar ein wenig mehr. Werbung, Trainings, Top Issues und ein Blogbeitrag aus dem Jahr 2012 „How to start in SAP Security?“ auf answers.sap.com.
Ui, das klingt ja schon mal richtig gut. Doch dann kommt die Ernüchterung, Empfehlungen für den Besuch eines Trainings. Das kann für den Anfang doch wirklich nicht die Lösung sein…
Doch so schnell ließ ich mich am Anfang meiner Security Karriere nicht unterkriegen und ich suchte weiter. Ich kann mich nicht mehr erinnern wie lange es gedauert hat. Oder wann der Zeitpunkt kam, an dem ich endlich den Weg zum Leitfaden gefunden habe.
Das Trust Center
Das Gute liegt so nah und doch so fern. SAP versteckt den Absprung zu den SAP Security Informationen im Footer bei den Quicklinks. Und zwar unter dem Punkt SAP Trust Center. Ich mag mich jetzt vielleicht irren, jedoch zweifle ich daran, dass jedem der Begriff Trust Center geläufig ist und somit gleich danach suchen würde. Allerdings ist dieser Begriff mittlerweile auch sehr gängig und wird bereits von einigen Firmen verwendet.
Hier findet man in der Tat sehr viele nützliche Informationen rund um das Thema Sicherheit. Es lohnt sich darin ein wenig mehr Zeit zu verbringen. So könnt ihr euch zum Beispiel ausführlich über folgende Themen Informieren.
- Cloud-Status und Betrieb
- Alles rund um Sicherheit
- SAP Rechenzentren
- Datenschutz
- Compliance und jede Menge Zertifikate
- sowie diverse Vereinbarungen
Zusätzlich zum Trust Center gibt es dann noch das My Trust Center in dem man nochmal mehr Informationen finden kann. Hierzu muss man sich auf der Website https://support.sap.com anmelden und kann dann wiederum über den Footer dorthin navigieren.
Wo fange ich mit SAP Security am besten an?
Im vorigen Blogbeitrag habe ich vom besten Dokument zum loslegen gesprochen – und hier sind wir nun. Eventuell wird das dem Ein-oder-Anderen jetzt etwas übertrieben vorkommen, doch denke ich, der Leitfaden Security Recommendations: A Practical Guide for Securing SAP® Solutions ist es wert als erstes gelesen zu werden. Finden könnt ihr diesen unter dem Menüpunkt Sicherheit > Sicherheit für das intelligente Unternehmen > Empfehlungen zur Absicherung von SAP-Lösungen > Leitfaden lesen.
Leider ist der Leitfaden zum Zeitpunkt der Veröffentlichung dieses Beitrages noch nicht auf die aktuellste Secure Operations Map angepasst. Zu Beginn ist das aber nicht schlimm und ihr solltet euch das Dokument trotzdem ansehen. Denn in diesem findet ihr einen groben Überblick über die Prioritäten aus Sicht der SAP, bekannte Problemstellen und eine Auflistung von relevanten Seiten, Tools und Unterlagen.
Folgende werde ich noch auf 3 wesentliche Dokumente eingehen die für eine holistische Betrachtung der On-Premise und Cloud Lösungen dienlich sind.
Secure Operations Map
Die Secure Operations Map bildet die Grundlage für alle SAP Security relevanten Themen. Zudem ist sie ein Referenz Model und gibt damit einen Rahmen vor, mit dem man die Themenbereiche aus einem 360° Blickwinkel betrachten kann. Natürlich wäre es schön wenn man ein bekanntes Framework wie ISO 27K, NIST – Cybersecurity Framework oder auch ISIS12 hätte. Doch es ist völlig ausreichend mit der Secure Operations Map den Einstieg zu machen und diese im Laufe der Zeit zu erweitern, auszubauen oder zu ersetzen.
Der Fokus der Secure Operations Map liegt klar auf den Betrieb, lässt aber zugleich Raum für andere Bereiche, insbesondere mit der neuen Version 3.
Die Map gliedert sich in 5 Layer und 16 Blöcke (Siehe Bild oberhalb). Nicht alle Blöcke treffen auf jede Lösung oder jedes Produkt zu. Deshalb wurden mit Version 3 sogenannte Projektionen eingeführt. Eine zusätzliche Dimension, die wie ein Filter darüber gelegt wird und nur noch die relevanten Blöcke anzeigt. Zurzeit gibt es davon zwei Stück, SAP HANA und Service Providers & Hyperscaler.
Vermutlich wird SAP in Zukunft noch weitere Projektionen veröffentlichen und es spricht auch nichts dagegen bei Bedarf seine eigenen zu erstellen. Mehr Details zur Map könnt ihr dem Detaildokument entnehmen.
SAP Baseline Template
Wie es der Name schon sagt ist das SAP Baseline Template eine Vorlage für eigene SAP Baseline Standards und somit auch die Empfehlung seitens SAP. Zwar sind die Anforderungen darin nicht verpflichtend aber im Falle eines Sicherheitsvorfalles würde ich mich nicht darauf verlassen, dass Sachverständige Verständnis dafür haben, wenn diese nicht erfüllt sind.
Wer das Dokument bereits in der Version 1.9 kennt, wird mit großer Wahrscheinlichkeit auch dessen 160 Seiten im Kopf haben. Mit der neuen Version 2.0 wurden einige Änderungen gemacht und das Dokument wurde auf circa 60 Seiten reduziert. Zwar ist das eine große Erleichterung aber es sind trotzdem noch genug Seiten zum durcharbeiten übrig. Wobei viele der Themen nur grob angerissen werden. Anders formuliert gibt es aus ganzheitlicher Sicht noch jede Menge Luft nach oben. Spätestens beim abarbeiten von Security Notes wird man auch merken, dass diese nur sehr selten darin zu finden sind.
Nur wo soll ich nun anfangen? Eine berechtigte Frage. Immerhin kann man nicht mit allen Themen gleichzeitig und im vollen Ausbau anfangen. Hilfestellung dazu kann auch der erste Leitfaden geben oder auch die angegebene Kritikalität.
Eine andere Alternative, ihr wartet auf meinen nächsten Blogbeitrag. In diesem werde ich speziell auf das Baseline Template eingehen und euch eine Möglichkeit zeigen, damit einfach loszulegen.
SAP Cloud Security Framework
Das SAP Cloud Security Framework ist ein sehr gut gehütetes Dokument, denn man kann nahezu nichts darüber finden. Zwar wird in den SAP General Terms and Conditions for Cloud Services darauf hingewiesen aber nur wenige werden dieses Dokument zu kennen. Früher hat man das Dokument einfach über einen Link im My Trust Center herunterladen können. Nach meinem aktuellen Wissensstand muss man mittlerweile das Dokument über eine Supportmeldung and die Komponente XX-SER-TCS anfragen.
In diesem Dokument findet man alles rund um das Thema Governance and Compliance sowie Informationen zu SAP Kontrollen und Maßnahmen. Das ist vermutlich auch der Grund weshalb das Dokument nur einem eingeschränkten Personenkreis zur Verfügung gestellt wird und dem Non-Disclosure Agreement untersteht. Für alle die sich mit dem Thema SAP Cloud beschäftigen ist das Dokument fast unerlässlich. Es gibt einen hervorragenden Einblick in die Welt der Cloud-Produkte und beantwortet viele Fragen.
Zusammengefasst sind es nun 4 Dokumente die zum anfangen einen wunderbaren Start ermöglichen. Klar sind die anderen Security Unterlagen auch wichtig aber es ist besser ihr startet mit einem kleinen Scope bevor euch das große Ganze erschlägt.
Soviel zu „Wo fange ich mit SAP Security am besten an?“ und damit werde ich diesen Beitrag auch schon abschließen. Viel Spaß beim durchlesen und durcharbeiten der Dokumente.
Bleibt dran und bis demnächst,
Andreas