Staat, Verwaltung und Wirtschaft erleiden jedes Jahr massive Schäden durch Cyber-Angriffe. Dies hat auch die Politik erkannt und fordert, das Thema Sicherheit mit höchster Priorität zu behandeln. Dazu hat der Gesetzgeber die bereits seit längerem bestehenden Kritis-Regelungen um die EU-Richtlinie NIS 2 sowie den „Cyber Resilience Act“ erweitert, die nicht mehr nur Unternehmen der Kritischen Infrastruktur betreffen. Im Zuge der Digitalisierung und Cloudifizierung rücken vor allem die zu neuralgischen Punkten avancierenden Applikationen immer stärker in den Fokus der zunehmenden Angriffsversuche. Darüber hinaus zeigt sich deutlich die Fragilität der Lieferketten, die, auch durch die enorme Dynamik KI-getriebener Angriffe, auf eine harte Belastungsprobe gestellt werden.
Wie sich Unternehmen mit SAP Security gegen IT-Attacken wappnen können, erklären Oliver Villwock, Director SAP Technology bei cbs Corporate Business Solutions und Christoph Nagy, CEO von SecurityBridge im folgenden Interview:
SAP ist in sehr vielen Unternehmen seit Jahrzehnten im Einsatz, warum bedarf es nun einer expliziten SAP Security?
Oliver Villwock: SAP ist nicht nur irgendeine App, sondern ein „Paralleluniversum“. SAP ist ein Enterprise-Resource-Planning-System (ERP-System), mit dem man das gesamte Unternehmen steuern kann. Es ist also die Schaltzentrale der Digitalisierung. Innerhalb der Unternehmen gilt SAP als „kritische Infrastruktur“, über die weltweit 80 Prozent der Materialflüsse abgewickelt werden. Eine System-Kompromittierung hat fatale Folgen. Daher ist den spezifischen Anforderungen der SAP-Komponenten ausreichend Rechnung zu tragen.
Braucht man für die SAP Security spezifische Tools?
Christoph Nagy: Angesichts der steigenden Digitalisierung und der zunehmenden KI-gesteuerten Angriffe empfehle ich den Einsatz einer umfassenden Cybersecurity-Plattform anstelle eines manuellen Prozesses. Dazu gehören zeitnahe Sicherheitsupdates im Rahmen des SAP Security Patch Days und die langfristige Aufrechterhaltung eines hohen Sicherheitsniveaus. Eine passende Software-Lösung ermöglicht die automatisierte Überwachung von Abweichungen, um den ‚Secure State‘ nachhaltig zu gewährleisten.
Was ist bei der Einführung von SAP Security zu beachten?
Oliver Villwock: Wichtig sind ausreichend Ressourcen und Know-how, um die Steuerung und die Integration in das bestehende Security-Konzept sinnvoll zu gestalten. Denn das SAP-Universum hat seine eigene Sprache und Komplexität, die für einen wirkungsvollen Schutz erst verstanden werden muss. Sicherheit ist immer ein Prozess, ständig entstehen neue Angriffsvektoren.
Christoph Nagy: Ich empfehle jedem, sich intensiv mit SAP Security zu befassen, da die anfänglichen Schritte einfach sind und eine hohe Wirkung erzielen.
Worauf müssen Unternehmen hinsichtlich ihrer Sicherheitsarchitektur achten?
Christoph Nagy: Die SAP-Systeme sind heutzutage sehr komplex untereinander vernetzt. Hybride Umgebungen und gesteigerte Komplexität der IT-Architektur verlangt vom Kunden die Definition bzw. Überarbeitung eines Security-Konzepts mit neuen Sicherheitsverantwortungen und Prozessen.
Oliver Villwock: Das Security-Konzept muss den ständigen Veränderungen gewachsen sein. Durch die Cloudifizierung, die Digitalisierung sowie die hohe Innovationsgeschwindigkeit wird die Sicherheitsarchitektur noch komplexer. SAP-Kunden arbeiten meist in einer hybriden Umgebung, die mit unterschiedlichen Cloud-Systemen kommunizieren muss. Die Accountability, also die Verantwortung und die Haftung für Sicherheit, liegen beim Kunden, nicht beim Cloudanbieter. IT-Sicherheit muss nach vorne gedacht werden, sie muss mein Unternehmen auch vor Bedrohungen schützen, die ich heute noch gar nicht kenne.