6
Solutions for Business · 5/2013
COVER-INTERVIEW
Interview mit Udo Schneider und Frank Schwittay,Trend Micro
Sicherheit
von SAP-Systemen
Auf der diesjährigen SAP-Anwendertagung (DSAG) in Nürnberg stand das Thema Sicherheit
von SAP-Umgebungen im Fokus der Keynote des DSAG-Vorstandsvorsitzenden Marco Lenck.
Welche Lösungen von Sicherheitsspezialisten wie Trend Micro hier helfen können, verdeutlichen
Udo Schneider (Senior Manager PR Communications DACH) und Frank Schwittay
(Vice President DACH) im Gespräch mit Solutions for Business.
Die Enthüllungen von Herrn Snowden
legen den Schluss nahe, dass Wirt-
schaftsspionage mit hoher Intensität
betrieben wird. Wie kann ein Unter-
nehmen seine kritischen Daten, die
es in einem ERP-System wie dem von
SAP vorliegen hat, gegen fast schon
übermächtige Angreifer schützen?
Schneider:
Bei der Sicherung von
SAP-Systemen sind zwei Sicherheits-
bereiche zu unterscheiden: Auf der
einen Seite steht die Sicherung der In-
frastruktur, auf der die SAP-Systeme
betrieben werden. Auf der anderen
Seite die Sicherung der Daten selbst,
die in ein SAP-System überführt wer-
den bzw. aus diesem entnommen wer-
den. Die Sicherung der Infrastruktur
ist mit Maßnahmen aus der „norma-
len“ IT – wie etwa Firewall, Integri-
ty Monitoring, Log-Analyse, Patch-
Management oder Antivirus – gut zu
bewerkstelligen: Nur die Anzahl der
Systeme und Technologien birgt ei-
ne logistische Herausforderung. Die
strikte Trennung zwischen Entwick-
lungs‑, Test‑, Staging- und Produk-
tivsystemen macht die Pflege sowohl
einfacher, denn Patches können auf
Nicht-Produktivsystemen gefahrlos
getestet werden, als auch schwerer,
denn Produktivsysteme werden später
gepatcht. Die inhärente Sicherung von
SAP-Systemen stellt die andere Sei-
te dar. Hierbei spielen die Daten und
Dateien, die in einem SAP-System
abgelegt werden, die zentrale Rolle:
SAP hat diesen Schutzbedarf frühzei-
tig erkannt und mit dem NetWeaver
Virus-Scan-Interface, kurz NW-VSI,
eine Schnittstelle geschaffen, die es
NetWeaver-basierten Anwendungen
– mit Java oder ABAP – erlaubt, ein-
oder ausgehende Daten auf schädli-
chen Inhalt zu überprüfen.
Welche neuen Risiken bringt der Mo-
bilzugriff auf SAP-Systeme via Tablet
und Smartphones für die Anwender
– verglichen mit bisherigen Zugriffen
via Desktop und Notebooks?
Schwittay:
Auch der Zugriff auf
SAP-Systeme mit mobilen Endgeräten
ist von zwei Seiten zu betrachten: Um
diesen Zugriff überhaupt zu ermög-
lichen, müssen die Systeme „von au-
ßen“ erreichbar sein – mit allen eben
angesprochenen
„Nebeneffekten“.
Aber auch die Endgeräte selbst sind
nicht risikolos. Speziell bei geschäft-
lich genutzten, aber privat gekauften
Geräten – Stichwort BYOD – steht
die Datenhygiene im Vordergrund.
Immerhin befinden sich auf diesen
Geräten geschäftliche, eventuell sogar
kritische Daten! Man stelle sich eine
Third-Party-Instant-Messaging-App
vor, die das Adressbuch auf dem End-
gerät nach „Freunden“ durchsucht.
Welche Gegenmaßnahmen müssen
dringend ergriffen werden?
Schwittay:
Während die interne IT
bei PCs oder Desktops Kontrollmaß-
nahmen zur Vermeidung solcher Lü-
cken durchsetzen kann, ist dies bei
privat genutzten, mobilen Endgeräten
schon deutlich schwerer. Lösungen
für das Mobile Device Management
– MDM – stellen natürlich Funktio-
nalitäten wie App-Whitelisting oder
Remote-Wipe zur Verfügung und soll-
ten auch flächendeckend eingesetzt
werden. Auch das Ausbringen von Si-
cherheitslösungen auf den Endgräten
– vergleichbar mit einem Virenscanner
auf PCs – ist heute empfehlenswert.
Zwingend ist jedoch die Ausarbeitung
einer Richtlinie über erlaubte und un-
erlaubte Geräte, Aktionen und Daten,
die auf dem Gerät vorgehalten werden
dürfen, sofern damit auf geschäftliche
Informationen zugegriffen wird. Denn
spätestens wenn ein Administrator
über Remote-Wipe ein privates End-
gerät „platt macht“, ist das Geschrei
groß; zumindest wenn diese Punkte
nicht vorher klar kommuniziert wur-
den. Von rechtlichen Konsequenzen
