Compliance & Security immer im Blick

Cybersecurity war eines der bestimmenden Themen am diesjährigen World Economic Forum. Die Experten waren sich einig, dass 2020 ein Wendepunkt für die Cybersicherheit darstellt: Es werden mehr Daten als je zuvor erstellt und gesammelt, was die Bemühungen um den Schutz dieser Daten noch dringlicher macht. Und: Erfolgreiche Unternehmen werden eine starke Cybersicherheitskultur schaffen müssen.

Auch im SAP-Umfeld sind Sicherheit und Compliance zentrale Themen. So wurde im Februar dieses Jahres an den Technologietagen der Deutschsprachigen SAP-Anwendergruppe DSAG erläutert, dass die Sicherheit nicht optional, sondern ein besonders wichtiger Betriebsaspekt sei. «Die Wahrscheinlichkeit einer Cyberattacke ist heutzutage hoch und die Auswirkungen können fatal sein», warnt die DSAG. «Daher erwarten die Kunden von SAP die bestmögliche Unterstützung, um die Sicherheit der IT-Landschaften zu gewährleisten.»

Die Angriffe von Cyberkriminellen werden immer ausgefuchster, perfider und auch raffinierter. Deshalb muss das Thema Security ganz oben auf der Tagesordnung stehen und von Anfang an ein integraler Bestandteil eines jeden Projekts sein – auch wenn es sich bei SAP oftmals «nur» um ein firmenintern erreichbares System handelt.

Parallel dazu sollte intern die Compliance gewährleistet sein. Jeder Mitarbeitende sollte nur über die Rechte und Zugänge verfügen, die sie oder er für die Tätigkeit braucht. Unsere hybride Welt aus Cloud-und On-Premises-Modellen lässt die Konfigurationsmöglichkeiten laufend steigen. Darum wird es zunehmend komplexer, den aktuellen Zustand der Einhaltung von Vorschriften nachzuvollziehen. Policies müssen laufend überwacht werden; bei Unregelmässigkeiten muss die IT-Abteilung alarmiert werden. Mit manuellen Ergänzungen und Zuweisungen treten bald Schwierigkeiten zutage, sämtliche Anforderungen abzudecken. Um dem zu begegnen, sollten immer moderne Werkzeuge zum Einsatz kommen, Prozesse standardisiert und weitestgehend automatisiert werden.

Mit Identity-Management-Werkzeugen werden die Transparenz gesteigert, die Komplexität reduziert und Änderungen (zum Beispiel an Benutzerstämmen) protokolliert. Ist solch ein System mit dem zentralen Monitoring verbunden, bietet dies eine Zustandsanalyse auf einen Blick und vereinfacht somit die Einhaltung von Security- sowie Compliance-Regeln. Es erfüllt damit auch das Ziel eines kontinuierlichen Monitorings (bis hin zu Fünf-Minuten-Intervallen), kann die Einhaltung von Vorgaben überprüfen und liefert dazu zeitnahe Informationen über Verstösse. Durch automatisierte Prozesse lassen sich zusätzlich Einsparungen generieren und die nachvollziehbaren Logfiles erleichtern die Auswertung, etwa bei einem Audit.

Eine Forderung von SAP-Nutzern und der DSAG ist eine integrierte «built-in Security by default». Weil es die aber noch nicht gibt – und die Default-Einstellungen nicht so sicher sind, wie sie sein könnten –, hilft auch das moderne Monitoring mit Security- und Compliance-Überwachung.

Ein Leitfaden der DSAG rät beispielsweise, dass systemkritische Passwörter mindestens acht Zeichen lang sein müssen und zwingend Sonderzeichen enthalten sollen. Weiter sind die Kennwörter alle 90 Tage zu wechseln. Solche Policies werden wohl in einem Projekt initial umgesetzt, aber wenn das zu Ende ist, kümmert sich oft niemand mehr darum. Wenn dann ein Auditor ein Jahr später Stichproben macht, kommt das böse Erwachen: Vorgaben wurden nicht eingehalten respektive im Rahmen einer Fehleranalyse wieder ausser Kraft gesetzt und nicht zurückgestellt.

Ein Produkt zur Gewährleistung von Sicherheit und Compliance sollte allerdings auch nicht zu starr sein, sondern muss allfällige Sonderfälle abdecken können – es kann also ziemlich sicher keine reine Standardlösung sein. Ein Kunde hat etwa aus historischen Gründen noch einen alten Mainframe im Einsatz, der nur sechsstellige Passwörter zulässt. Auch in solch einem Fall muss es möglich sein, das im Monitoring abzubilden.

Das moderne Monitoring überwacht kontinuierlich und schlägt umgehend Alarm, sollte eine Abweichung bestehen. Denn Nachlässigkeiten dürfen nicht erst Monate später oder sogar erst bei einem Audit entdeckt werden. Vollständig wasserdichte und verständlich aufbereitete Logfiles machen zudem ein Audit wesentlich einfacher, denn sie bedeuten viel weniger Aufwand.

Mit dieser Idealvorstellung des Monitorings vermeiden Organisationen, dass (zu) viel Zeit vergeht, bis Verstösse gegen Vorschriften aufgedeckt werden. Wir hören ab und an zum Beispiel von Patch-Aktionen, bei denen das SAP-System geöffnet, aber nicht wieder geschlossen wurde – es ging schlicht und einfach vergessen. Damit war das Produktivsystem lange Zeit änderbar und das wurde erst im Rahmen einer jährlichen Stichprobe entdeckt.

Auch bezüglich Identity Management und Provisionierung im SAP-Umfeld leisten Automatismen gute Dienste. Über Workflows wird sichergestellt, dass Mitarbeitende keine Rollen anhäufen, denn ein Teamleiter muss regelmässig bestätigen, dass die Person immer noch in der Abteilung ist und die Rolle noch braucht. Ich denke da an das Beispiel eines Lernenden, der im Rahmen seiner Ausbildung im Turnus verschiedene Unternehmensabteilungen durchlief. Am Ende hatte er mehr Rechte als der CEO.

Verknüpft man den Benutzer- mit dem Personal-Lifecycle, können die Berechtigungen immer in Einklang mit der jeweiligen Funktion im Unternehmen vergeben und auch wieder entfernt werden. Zudem stehen Benutzer-Accounts rechtzeitig zur Verfügung und werden nach Austritt der Person zeitnah gesperrt oder entfernt. Auch hier kann ein Monitoring unterstützen und Fehler rasch aufzeigen.

Bei allen Projekten sollen selbstverständlich die Mitarbeitenden einbezogen und geschult werden, um den langfristigen Erfolg sicherzustellen. Mit einem Leitfaden – beispielsweise dem der DSAG – und der Möglichkeit, Security und Compliance jederzeit zu prüfen, sowie mit nachvollziehbaren Auswertungen ist ein Unternehmen gut aufgestellt.

Was können Unternehmen nun tun, um das Monitoring auszuwählen? Sie können sich an externe Partner wenden, die sowohl über die nötige Expertise in den jeweiligen Branchen verfügen als auch regelmässige Updates der Monitoring-Lösung sicherstellen. Ganz wichtig ist die Transparenz: Vorbildliche Provider gewähren dem Endkunden Zugriff auf die Monitoring-Werkzeuge – Kunde und Partner sehen jederzeit das Gleiche.