SAP-Datenbanken speichern besonders wertvolle und sensible Geschäftsinformationen, deswegen sollte ihr Schutz vor Angriffen auch an erster Stelle im Unternehmen stehen.

Aktuell ist in vielen Unternehmen aber noch das Gegenteil der Fall. Häufig werden neue Patches, die die Sicherheit der SAP-Systeme in Form von Security-Aktualisierungen gewähren, nicht zeitnah implementiert – auch wenn diese Patches von der SAP mit einer hohen Priorität versehen wurden. Diese Sicherheitsupdates sind aber zwingend notwendig, da sich auch die Angriffsmethoden der Hacker kontinuierlich weiterentwickeln und verbessern.

Mangelnde Bedeutung des Thema IT-Sicherheit in Unternehmen

Wie wenig Bedeutung die IT-Sicherheit auch heute in vielen Unternehmen noch hat, zeigt eine weltweite Befragung von Accenture zum Thema: Vorreiterunternehmen sehen in der IT-Sicherheit eine strategische Relevanz für das Unternehmen.

sehen IT-Sicherheit als geschäftsentscheidend an 69%
passen ihre Sicherheitsziele an die geschäftlichen Ziele an 63%
verfügen über eine klar definierte Sicherheitsstrategie 70%

Neben diesen Vorreitern, die in Sachen Sicherheit an der Spitze stehen, gibt es eine Vielzahl an Unternehmen mit Nachholbedarf. Hier schätzen nur 47% die Gefahr durch externe Angriffe als sehr wichtig ein.

Wachsende IT-Kriminalität auch in den nächsten Jahren

Die Ergebnisse der Studie geben zu denken, denn ein nachlässiger Umgang mit dem Thema IT-Sicherheit kann Unternehmen mehrere Millionen kosten. Und die IT-Kriminalität nimmt weiter zu, wie eine aktuelle Umfrage der KPMG zum Thema e-Crime zeigt.

0%
Anstieg der Opfer von e-Crime in den letzten zwei Jahren
0%
passen ihre Sicherheitsziele an die geschäftlichen Ziele an
0%
rechnen mit einem Risikoanstieg in den nächsten 2 Jahren

Dabei steht e-Crime für die Ausführung von wirtschaftskriminellen Handlungen unter Einsatz von Informations- und Kommunikationstechnologien zum Schaden von Einzelpersonen, Unternehmen oder Behörden.

IT-Sicherheit: Was Unternehmen tun können

In vielen Unternehmen ist die IT-Sicherheit leider immer noch keine Chefsache – und das trotz der zunehmenden Anzahl an Angriffen aus dem Internet.

Die meisten Unternehmen setzen im Bereich der IT-Sicherheit bisher vor allem auf den Schutz vor Datenverlust und Hackern. Was häufig vergessen wird, ist aber die Gefahr von Innen – hilfsbereite Mitarbeiter helfen Angreifer oft unbewusst. Haben Sie schon einmal die Tür für nachfolgende Personen aufgehalten, an der eigentlich eine Zugangsberechtigung benötigt wird?

So schnell ist es passiert und jemand mit bösen Absichten kann sich in das Unternehmen einschleichen. Das ist aber nur ein Beispiel von vielen.

Erfolgreiche Maßnahmen zur Sicherstellung der IT-Sicherheit im Unternehmen müssen also neben den Angriffen aus dem Internet auch auf die Aufklärung und Sensibilisierung der Mitarbeiter im Unternehmen abzielen.

8 Maßnahmen, die Sie als Unternehmen treffen können um die IT-Sicherheit im Unternehmen zu gewährleisten

Eine große Vielfalt an Funktionen, hohe Funktionalität, bequeme Bedienung, geringe Kosten und Sicherheit stehen in den meisten Fällen zueinander in Konkurrenz.

Um Ihr Unternehmen optimal schützen zu können, müssen Sie sich im Klaren sein welche Bereiche und Informationen besonders interessant für Hacker sind und somit auch ein erhöhtes Schutzbedürfnis haben. Dabei sollten Sie aber auch die Wahrscheinlichkeit von Angriffen berücksichtigen.

  • Was unterscheidet uns vom Wettbewerb, welche Produkte, Patente oder Geschäftsideen sind für Außenstehende besonders interessant?
  • Wo im Unternehmen liegen diese entsprechenden Informationen?
  • Welche Prozesse und Systeme sind involviert?

Jedem im Unternehmen muss klar sein, wer welche Rolle bei einem Ernstfall übernimmt. Alle Schritte müssen dokumentiert sein, um eine effektive Reaktion auf einen Angriff zu ermöglichen. Wenn jeder weiß was zu tun ist, kommt es auch nicht zu einem unüberlegtem und überstützten Reaktionen. Das heißt wiederum, dass bestehende Richtlinien und Notfallpläne auch aktiv kommuniziert werden müssen. Im Idealfall wird der Ernstfall auch geübt, wie es z.B. bei einem Feueralarm auch der Fall ist.

Mobile Endgeräte werden in der Regel nicht nur am Arbeitsplatz sondern häufig auch privat genutzt. Das Risiko, dass wichtige Informationen in falsche Hände gelangen, ist hier besonders groß. Die einfachste Möglichkeit – die Nutzung der mobilen Endgeräte einschränken. Unternehmen können z.B. den Zugriff auf verschlüsselte Mails über mobile Endgeräte ausschließen.

Jeder Mitarbeiter hat verschiedene Zugriffsberechtigungen. Hier gilt es den Überblick zu wahren. Zum einen brauchen Unternehmen hier klare Richtlinien für die Vergabe der Zugriffsgenehmigungen, zum anderen muss auch der Überblick über die Zugriffe je Mitarbeiter vorhanden sein. Die Identitätsverwaltung muss daher in vielen Unternehmen erst aufgeräumt werden, damit die Übersichtlichkeit auch gegeben ist.

SAP unterstützt Sie bei dieser Aufgabe mit dem SAP Identity Management (SAP IDM).

Unternehmen müssen vermeiden, dass Mitarbeiter ein Standardpasswort für alles verwenden. Hier sind gute Passwortregeln gefragt, deren Umsetzung dann auch kontrolliert werden muss. Gleichzeitig muss natürlich auch dafür gesorgt werden, dass die Mitarbeiter dann nicht ihre Passwortliste ungeschützt am Arbeitsplatz oder am PC gespeichert haben. Softwarelösungen bieten hier Unterstützung, wie z.B. SAP Single Sign On (SSO)

Wie bereits erwähnt können auch die Hilfsbereitschaft der Mitarbeiter oder aber deren Unachtsamkeit zum Problem für das Unternehmen werden. Die Mitarbeiter im Unternehmen müssen aufgeklärt und sensibilisiert werden. So kann es z.B. hilfreich sein die Mitarbeiter über sichere Zugangsdaten aufzuklären oder über die wichtigsten Angriffsmethoden zu informieren.

Der Großteil der Unternehmen hat bereits ein Sicherheitssystem in Einsatz. Dieses muss zum einen regelmäßig aktualisiert und an neue Methoden angepasst werden. Zum anderen muss auch ein Sicherheitssystem überwacht und kontrolliert werden. Nur so ist auch sichergestellt, dass im Fall eines Angriffs auch schnell reagiert wird. Je schneller die Reaktion seitens des Unternehmens erfolgt, desto geringer ist auch der Schaden.

Ein wichtiger Punkt bei der IT-Sicherheit ist die Aktualität. Ganz egal ob Systemlandschaften, Programme oder Tools, alles sollte auf den aktuellsten Stand sein. Das heißt alle eingesetzten Lösungen im Unternehmen müssen auf Updates geprüft und dann auch aktualisiert werden.

  • Rechtzeitiges Einspielen von Sicherheitspatches
  • Aktualisieren von Virenscanner
  • Administratoren mit aktuellen Hackertools ausstatten

 

Checklisten IT-Sicherheit

Sicherheitmanagement

  • Sind Informationssicherheitsziele festgelegt unter der Berücksichtigung aller gesetzlichen und vertragsrechtlichen Gesichtspunkte
  • Wer ist der IT-Sicherheitsbeauftragte und wer sind die Zuständigen und Verantwortlichen für alle Sicherheitsmaßnahmen? Gibt es Vertretungsregelungen? Wo sind die wichtigsten Passwörter für Notfälle hinterlegt?
  • Werden Sicherheitserfordernisse frühzeitig berücksichtigt (z.B. Neue IT-Systeme, neue Software, etc.)
  • Gibt es einen Überblick über die wichtigsten Anwendungen und IT-Systeme inklusive deren Schutzbedarf?
  • Gibt es einen handlungsplan mit einer Priorisierung der Sicherheitsziele?
  • Ist die Ausführungshäufigkeit der einzelnen Sicherheitsmaßnahmen festgelegt (Updates)?
  • Sind die bestehenden Richtlinien und Zuständigkeiten bekannt?
  • Gibt es Checklisten für das Einstellen und Ausstellen von Mitarbeitern, was hier zu beachten ist?
  • Wird die Wirksamkeit der Sicherheitsmaßnahmen regelmäßig überprüft?
  • Gibt es ein dokumentiertes Sicherheitskonzept?
  • Werden die Mitarbeiter regelmäßig geschult?

IT-Systeme und deren Sicherheit

  • Werden bereits vorhanden Schutzmechanismen von Anwendungen und Programmen genutzt?
  • Sind Virenprogramme flächendeckend im Einsatz?
  • Sind Rollen, Profile und Zugriffserlaubnisse den Mitarbeitern zugeordnet?
  • Sind Privilegien und Rechte der Programme bekannt?
  • Werden sicherheitsrelevante Standardeinstellungen von Programmen und IT-Systemen angepasst?
  • Werden nicht mehr benötigte Programme und Funktionen deinstalliert und deaktiviert?
  • Gibt es Handbücher und Dokumentationen?
  • Sind Web-Browser, E-Mail Programm und Firewall richtig konfiguriert?
  • Werden Sicherheits-Updates regelmäßig eingespielt?
  • Gibt es ein Testkonzept für Softwareänderungen?
  • Gibt es einen Notfallplan mit Anweisungen und Kontaktadressen?

Datensicherung und Infrastruktursicherheit

  • Gibt es Passwortschutz und Verschlüsselungen?
  • Gibt es Zugriffsbeschränkungen bei sensiblen Daten?
  • Gibt es eine Backupstrategie?
  • Sind Sicherungs- und Rücksicherungsverfahren dokumentiert?
  • Ist der Zutritt zu wichtigen IT-Systemen und Räumen geregelt?

Lösungen mit denen die SAP Sie hier unterstützt

SAP Identity Management (SAP IDM)

Das SAP Identity Management (IdM) System dient zur zentralisierten Verwaltung von Benutzern und Berechtigungen im Unternehmen. Zusätzlich zu den SAP Systemen kann eine Vielzahl weiterer Systeme Ihrer heterogenen Landschaft eingebunden werden.

  • Zentrale Administration aller Benutzer, Berechtigungen und Systeme in einer heterogenen Systemlandschaft
  • Abbildung des Berechtigungskonzeptes im Identity Center
  • Self-Services im User Interface (UI), z.B. Passwort Reset
  • Genehmigungsworkflows zur Berechtigungsvergabe
  • Zugriffseinschränkung für neue Mitarbeiter
  • Nachvollziehbarkeit der Aktivitäten je Mitarbeiter
  • Zentrale Möglichkeit der Zugangskappung bei gekündigten Mitarbeitern

SAP Single Sign On (SSO)

SAP Single Sign On ermöglicht Ihren Anwendern den Zugriff auf alle nötigen Anwendungen über die einmalige Anmeldung.

  • Erspart den Umgang mit vielen hochkomplexen Passwörtern
  • Einmaliges Einloggen des Users über ein Passwort
  • Token reicht Session-Informationen an die nachfolgenden Systeme weiter
  • Listen mit Zugangscodes werden vermieden
  • Kostenreduktion in der Benutzer- und Kennwortverwaltung bei einer erhöhten Sicherheit der SAP-Umgebung

SAP Access Control (SAP AC)

Mit Zugriffskontrollen können Sie Missbrauch und Betrug verhindern. Unberechtigte Zugriffe auf Daten werden automatisch erkannt und wirksame Gegenmaßnahmen sofort eingeleitet.

  • Verhindert für das Unternehmen kritischen Kombinationen von Zugriffsberechtigungen
  • Automatisches verhindern von Zugriffsverletzungen
  • Automatisches Überprüfen der Benutzerzugriffe, Rollenberechtigungen, Zugriffsverletzungen und Kontrollaktivitäten
  • Lückenloser Kontrollprozess der Zugriffe von Benutzern mit Sonderrechten

SAP Enterprise Threat Detection (SAP ETD)

SAP Enterprise Threat Detection (SAP ETD) konzentriert sich in Echtzeit auf die zentralen Logfiles der genutzten Anwendungen

  • Angriffe erkennen durch die Analyse von Protokolldaten im Kontext
  • Verarbeitung großer Log-Datenmengen in Echtzeit
  • Automatisches musterbasierte Auswertung der gesammelten Daten
  • Abgleich historischer Daten mit bekannten Angriffsmustern
  • Eingriff auf Angriffe auf Geschäftsprozesse und Geschäftsdaten in Echtzeit
  • Sperrung von Nutzern und Verbindungen je nach Vorfall