Das Thema IT-Security ist auf Platz 1 der Markttrends*. Doch komplexe IT-Landschaften wirksam abzusichern stellt viele Unternehmen vor nicht unerhebliche Herausforderungen: Es fehlt häufig an ausgebildetem IT-Personal und erst recht am notwendigen Security Knowhow. Im Interview schildert Gunar Funke, Leiter Services SAP Security bei AKQUINET seine Erfahrungen und stellt Lösungsmöglichkeiten vor.
Herr Funke, wie oft treffen Sie oder Ihre Kollegen auf Unternehmen mit einer nahezu perfekt abgesicherten SAP-Systemlandschaft?
Gunar Funke: Aus Erfahrung unserer Pen-Tests wissen wir: jedes System ist angreifbar, es ist allerdings eine Frage wie schwierig und zeitaufwendig. Wir finden bei unseren Erstbesuchen nur sehr selten SAP-Systeme vor, bei denen sowohl die Infrastruktur bestmöglich gehärtet ist, als auch ein effektives Berechtigungsmanagement mit regelmäßigen SoD-Analysen (SoD = Funktionstrennungskonflikten) gelebt wird. Eine Überwachung in Echtzeit, um in kritischen Fällen sofort reagieren zu können, ist noch immer eher die Ausnahme.
Was sind Gründe dafür, dass sich Unternehmen noch nicht vollumfänglich mit der Absicherung ihrer SAP-Systemlandschaften beschäftigt haben?
Gunar Funke: Für viele Unternehmen ist es schwierig, immer auf dem neuesten Stand zu bleiben – gerade beim Thema IT-Security, das sich permanent und schnell weiterentwickelt. Zudem ist die interne IT heute viel mehr Schnittstelle zwischen den Fachbereichen und den Usern und unterstützt neben ihren eigentlichen Kernaufgaben auch bei der Umsetzung zahlreicher interner Projekte – die Digitalisierung von Prozessen ist bei vielen Kunden ganz oben auf der Agenda. Da werden Extras, wie die Absicherung kritischer SAP-Systeme vor dem (vermeintlich) unwahrscheinlichen Fall einer Cyberattacke häufig hinten angestellt.
Dabei heißt die Entscheidung gar nicht: 100% oder gar nichts. Alles ist besser als weiterhin nur zu wünschen, man möge hoffentlich nicht der Nächste mit einem ernsthaften Vorfall sein.
Wie könnte ein Lösungsszenario aussehen, damit IT-Bereichen der Spagat zwischen Tagesgeschäft, Projektunterstützung und der Absicherung vor bewusster oder versehentlicher Manipulation gelingen kann?
Gunar Funke: Eine Möglichkeit ist, Teilbereiche von spezialisierten externen Dienstleistern betreuen zu lassen, wie beispielweise die Absicherung der SAP-Landschaften durch AKQUINET. Über ein SLA (Service-Level-Agreement) legen wir mit unseren Kunden die Aufgaben und Erfüllung der Leistungen fest und definieren Reaktionszeiten für kritische Events – in der Regel liegt diese bei 1 Stunde.
Was sind die Vorteile für Unternehmen im Rahmen eines Managed Services, die vor der Entscheidung stehen: Make or Buy?
Gunar Funke: Kunden profitieren bei unserem Managed SAP Security Service natürlich zuallererst von unserem großen Erfahrungsschatz bei der Absicherung von SAP-Systemen aus über 10 Jahren. Unser Team ist durch ständige Weiterbildung immer auf dem neuesten Stand und nutzt für die Analyse der Kundensysteme die stets aktuellsten Sicherheitseinstellungen und Angriffsdatenbanken. Und natürlich profitieren unsere Kunden nicht zuletzt von einem optimal prozess- und ergebnisorientierten Support.
Mitarbeiter für den Aufbau eigener Security-Teams sind heutzutage am Markt schwer zu bekommen, kostspielig in der Aus- und Weiterbildung und ungeplante Ausfallzeiten sind mit der Entscheidung für ein eigenes Team auch nicht immer abgedeckt. Da sind Managed Services dank der problemlosen Skalierbarkeit deutlich flexibler, günstiger, vor allem effizienter und so für viele Unternehmen attraktiv. Nach meiner Einschätzung wird das Thema Managed Services daher in den nächsten Jahren weiter an Wichtigkeit gewinnen und deutlich wachsen.
Ist ein Managed Service gleichzusetzen mit einem Outsourcing, was viele aus der IT kennen?
Gunar Funke: Nein, gar nicht. Da gibt es große Unterschiede. Im Outsourcing werden oftmals ganze Abteilungen oder Systeme an ein anderes Unternehmen ausgelagert. Managed Services decken hochspezialisierte Teilbereiche der IT ab und das auf Basis klar definierter Service-Level-Agreements (SLAs). Mitarbeiter der internen IT können sich so auf ihre Kernaufgaben konzentrieren, die Hoheit und Steuerung der vereinbarten Leistungen liegt weiterhin komplett beim Kunden.
Welche Leistungen beinhaltet der Managed SAP Security Service der AKQUINET?
Gunar Funke: Wie bieten Ihnen einen „Vulnerability Scan Service“, um Systemschwachstellen effektiv zu beseitigen und Compliance-Vorgaben einzuhalten. Wir prüfen das System auf kritische Einstellungen und checken kritische Berechtigungen wie Funktionstrennungskonflikte (SoD = Segregations of duties).
Weiterhin bieten wir einen „Threat Detection Service“. In dieser Phase überwachen wir die vereinbarten Kundensysteme in Echtzeit auf kritische Transaktionen, Reports, unerlaubte User- oder System-Änderungen und natürlich auch auf unerwünschte Downloads aus den Systemen. Nach der Identifizierung von Schwachstellen oder Angriffen benachrichtigen wir unsere Kunden umgehend und liefern ihnen Kontextinformationen und Handlungsempfehlungen.
Wenn Kunden das wünschen, kümmern wir uns auch um ihr Identity und Accessmanagement, die Rollenverwaltung, die Überprüfung des ABAP-Codes ihrer Eigenentwicklungen und natürlich der viel zu häufig vernachlässigten Systemschnittstellen.
Vielen Dank für das Gespräch und die informativen Einblicke.
Gunar Funke (Leitung Services SAP Security, AKQUINET)
Hier nochmals die Vorteile für Sie auf einen Blick:
– Erfahrende SAP-Security Experten. Ihre Systeme werden von Kollegen mit langjähriger Erfahrung und laufender Fortbildung analysiert.
– Kostenreduzierung. Unser Managed SAP-Security Services senkt Ihre Betriebskosten, da keine Lizenz- und Wartungsverträge anfallen. Servicepaket anstatt Softwarekauf.
– Höchste Sicherheit. Wir setzten nur langjährig etablierte und SAP-zertifizierte Tools ein. Alle Empfehlungen des BSI, der DSAG und SAP sowie Ihre spezifischen Regelwerke sind integrierbar.
– Immer auf dem neuesten Stand. Wir nutzen permanent aktualisierte Sicherheitseinstellungen, sowie Angriffsdatenbanken und tauschen uns regelmäßig mit anderen Security Providern aus.
– Überwachung in Echtzeit. Wir benachrichtigen Sie umgehend bei der Identifizierung von Schwachstellen oder Angriffen.
– Keine kryptischen Incident-Meldungen. Statistiken und Log-Daten in Meldungen ohne Erklärungen helfen Ihnen nicht weiter. Daher geben wir Ihnen Kontextinformationen und Handlungsempfehlungen.
– Hohe Qualität. Unsere Standards garantieren Ihnen einen einheitlichen Prozess und eine definierte Verfügbarkeit.
– Das Beste aus zwei Welten. AKQUINET ist derzeit der einzige erfahrende Managed Security Service-Provider mit signifikantem SAP-Schwerpunkt.
Unsere Managed SAP-Security Services interessieren Sie? Dann nehmen Sie Kontakt zu uns auf: sast@akquinet.de