Ein gründliches Verständnis von SAP Security ist wichtig, um die Software zu verstehen und das dahinterliegende Versprechen der Datensicherheit zu erfüllen.
Der beste Weg, sich über SAP-Sicherheit zu informieren, ist die Lektüre der vom Unternehmen bereitgestellten Dokumentation. Dies ist für viele Unternehmensbeteiligte insbesondere ohne direkten Kontakt zu SAP Security jedoch mit einem zu großen Zeitaufwand verbunden.
Ein Überblick über die wichtigsten Aspekte der SAP-Sicherheit ist daher ein guter Einstieg und reicht für manchen Anwender bereits aus: Welche Aspekte machen ein SAP System sicher? Was ist eigentlich mit SAP Security gemeint?
Was ist SAP Security?
SAP Security ist ein System um SAP-Daten und -Anwendungen vor unberechtigtem Zugriff und unberechtigter Nutzung zu schützen. SAP bietet eine Reihe von Sicherheitsprüfungen an, um den Schutz dieser Daten zu gewährleisten. SAP Security stellt sicher, dass die SAP-Funktionen nur von Benutzern genutzt werden, die ihre Aufgabe erfüllen. SAP-Systeme speichern sensible und vertrauliche Informationen von Kunden und Unternehmen. Regelmäßige Audits der SAP-Systeme sind notwendig, um die Integrität und Sicherheit der Daten zu gewährleisten. Dies betrifft auch die Prozesse und Verteilung der Verantwortungsbereiche: Beispielsweise darf ein en Mitarbeiter in einem Lager, der für die Erstellung von Bestellungen zuständig ist, diese nicht genehmigen. Er kann jedoch so viele Bestellungen erstellen und bearbeiten, wie er möchte. Die Genehmigung von Bestellungen sollte in diesem Beispiel hingegen durch einen Vorgesetzten oder andere Mitarbeiter mit entsprechendem Verantwortungsbereich erfolgen – die dann beispielsweise keine Bestellungen erstellen dürfen. Diese Art, Verantwortungsbereiche und entsprechend zugeordnete Tätigkeitseinschränkungen einzuteilen, ist ein Standard-Sicherheitsmerkmal, welches sich auch in SAP Security wieder findet, beispielsweise durch SAP ACL. SAP Security geht allerdings weit darüber hinaus und betrifft beispielsweise auch technische Aspekte der Verschlüsselung, die Deaktivierung unnötiger Netzwerkports oder die Einführung einer Sicherheitsrichtlinie. Für all das braucht es vor allem eins: Fachpersonal und geschulte Mitarbeiter.
SAP-Weiterbildung mit Fokus auf Security
Die Vielfalt der SAP-Software spiegelt sich in den Weiterbildungs- und Trainingsmöglichkeiten wider: Eine SAP Weiterbildung ist in der Regel modul- und levelspezifisch, beispielsweise für Anwender oder Berater, für das SAP FI Modul oder für den Bereich SAP Security. Große Unternehmen haben oft mehrere Mitarbeiter, die für einzelnes Modul oder eine Aufgabe in SAP zuständig sind. Beispiel SAP FI: Das Modul für die Finanzbuchhaltung. Hier werden die Bilanzen des Unternehmens erstellt. In der Regel gibt es pro Land mindestens eine verantwortliche Person, die mit allen Wirtschaftsgesetzen vertraut sein muss. SAP LE/LES Logistics ist in großen Unternehmen ein komplexes Modul, an dem ebenfalls oft viele Mitarbeiter arbeiten. Auch im Bereich SAP Security sollte es bereits in mittleren Unternehmen einen dafür eingeteilten Mitarbeiter geben.
Wie SAPs Privacy Framework Unternehmensdaten schützt
SAP setzt bei der Entwicklung cloudbasierter Produkte verschiedene Sicherheitskontrollen und ISO-Zertifizierungen ein. Die drei Ebenen des Datenschutzrahmens umfassen die Grundlagen, bewährte Praktiken, den Datenschutz und die Transparenz. Der Einsatz von SAP ERP im Unternehmen bringt aber dennoch nicht gleich Datensicherheit und Datenschutz mit – es gibt einfach zu viele Schnittstellen, die sich außerhalb der Reichweite von SAP bewegen und die im Rahmen der Systemintegration durch das Unternehmen selbst zu schützen sind:
Verschlüsselung des Datenverkehrs
Derzeit sichert SAP beispielsweise nicht den gesamten Kommunikationsverkehr zwischen SAP-Systemen und Clients. Dies macht die in SAP-Netzen übertragenen Daten unsicher und anfällig für Abhörmaßnahmen. Insbesondere die Datenübertragungen innerhalb der SAP-Netze sind nicht durch eine starke Verschlüsselung geschützt. Aus diesem Grund wird empfohlen, für die Verbindung zwischen heterogenen Umgebungen auf HTTPS/SSL umzustellen oder Secure Network Communication (SNC) zu verwenden. SNC ist ein Standardprotokoll für die sichere Netzwerkkommunikation, das nativ unter Windows ausgeführt werden kann. Es sichert Ihre Verbindungen zwischen heterogenen Umgebungen. Darüber hinaus sollte die webbasierte Kommunikation durch sichere Protokolle gesichert sein und die Benutzer sollten die neuesten Versionen der SAP-GUI mit angepassten Sicherheitseinstellungen und Sicherheitsregeln verwenden.
Deaktivierung unnötiger Ports im Netzwerk
Neben der Verschlüsselung empfiehlt SAP auch, unnötige Netzwerkports zu deaktivieren und Verbindungen zwischen ABAP-Systemen und Endbenutzernetzwerken zu blockieren. Außerdem sollte der administrative Zugriff nur über sichere Protokolle zugelassen werden. Darüber hinaus sollten der administrativen Zugriff auf Arbeitsstationen und dedizierte Subnetze beschränkt werden. Schließlich ist sicherstellen, dass SAP GUI auf 7.10 oder 7.20 läuft (Stand: Januar 2022) und die Sicherheitseinstellungen aktiviert sind.
Warum ist SAP ACL wichtig für die Sicherheit?
In SAP-Systemen werden große Mengen an sensiblen Daten gespeichert. Die Mitarbeiter müssen zwar Zugang zu allen Daten haben, die sie für ihre Arbeit benötigen, aber sie sollten nicht auf alle Daten im System zugreifen können. Dies kann zu Problemen führen, wenn Mitarbeiter versehentlich auf Daten zugreifen, auf die sie nicht zugreifen sollten. Es kann auch ein Risiko darstellen, wenn jemand böswillig oder unbefugt Zugang zu den Informationen erhält. Außerdem besteht die Gefahr, dass Daten durchsickern oder Betrug begangen wird. Außerdem besteht immer die Möglichkeit, dass ein Mitarbeiter versehentlich Zugang zu sensiblen Informationen erhält. Es ist wichtig, diese Informationen vor Verstößen zu schützen, um sicherzustellen, dass das System auf dem neuesten Stand und sicher bleibt:
Die Verwendung sogenannter ACLs (Access Control Lists) ist daher entscheidend für den Schutz von Unternehmensdaten in einem SAP System: Eine Zugriffskontrollliste wird verwendet, um den Zugang zu den SAP-Systemen zu verwalten und einzuschränken. Es ermöglicht, den Zugriff auf die entsprechenden Datenbanken zu beschränken. Unternehmen sollten niemals Root- oder Administratorrechte an nicht autorisierte Benutzer vergeben. Außerdem sollte der Zugriff auf technische SAP-Komponenten auf berechtigte Personen beschränkt werden. Dadurch wird verhindert, dass Angreifer durch Missbrauch eines Kontos mit unnötig vielen Rechen auf sensible Daten zugreifen können. Außerdem sollten eine Zugriffskontrollliste verwendet werden, um unbefugte Benutzer vom Betrieb der SAP-Systeme und -Server komplett auszuschließen.
Einführung von Sicherheitsrichtlinien
Die Konfiguration einer sicheren Netzwerkkommunikation unter Verwendung einer SAP Standardkonfiguration ist der beste Weg, um die Sicherheit der Daten zu gewährleisten. Im Allgemeinen sollte ein Unternehmen im Rahmen von SAP Security auch Sicherheitsrichtlinien und -konfigurationen einführen, bei denen insbesondere die menschlichen Faktoren miteinbezogen werden: Das bedeutet beispielsweise, dass die Mindestlänge und -stärke des Kennworts sowie die Anzahl der für einen Benutzer zulässigen Fehlversuche festgelegt werden. Auch die Einführung generischer Benutzerkonten SAP verbessern die Datensicherheit: Wichtig ist hierbei insbesondere die Versiegelung der Benutzeridentitäten vor der Verteilung und deren regelmäßige Aktualisierung. Manche Unternehmen erneuern die Identitäten täglich oder vor jedem neuen Login – und beugen so einem Leak der Zugangsdaten vor, beispielsweise weil Mitarbeiter die Daten aufschreiben oder Passwort Manager nutzen. Über diese einfachen Maßnahmen hinaus sind Schulungen zu SAP Security bzw. Unternehmenssicherheit ebenfalls ein äußerst sinnvolles Instrument für die Etablierung einer starken und vollumfänglichen Sicherheitsrichtlinie – zu der dann auch Aspekte wie Social Engineering und ähnliche menschlich fokussierten Techniken gehören, die zu einem Sicherheitsrisiko führen können.