Sicherheitslücken sind nicht nur das Resultat von Fehlern im Softwarecode. Oftmals sind sie eine Folge der Softwarearchitektur. Zudem bestehen in allen IT-Landschaften moderne Systeme und Applikationen, die für eine vernetzte Welt gebaut wurden, neben Legacy-Umgebungen, die noch aus der Zeit stammen, in der sie isoliert waren und Angriffe von außen undenkbar. Mainframes sind ein Beispiel dafür, die bei Banken und Telekommunikationsanbietern ein gleichsam ewiges Leben führen. Aber auch bei gängiger Unternehmenssoftware existieren verschiedene Generationen nebeneinander und können gar nicht anders, als sich gegenseitig zu vertrauen, indem sie etwa die Zertifikate ungeprüft akzeptieren. Davon profitieren interne wie externe Angreifer insbesondere bei den weit verbreiteten Seitwärtsbewegungen und dringen so von unkritischen Teilen der Umgebung bis in die sensibelsten Bereiche vor.
Handlungsfähig bleiben
Angesichts dieser Situation wäre es falsch, sich allein auf die Bedrohungsabwehr zu konzentrieren. Vielmehr kommt es ebenso sehr darauf an, bei erfolgreichen Angriffen handlungsfähig zu bleiben. Cyber-Resilienz lautet deshalb das Gebot der Stunde, wie das BSI zurecht schreibt.
Was heißt das für SAP-Bestandskunden? Sie sollten von der Prämisse ausgehen: Der Feind ist bereits im System und kommt in etwa einem Drittel der Fälle von innen und zu zwei Dritteln von außen. Resilienz beginnt nicht erst bei der Absicherung der SAP-Applikationen, sondern schon bei der Infrastruktur, erstreckt sich auf Schnittstellen und Datenströme von und zu Umsystemen und bewältigt den unvermeidbaren Kompromiss zwischen Praktikabilität und höchstmöglichem Sicherheitsniveau. Darüber hinaus ermöglicht sie SAP-Bestandskunden, ihre Verantwortung für Sicherheit und Compliance selbst im Bedrohungsfall jederzeit und lückenlos wahrzunehmen, im eigenen Rechenzentrum genauso wie in der Public Cloud. Dafür braucht es auf allen Ebenen vollständige Transparenz und ein lückenloses Monitoring sowie eine enge Zusammenarbeit und Kommunikation zwischen den SAP- und Security-Teams. Leider krankt es oft genau daran.
itesys AG
Langfeldstrasse 53a
CH8500 Frauenfeld
Telefon: +41 (71) 6701780
Telefax: +41 (71) 6701782
https://www.itesys.ch/
Head of Marketing
Telefon: 0041 716701780
E-Mail: marketing@itesys.ch