Interview: Wie es um die Cloud-Sicherheit bei SAP steht

Welche Cloud-Risiken sind nach Ihrer Erfahrung im letzten Jahr gestiegen?

Sebastian Westphal: Gezielte Attacken per Ransomware oder über sogenannte Botnetze, die IT-Systeme zu riesigen Netzwerken verbinden, sind in virtualisierten Umgebungen ein großes Problem geworden und mittlerweile in aller Munde. Denn egal ob Prozesse, Arbeitsspeicher, Netzwerke oder die IT-Provider selbst, überall gibt es Angriffspunkte – wie zum Beispiel die Cyberattacke über die Zero-Day-Schwachstelle in Microsoft-Exchange-Servern oder die Cyberattacke auf VSA-Server verschiedener US-amerikanischer Unternehmen im Juli 2021 eindrucksvoll gezeigt haben.

Die Chief Information Security Officer in den Unternehmen sollten daher auch ihre SAP-Systeme stärker ins Auge fassen und sich auch gezielt auf die Cloud-Lösungen fokussieren, denn Cloud-Sicherheit erfordert noch einmal ein ganz anderes Denken, als es die Unternehmen von ihren On-Premise-Systemen her gewohnt sind.

Demzufolge ist die Absicherung gesamter IT-Landschaften inklusive der Testsysteme mittels Zwei-Faktor-Authentifizierung ein erster, wichtiger Schritt – geht aber aufgrund der vielfältigen Schnittstellen in den hybriden SAP-Landschaften und zu anderen Cloud-Lösungen viel tiefer in die On-Premise-Systeme hinein.

SAP muss daher aus Sicht der DSAG weiter intensiv an der Sicherheit der Cloud-Produkte arbeiten: Ein einheitliches, in die Prozesse integriertes Identitäts- und Berechtigungsmanagement wäre z. B. ein wichtiger Schritt – ebenso ein extensives Monitoring mittels des bereits seit Jahren von der DSAG geforderten Security-Dashboards über alle SAP-On-Premise- und -Cloud-Lösungen hinweg.

SAP hat gemeinsam u. a. mit Google und Microsoft die Initiative Trusted Cloud Principles gestartet. Wie sehen Sie diese Initiative?

Sebastian Westphal: Aus Sicht der DSAG ist es ein guter und richtiger Schritt, dass sich SAP in derartige Initiativen einbringt, von denen es ja noch weitere Ausprägungen gibt, die leider wenig synchronisiert sind. Zudem muss es eine SAP-Security-Strategie geben, die nicht nur auf die gängigen Hyperscaler abzielt.

Die Unternehmen müssen wissen, welche Cloud-Lösung nach welchen Mustern in welchem technologischen Umfeld oder Anwendungskreis funktioniert. Das ist aus unserer Sicht die Minimalanforderung, um den sicheren Betrieb der SAP-Landschaften realisieren und langfristig bewerkstelligen zu können.

Was muss nach Ihrer Einschätzung im Bereich Cloud-Sicherheit bei SAP geschehen?

Sebastian Westphal: Aufgrund der nun klaren Positionierung als Cloud-Anbieter ist SAP gefordert, einen ausführlichen Security-Guide und Standards zu liefern, an denen sich jeder Kunde orientieren kann, der mit einem Cloud-Produkt arbeitet. Diese Dokumente müssen zum Beispiel klar aufzeigen, welche Mindestanforderungen einem sicheren Betrieb zugrunde zu legen sind – und dies in unterschiedlichen Reifegraden.

Diese Reifegrade müssen sowohl den nationalen und branchenbezogenen Anforderungen entsprechen als auch zertifizierbar und nachprüfbar sein, um die praktische Umsetzung in den Unternehmen sowie durch Serviceprovider zu ermöglichen.

Erschwerend kommt hinzu, dass die Fachkräfte für diese Aufgaben noch sehr dünn gesät sind: Die Fortbildungsangebote von beispielsweise SAP Education sind noch stark auf On-Premise ausgerichtet, so dass die Unternehmen oft noch versuchen, den Herausforderungen der Cloud-Security mit Rezepten aus der On-Premise-Welt zu begegnen und bei der Lösungsfindung auf sich allein gestellt sind.

Neben dem Ausbau dieses Wissensangebots durch SAP kommt dem Erfahrungsaustausch der Unternehmen untereinander, wie ihn die DSAG ihren Mitgliedern in ihren Gremien bietet, folglich eine große Bedeutung zu.

Was bietet SAP selbst im Bereich Cloud-Sicherheit für seine Kunden?

Sebastian Westphal: Hier gilt leider, dass es kein wirklich übergreifendes Angebot gibt, sondern einzelne Ansätze, wie beispielsweise das SAP Security Baseline Template oder das Bug-Bounty-Programm für SAP S/4HANA, aktuell noch den On-Premise-Systemen vorbehalten sind.

Bestehende Security-Guides sind mit einem Umfang von ca. 700 Seiten zudem sehr komplex und technisch und daher schwer konsumierbar.

Hier wäre neben einem sicherlich hilfreichen Management-Summary ein konkret strukturiertes Regelwerk mit Analysen, Problembeschreibungen, Lösungsansätzen und Referenzparametern erforderlich, um ein übergreifendes Cloud-Security-Konzept für das SAP-Lösungsportfolio in den Unternehmen zu realisieren. Zudem fehlt immer noch ein zentraler Einstiegspunkt, wo alle Dokumente konsolidiert zu finden sind.

Welche Security-Lösungen für die Cloud gibt es bei SAP?

Sebastian Westphal: Stand heute gibt es keine konkreten Cloud-Security-Lösungen von SAP, die für die Kunden buchbar wären, ganz zu schweigen von einem übergreifenden Sicherheits-Konzept. Eine Enterprise-Threat-Detection wie zum Beispiel für die On-Premise-Welt ist ebenfalls noch nicht in Sicht.

Es gibt vielmehr einen Flickenteppich aus Initiativen und Dokumenten. Der Security-by-Default-Ansatz ist sicher ein Schritt in die richtige Richtung, wie auch die Bereitstellung kostenfreier Zertifizierungen und Reports. Aber ein operatives Cloud-Security-Lösungsangebot und entsprechende, allgemeingültige Standards werden bislang schmerzlich vermisst.

Welche Rolle spielen Lösungen für SAP-Cloud-Security weiterer Anbieter, zum Beispiel der Partner aus der Initiative Trusted Cloud Principles?

Sebastian Westphal: Der Output aus dieser Initiative ist aktuell noch sehr überschaubar im Hinblick auf konkrete Lösungsangebote und Prinzipien, die Unternehmen auch konkret anwenden können.

SAP sollte ein großes Interesse daran haben, sich mit den Hyperscalern, die selbst bereits Cloud-Security-Services entwickeln, auf eine gemeinsame Roadmap zu verständigen. Es müssen standardisierte Sicherheits-Services und -Konzepte entwickelt werden, die im Idealfall zum grundlegenden Standard werden – so wie es die Zwei-Faktor-Authentifizierung auch geworden ist.

Wie sehen Sie die Zukunft der Cloud-Sicherheit, und welche Rolle sollte SAP dabei spielen?

Sebastian Westphal: Neben der Intention, künftig stark auf die Karte Cloud zu setzen, braucht es von SAP auch eine korrespondierende Vision und eine klare Cloud-Security-Strategie, die über Security-by-Default hinausgeht. Es muss im Interesse von SAP und ihren Kunden sein, künftige SAP-Architekturen so zu gestalten, dass sie Ransom- und Botnetz-Angriffe erheblich erschweren, und in denen Unternehmensdaten in einem gesicherten, vertrauensvollen Netzwerk benutzt werden können.

Hier muss SAP die in der Vergangenheit von der DSAG bereits geforderte Integration der SAP-Lösungen auch über alle Cloud-Services mit Blick auf die Cloud-Security erweitern und sogar darüber hinaus in Richtung der Infrastrukturanbieter Standards und Reifegrade definieren.

Denn je mehr Systeme und Lösungen künftig über verschiedenste Kanäle miteinander interagieren, desto größter ist die Gefahr ungesicherter Zugriffe und Öffnung zusätzlicher Einfallstore, um die Sicherheit auszuhebeln. Industriespionage findet schon lange nicht mehr physisch mit einer Kamera in den Produktionsanlagen statt, sie kommt über die IT-Systeme, und zwar erschreckenderweise relativ einfach.

Die Zukunft ist die virtuelle Welt der Cloud, in der die Unternehmen in Abhängigkeit des gewählten Setups (IaaS, SaaS, PaaS) nicht mehr selbst verantworten, wo Server mit ihren Daten gehostet werden und wie im Einzelfall die Absicherung der Systeme, Zugriffe und Kanäle erfolgt.

Daher muss neben der Definition von Standards für das SAP-Lösungsportfolio auch eine Sicherheitskultur gefunden werden, in der Industrie und Behörden gemeinsam über tatsächliche Probleme wie Störfälle miteinander sprechen und gemeinsam daran arbeiten, diesen zu begegnen sowie Strategien und Maßnahmen abzuleiten. Idealerweise auf der Basis eines einheitlichen Regelwerks, das zügig realisiert werden sollte – die entsprechenden Gremien der DSAG werden dies nach Kräften unterstützen.