SAP-Cloud-Sicherheit birgt eigene Risiken

Onapsis (Grafik: Onapsis)

Wenn ohnehin komplexe SAP-Systeme auch noch anfangen, zwischen Wolke und Erde hin und her zu funken, dann macht das die effektive Sicherung dieser Systeme nicht unbedingt einfacher, wie Mariano Nunez, CEO und Mitbegründer von Onapsis im Gespräch mit silicon.de erklärt.

silicon.de: Auch in der SAP-Welt ist die Cloud angekommen. Anwender erhoffen sich damit die Möglichkeit, Ressourcen einzusparen und Wartungsaufgaben in der komplexen SAP-Welt auszulagern. Meine Frage an Sie: Gibt es besondere technische SAP-Sicherheitsrisiken für Cloud-Strukturen oder liegt die Gefahr nicht eher in der noch höheren Komplexität?

Nunez: Prinzipiell gibt es keine spezifischen Risiken. Jede Schwachstelle, die einer falsch oder riskant konfigurierten On-Premise-Lösung vorhanden ist, kann genauso gut in der Cloud-Struktur existieren. Aber in einer Cloud-Struktur, die immer noch mit den lokalen Rechnern der Anwender zusammenarbeiten muss oder erst recht in einer hybriden Cloud, werden die Verhältnisse durch das notwendige Zusammenspiel verschiedener Systeme komplexer. Daraus ergeben sich mehr Fehlermöglichkeiten. Außerdem steigt das Volumen des internen Datenverkehrs zwischen “Wolke” und “Erde”.

Durch die Erweiterung in die Cloud wollen Anwender einen Teil des Patch-Aufwands an die Provider abgeben, doch die haben dazu genau so wenig Lust, betont Mariano Nunez, CEO und Mitgründer des auf SAP-Sicherheit spezialisierten Anbieters Onapsis. (Bild: Onapsis)
Durch die Erweiterung in die Cloud wollen Anwender einen Teil des Patch-Aufwands an die Provider abgeben, doch die haben dazu genau so wenig Lust, betont Mariano Nunez, CEO und Mitgründer des auf SAP-Sicherheit spezialisierten Anbieters Onapsis. (Bild: Onapsis)

Unautorisierte Remote-Command-Zugriffe, die solche Datenströme ableiten oder abhören – eine der häufigsten Schwachstellen in SAP-Systemen – erhalten so weitere Ansatzpunkte. Mit der gestiegenen Komplexität sind alle Verantwortlichen auch schon genug damit beschäftigt, die Verfügbarkeit von Daten und Anwendungen sicher zu stellen. Für eine Überprüfung der Sicherheit bleibt dann oft keine Zeit mehr.

silicon.de: Gibt es unternehmensinterne Risikofaktoren bei dem Weg in die Cloud? Welche Rolle spielt etwa die Shadow-IT?

Nunez:Nicht immer wird der Weg in die Cloud zentral geplant und gestartet. Fachabteilungen gehen ihn unter Umständen auf eigene Faust. Dann wird die Lage schnell unübersichtlich und gefährlich, weil Sicherheitsverantwortliche nicht informiert sind.

Angesichts einer in Unternehmen oft eh nur schwachen Kommunikation zwischen SAP-Verantwortlichen und IT-Administratoren ist das ein riskanter Zustand. Um eine einmal in die Cloud migrierte Lösung aus Sicherheitsgründen wieder On-Premise zu installieren, brauchen Sicherheitsverantwortliche ein Tool zum Assessment neu entstandener Schwachstellen, um das entstandene Risiko zu belegen und eine Rückabwicklung durchzusetzen.

(Quelle: SAP SE)
SAP macht immer mehr Umsatz mit der Cloud, wie aus den Zahlen für das dritte Quartal 2016 hervorgehrt. Für Anwender bedeutet das unter anderem auch zusätzliche Komplexität bei der Sicherung der Systeme. (Quelle: SAP SE)

In der Folge ergibt sich aber dann das Problem, dass die Abschaltung eines mittlerweile funktionierenden Cloud-Geschäftsprozesses solange Verluste verursachen kann, bis On-Premise wieder für Ersatz gesorgt wurde. Dann bleibt in der Regel nur noch übrig, den neuen Zustand zu akzeptieren und den Sicherheitsstatus der Cloud-Lösung in Zukunft auch mit zu überprüfen.

silicon.de: Vom Anwender hin zum Anbieter – gibt es auch Risiken, die durch den Provider ins Spiel kommen?

Nunez: Viele Verantwortliche wollen mit dem Umzug in die Cloud auch Arbeit auslagern. Gerade das regelmäßig notwendige Einspielen von Patches und in dessen Folge aufwändige Neukonfigurieren verursacht bei SAP ein beträchtliches Arbeitsvolumen, das man gerne weiterreichen will.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Dabei muss der Provider aber mitspielen und diese Aufgaben übernehmen. Doch der Administrator beim Provider steht vor dem gleichen Problem und hat selber kein Interesse an Mehraufwand durch Updates. Die Versuchung ist auch für ihn groß, die Aktualisierungen zu unterlassen. Im Ernstfall kann dies dazu führen, dass Cloud-SAP-Strukturen nicht mehr mit der unternehmenseigenen Sicherheitspolitik oder den Branchenvorschriften compliant sind.

silicon.de: Was also gilt es bei der Auswahl des Cloud-Providers zu beachten?

Nunez: Nicht zu unterschätzen ist die Tatsache, dass von vornherein nicht alle Cloud-Technologien die Sicherheitsstandards bieten, die internen Compliance-Kriterien oder gesetzliche Vorschriften vorschreiben. Bei der Suche des Providers empfiehlt es sich daher, die Einhaltung der Sicherheitsvorgaben in den Service-Level-Agreements explizit festzuschreiben.

silicon.de: Ist es denn möglich, durch die Migration von SAP-Daten in die Cloud alle Verantwortlichkeiten wegzudelegieren?

Nunez: Das ist vielleicht der heimliche Wunsch vieler Verantwortlicher. Und genau dieser wird unter Umständen nicht erfüllt. Denn je nach Service Level Agreement, das hoffentlich aufmerksam gelesen wurde, oder je nach SAP-Cloud-Lösung bleiben sicherheitsrelevante Aufgaben im Unternehmen.

Nur die Funktionstüchtigkeit der Hardware sowie die Bereitstellung ausreichender Rechenleistung und Speicherkapazität kann man immer vom Service Provider erwarten.

Mehr zum Thema

"Leonardo" und die IoT-Strategie von SAP

SAP sieht die Zukunft ganz im Zeichen der HANA Cloud Platform. Bei IoT steht der Gedanke im Mittelpunkt, Sensordaten und Daten aus IT-Anwendungen sinnvoll zusammenzubringen und zu einem Service zu verschmelzen. Hier kommt "Leonardo" ins Spiel. silicon.de gibt einen Überblick.

Bei SAP HANA Enterprise Cloud als Beispiel für ein Cloud-Angebot verwaltet das Unternehmen selbst weiterhin die Nutzer und deren Profile, die Parameter eines Systems, überwacht das für die sichere Übertragung wichtige Transport Management System und wendet die SAP-Security-Notes an.

Das ist auch gut so. Denn wer Verantwortung effektiv abwälzen wollte, müsste letztlich auch die Hoheit über Daten und Anwendungen aus der Hand geben – was auch niemand ernsthaft wollen kann.

silicon.de: Worauf kommt es an, um den Sicherheitsstatus einer Cloud-SAP-Infrastruktur auch in einer hybriden Infrastruktur zu gewährleisten?

Die HANA-Architektur: Mit einer kostenlosen Express-Version liefert SAP jetzt auch kleineren Organisationen die Möglichkeit, die Plattform auszuprobieren. (Grafik: SAP)
Die HANA-Architektur: Mit einer kostenlosen Express-Version liefert SAP jetzt auch kleineren Organisationen die Möglichkeit, die Plattform auszuprobieren. (Grafik: SAP SE)

Nunez: Zum einem wird die Transparenz des Sicherheitsstatus immer wichtiger. Schon eine unternehmenseigene SAP-Infrastruktur bietet genug Möglichkeiten, durch Fehlkonfigurationen Schwachstellen für Angreifer zu öffnen.

Automatisches Assessment ist sowohl während des ganzen Prozesses der Migration in die Cloud; wie auch später im Betrieb ein Muss. Durch die höhere Gefahr wird zudem Datensicherheit noch wichtiger. Bei den unternehmenskritischen ERP-Daten- und -Anwendungen sind die Hürden für eine Herausgabe der Daten in die Cloud sehr hoch anzusetzen.