Mitte Januar hat SAP die Sicherheitslösungen von Secude für SAP-Umgebungen gekauft. Secude behält „nur“ den Bereich der Content-Sicherheit wie beispielsweise die Festplattenverschlüsselung. Das ist vor allem deshalb interessant, weil es zeigt, dass Sicherheit für SAP ein Teil des Kerngeschäfts wird.
Secude ist einer der langjährigen Partner von SAP im Bereich der Sicherheit, das Unternehmen ist sogar vor mehr als 10 Jahren aus einem Projekt mit Beteiligung der SAP entstanden. Mit seinen Produkten insbesondere für das Single Sign-On und die sichere Authentifizierung ist Secude bei vielen SAP-Kunden positioniert.
SAP will die Basisversion von SecureLogin, einem der Kernprodukte von Secude, künftig als Standardfunktion an seine Kunden ausliefern. SAP NetWeaver Identity Management wird um den Secure Login Server und um Enterprise Single Sign-On erweitert. Besonders interessant daran ist, dass SAP damit nun auch – zum ersten Mal – eine Sicherheitskomponente für das Frontend an die Kunden ausliefert, und sich damit im Bereich der Sicherheit neu positioniert.
In der offiziellen Pressemitteilung findet sich aber auch der schöne Satz „Mit dem Erwerb dieser technologisch führenden Lösungen unterstreicht SAP ihre Zusage, in die Produktsicherheit für Kunden und Anwender zu investieren“, gleich gefolgt von „Mit Hilfe der ergänzenden Produkte Enterprise Single Sign-On und Secure Login kommt SAP wesentlichen Kundenforderungen einer standardmäßigen Integration von Sicherheitssoftware weiter nach.“
Kunden wollen kein „Flickwerk“
Anders formuliert: Kunden erwarten heute mehr standardmäßige Sicherheit: „Security out of the Box“ oder noch besser „Secure by Design“. Mit dem Verweis auf Verweis auf eine mehr oder wenige breite Partnerlandschaft wollte SAP in den vergangenen Jahren die Positionierung im Sicherheitsmarkt offen halten.
Doch ergänzende Sicherheitslösungen genügen den Ansprüchen nicht mehr. Das ist eine Konsequenz der stetig wachsenden Bedrohungen – SAP hat erst kürzlich eine ganze Latte von Sicherheitsproblemen mit seinem ersten „Patch Day“ adressiert – und der Erkenntnis, dass man alle relevanten Informationen in Unternehmen gezielt schützen muss.
Perimeter-Sicherheit reicht in Zeiten der Öffnung von Geschäftsprozessen für Kunden und Lieferanten und einem entsprechend durchlöcherten Perimeter längst nicht mehr aus. Und Unternehmensdaten stehen auch zunehmend im Fokus von Wikileaks und anderen Leaks ebenso wie von Wirtschaftskriminellen. Deshalb geht es auch nicht nur um die Authentifizierung, sondern auch die Erkennung von Problemen im laufenden Betrieb – ein Thema, das mit dem Produkt SecurityIntelligence, das ebenfalls von Secude übernommen wurde, adressiert wird.
SAP hinkt bei Sicherheit noch hinterher
Sicherheit wird damit auch für SAP immer mehr zu einem Kerngeschäft. Andere Unternehmen wie Oracle, IBM oder Microsoft haben in den vergangenen Jahren bereits massiv in dieses Feld investiert. Oracle hat beispielweise längst Rights-Management-Technologien in ihre Web-Technologie eingebaut, um Informationen auch zu sichern, wenn sie den Web-Server verlassen.
Diese Unternehmen konkurrieren auch um die Dominanz bei den Software-Infrastrukturen und damit über die technische Basis für die Umsetzung von Geschäftsprozessen. Und dort geht es längst auch darum, wie man solche Geschäftsprozesse wirklich sicher gestalten kann – nicht nur darum, wie man sie überhaupt gestalten kann.
Microsoft ist dabei schon länger ein Vorreiter der Integration von Sicherheit als Standardfunktion. SAP hat mit der Akquisition von Secude bestenfalls den zweiten oder dritten Schritt auf einem langen Weg gemacht. Vorangegangen waren Investitionen in IAM (Identity und Access Management) mit dem Kauf von Maxware und GRC (Governance, Risk Management, Compliance) mit der Akquisition von Virsa.
Spezialisten müssen sich neu aufstellen
Diese Entwicklung hat aber auch Einfluss auf den Anbietermarkt: Je mehr große Anbieter selbst Funktionen als eigene Produkte oder integriert in ihre Lösungen anbieten, desto mehr müssen kleinere Spezialisten entweder auf eine Übernahme setzen oder sich von Punktlösungen hin zu umfassenderen Angeboten bewegen. Gesamtangebote wäre der falsche Begriff, weil es diese im Bereich der Sicherheit mit ihrem hohen Komplexitätsgrad und vielen zu sichernden Ebenen nicht gibt.
Das heißt nun nicht, dass man alles von seinen großen Infrastrukturanbietern bekäme und kein Markt für kleinere Spezialisten mehr vorhanden ist. Wer klein ist, muss aber (wie immer) innovativer sein und sich auf die Lücken fokussieren.
Anwender wiederum müssen genau abwägen, wie sie die Komplexität im Bereich Sicherheit am besten reduzieren und damit beherrschen können. Das setzt eine klare Strategie voraus, die sich auf wenige durchgängige Schutzebenen (Informationsschutz, Authentifizierung, policy-basierte Autorisierung,…) konzentriert und dort die richtige Kombination von Standardfunktionen der im jeweiligen Netzwerk dominanten Infrastrukturanbieter mit Lösungen von Spezialisten sucht.
Nicht außer Acht lassen sollte man aber auch, dass die Komplettlösungen der großen Hersteller immer auch ein Lock-In-Risiken bergen – durchgängige Sicherheit kann daher durchaus auch von einem oder sehr wenigen unabhängigen Anbieter dominiert werden, um sich mehr Flexibilität zu erhalten. Und wie ausgeführt: Auch in dem Trend hin zu Sicherheit als Kernfunktion wird es immer die Lücken geben, die durch Spezialisten geschlossen werden müssen.