Monolithische ERP-Systeme, wie SAP R/3, sind out. Immer mehr Unternehmen verabschieden sich vom Ansatz "Ein-System-für-Alles" und bevorzugen für bestimmte fachliche Nischen, wie das Talentmanagement oder die Lohn- und Gehaltsabrechnung, Lösungen spezialisierter Cloud-Dienstleister. Dies bietet auch den Vorteil, dass man die neuen Anwendungen nicht aufwändig im eigenen Haus betreiben muss und bedarfsweise skalieren kann. Die Anbieter reagieren auf die wachsende Kundennachfrage, indem sie immer mehr Cloud-Services auf den Markt bringen: "Everything-as-a-Service" lautet die Devise in der neuen digitalen Welt.
Doch wird es noch einige Zeit dauern, bis sich dieses Paradigma in der Praxis durchgesetzt hat. Bis dahin stehen die Unternehmen vor der Aufgabe, die neuen Cloud-Services mit dem eigenen ERP und vorhandenen Drittsystemen sowie untereinander möglichst nahtlos in hybriden Landschaften zu verbinden. Dazu bieten sich integrative Plattformen an, wie im SAP-Umfeld die SAP Cloud Platform, die von SAP selbst als Platform-as-a-Service (PaaS) zur Verfügung gestellt wird und den Datenaustausch zwischen SAP- und Non-SAP-Systemen ermöglicht.
Allerdings steigt mit der Zahl der genutzten Services auch der Bedarf nach wirksamen IT-Sicherheitsmaßnahmen: So muss eine wachsende und immer stärker vernetzte IT-Infrastruktur - bestehend aus lokalem Netzwerk sowie einer Fülle von SAP-, Dritt- und Cloud-Anwendungen - vor immer gewiefteren Angriffen geschützt werden. Verstärkt wird dieser Druck durch die Ausbreitung innovativer IoT-Technologien.
Schnittstellen bieten Einfallstor
Neben der Auditierung und einheitlichen Konfiguration der IT-Plattform spielt die Sicherung der Schnittstellen eine zentrale Rolle. So haben typische SAP-Systeme mehrere Tausend RFC-Schnittstellen (Remote Function Call), hinzu kommen Schnittstellen zum Betriebssystem, zum SAP GUI, zu mobilen Apps und Webservices sowie zu anderen Lösungen, die in der Cloud oder bei Tochterunternehmen, Kunden und Lieferanten laufen.
Sind diese Schnittstellen veraltet, falsch konfiguriert oder unzureichend geschützt, bieten sie Datendieben, Wirtschaftsspionen und Saboteuren attraktive Einfallstore, um an Informationen zu gelangen. Dies kann für die betroffenen Unternehmen erhebliche finanzielle und rechtliche Auswirkungen haben, zudem leidet die Reputation. Verschärft wird diese Situation durch die immer strikteren regulatorischen Anforderungen, wie zuletzt die EU-DSGVO, die Verstöße gegen die neuen Richtlinien zum Schutz personenbezogener Daten mit drastischen Bußgeldern belegt.
Transparenz durch Inventarisierung
Obwohl die Risiken ungesicherter Schnittstellen längst bekannt sind, haben viele Unternehmen das Problem nicht im Griff: Zumal bei fortschreitender Digitalisierung der Überblick über die immer komplexeren Schnittstellen noch schneller als bisher verloren geht. Daher empfiehlt sich der Einsatz spezieller Werkzeuge, mit denen sich die Kommunikationsbeziehungen der Systemlandschaft analysieren und sämtliche Schnittstellen inventarisieren, dokumentieren und überwachen lassen.
Werden dabei Schwachstellen erkannt, erhalten die Systemverantwortlichen Vorschläge zur besseren Absicherung. Auch kann überprüft werden, ob das unternehmenseigene Berechtigungskonzept zu den vorhandenen Schnittstellen passt. Zusätzlich können in den Werkzeugen Regeln hinterlegt werden, um unberechtigte Datenzugriffe zu blockieren.
So löst die integrierte Monitoring-Komponente beispielsweise Alarm aus, etwa wenn ein Vertriebsmitarbeiter vertrauliche HR-Daten herunterladen will. Dann kann der Systemverantwortliche die betreffende Schnittstelle sofort kappen. Ebenso lässt sich durch Regeln gezielt ausschließen, dass personenbezogene Daten, wie Kundennamen oder Kreditkarten-Informationen, nach draußen gelangen - eine wichtige Voraussetzung zur Erfüllung der EU-DSGVO.
Darüber hinaus helfen Inventarisierung und Monitoring der Schnittstellen, fehlende Verschlüsselung bei der Datenübertragung aufzudecken. Während dieses Thema in der On-Premise-Welt durch leistungsfähige Industriestandards gut abgedeckt ist, sieht es in komplexen Cloud-Umgebungen derzeit noch anders aus. Da für die einzelnen Cloud Services verschiedene Verschlüsselungsmethoden genutzt und die Daten zwischendurch immer wieder entschlüsselt werden, zahlt sich auch hier der Einsatz eines Werkzeugs aus, das die Schnittstellen vollständig erfasst und kontinuierlich überwacht, um bei mangelhafter Verschlüsselung Alarm zu schlagen. Datenflüsse zwischen verteilten Systemen lassen sich damit nachverfolgen und durchgängig abgesichern.
Schlupfloch durch funktionale Erweiterungen
Um die digitale Transformation zu beschleunigen, können sich Unternehmen jedoch nicht nur auf verfügbare On-Premise- und Cloud-Lösungen verlassen. Wer schnell und flexibel auf neue Markt- und Kundenanforderungen reagieren will, muss seine Anwendungen immer wieder funktional erweitern. Eine Möglichkeit dazu bietet der DevOps-Ansatz, bei dem die Entwicklung und der IT-Betrieb eng zusammenarbeiten, um die Auslieferung hochwertiger Software zu beschleunigen. So können Unternehmen laufend kleinere Funktionen und Lösungen in Betrieb nehmen, die auf ihre individuellen Bedürfnisse zugeschnitten sind.
Eine andere Möglichkeit besteht für SAP-Anwender darin, die benötigte Funktion im SAP App Center direkt bei Partnern zu erwerben. So umfasst das SAP App Center derzeit über 1000 Erweiterungslösungen von Partnern für das gesamte SAP-Lösungsportfolio, darunter SAP S/4HANA sowie SAP Cloud Platform- und SAP Cloud-Lösungen. Bei steigender Nachfrage könnte das SAP App Center in der SAP-Welt bald eine Bedeutung haben, wie sie der App Store von Apple im Consumer-Bereich genießt.
Deutlicher Zuwachs an Komplexität
Allerdings gilt es auch hier, den Sicherheitsaspekt nicht aus dem Auge zu verlieren. Wenn Unternehmen die gewünschten Funktionen selbst programmieren, entstehen jedes Mal neue Rahmenbedingungen. Da SAP die Cloud Foundry, eine quelloffene "Platform as a Service" (PaaS) unterstützt, können Erweiterungen in jeder beliebigen Programmiersprache vorgenommen und an die SAP Cloud Platform angehängt werden. Andere Programmiersprachen, Betriebssysteme, Schnittstellen und Plattformen kommen hinzu.
In der Folge steigen die Komplexität der vorhandenen Systemlandschaft und damit auch insgesamt das Sicherheitsrisiko. Ähnlich sieht es bei Einkaufstouren im SAP App Center aus. Auch wenn SAP dafür sorgt, dass die angebotenen Partnerlösungen bestimmten Sicherheitsstandards genügen, laufen Unternehmen Gefahr, dass die Apps nicht dem eigenen Security-Konzept entsprechen.
Daher sollten alle funktionalen Erweiterungen mit geeigneten Werkzeugen auf mögliche Sicherheitslücken analysiert werden. Dies gilt für Partnerlösungen aus dem SAP App Center genauso wie für DevOps-basierte Eigenentwicklungen. Hier empfiehlt es sich für Unternehmen, von Anfang an Prüfwerkzeuge einzusetzen, die direkt in die Programmierumgebung integriert werden und einen hohen Automatisierungsgrad gewährleisten: von der Code-Entwicklung über die Test- und Build-Phase bis hin zu Laufzeit-Umgebung und Betrieb. In jeder Phase des Software-Produktlebenszyklus sorgen die Analysen dafür, dass die neuen Funktionen und Anwendungen sicher programmiert, konfiguriert und auf das Zielsystem gebracht werden können.
Neues Verständnis von IT-Security
"Neue technologische Herausforderungen wie Digitalisierung oder das Internet of Things (IoT) erfordern bei einer Vielzahl von IT-Verantwortlichen ein neues Verständnis von IT-Security", ist das Ergebnis einer aktuellen IDC-Studie. Zu diesem neuen Verständnis sollten in jedem Fall die Sicherung der Schnittstellen, die Einhaltung der Compliance und automatische Analysen funktionaler Erweiterungen zählen.