Punktlösungen haben in der IT-Sicherheit durchaus ihre Berechtigung. Es gibt nun einmal nicht das eine Security-Tool, das alles leistet – und große Security-Projekte werden allzu oft komplex. Doch wer nicht versteht, wie die Mechanismen ineinandergreifen sollen, der geht unkalkulierbare Sicherheitsrisiken ein. Ein gutes Beispiel dafür sind die Anstrengungen für Sicherheit im SAP-Bereich.
Gerade bei komplexen Lösungen wie SAP-Systemen wird deutlich, wie komplex das Thema Sicherheit ist. Es gibt typischerweise verschiedene Instanzen, die auf – vielleicht virtualisierten – Servern laufen. Diese kommunizieren miteinander, wobei SAP selbst hier ja durchaus noch Lösungsansätze für eine sichere Kommunikation bietet.
SAP-Systeme speichern Daten in Datenbanken. Sie haben Schnittstellen zu anderen Anwendungen. Und es wird mit unterschiedlichen Clients darauf zugegriffen. Daten werden darüber hinaus vielleicht auch noch in einem SAP Business Warehouse-System miteinander verknüpft.
Auch wenn man die Sicherheit in einem bestimmten SAP-System im Griff hat, heißt das deshalb noch lange nicht, dass man alle Herausforderungen gelöst hat. Das Hardening von Server-Systemen, der Umgang mit privilegierten Benutzern auf Systemebene, die Datenbanksicherheit und auch die Sicherheit von virtueller Infrastrukturen sind einige der Themen, die es auch zu adressieren gilt.
Ist es einem Angreifer möglich, auf Systemebene ganze Datenbanken zu kopieren oder Produktionsdatenbanken zu zerstören, besteht eben ein erhebliches Risiko, das es zu adressieren gilt. Es geht also nicht nur darum, ein Anwendungssystem zu betrachten und abzusichern, sondern um den gesamten Stack – vom Netzwerk bis hin zur Anwendungsebene. Das gilt natürlich nicht nur für SAP-Systeme, sondern für jede Umgebung. Viele der bekannten Angriffe der letzten Monate haben Schwächen beim Management von privilegierten Benutzern oder in der Datenbank-Sicherheit ausgenutzt.
Alles muss zusammenpassen
Mindestens genauso komplex sind aber erweiterte Risiken, die durch die Integration von Systemen entstehen. Fasst man Daten in einem Data Warehouse zusammen, so können schon durch die Kombinatorik ganz andere Informationen entstehen, die potentiell ein deutlich höheres Risiko beinhalten – man denke nur an die Verknüpfung von personenbezogenen Daten aus verschiedenen Quellen zu einem immer umfassenderen Gesamtbild von Benutzern.
Betrachtet man all die Datenimporte gerade aus SAP-Systemen, dann wird außerdem deutlich, dass sich das Problem keineswegs auf Data-Warehouse-Anwendungen beschränkt. Wenn die CSV-Datei erst einmal erzeugt ist, lässt sich technisch praktisch nicht mehr kontrollieren, was eigentlich mit den Daten geschieht.
Bedauerlicherweise fehlen hier technische Möglichkeiten. In den meisten Unternehmen fehlen aber auch organisatorische Prozesse, mit denen geregelt und überwacht wird, …
- wie Daten eigentlich zwischen verschiedenen Systemen fließen,
- wer solche Datenexporte freigibt und
- wie geprüft wird, ob die Zielanwendungen immer noch das mit den Daten machen, was ursprünglich vorgesehen war.
Dabei wird deutlich, dass auch grundlegende Funktionen wie ein Dateneigner bisher nur in den wenigsten Unternehmen zu finden sind. Eine gesamtheitliche Sicherheit erfordert daher nicht nur eine Betrachtung aller technischen Ebenen, sondern auch des Informationsflusses. Nur dann kann man erkennen, wo man organisatorische und technische Maßnahmen für mehr Informationssicherheit umsetzen muss und wo man beginnen sollte.
Es ist eben nicht alles damit getan, im SAP-System selbst seine Hausaufgaben gemacht zu haben. Das ist zweifelsohne ein wichtiges Element in Sicherheitskonzepten, aber ein Sicherheitskonzept wird nie gut sein, wenn es nicht auf einer Gesamtsicht basiert.