Solutions for Business · 5/2013
7
COVER-INTERVIEW
nach § 303a des StGB ganz zu schwei-
gen. So schön die neuen Funktionen
also auch sein mögen – die Entschei-
dung gegen oder für deren Nutzung,
und wenn ja in welchem Umfang,
sollte vor deren Einführung bewusst
getroffen werden.
Gibt es SAP-Module, die aufgrund ih-
res Einsatzgebietes besonders expo-
niert sind?
Schneider:
Grundsätzlich sind
alle öffentlich zugänglichen
SAP-Module gefährdet – sei
es durch mögliche Lücken im
Webserver, NetWeaver oder in
den einzelnen Modulen. Viele
Module sind ohne vorherige
Anmeldung jedoch schlicht
nicht erreichbar und daher we-
niger gefährdet als Module, die
per Definition „der Öffentlich-
keit“ zugänglich sind. Als Beispiel sei
hier das E‑Recruiting-Modul in SAP
genannt. Werden schriftliche Bewer-
bungen, etwa als Word- oder PDF-
Dokumente, ungeprüft hochgeladen,
landen die womöglich verseuchten
Dokumente in der Datenbank. Prüft
nun ein HR-Mitarbeiter mögliche
Bewerber und öffnet das verseuchte
Dokument, so kann die Malware in-
nerhalb des Netzwerkes seine Schad-
funktionen ausführen.
Wie lassen sich gemischte SAP-Umge-
bungen – ein Teil On Premise, der an-
dere in der Cloud – schützen?
Schneider:
Früher konnte man sich
darauf verlassen, dass die SAP-Syste-
me nur intern erreichbar waren. Heute
werden diese Systeme vermehrt vir-
tualisiert, nach außen geöffnet oder
gleich modern „in der Cloud“ betrie-
ben. Damit unterliegen sie natürlich
denselben Gefahren wie andere öf-
fentlich erreichbare Systeme und müs-
sen entsprechend geschützt werden.
Insbesondere wenn diese virtualisiert
oder in der Cloud betrieben werden,
kommt zur Sicherheit noch die An-
forderung an eine möglichst effiziente
Implementierung dieser Funktionen
hinzu. Hier bieten Lösungen wie etwa
Trend Micros „Deep Security“ diese
Sicherheitsfunktionen „agentenlos“
an, das heißt Sicherheit wird eine
Dienstleistung innerhalb der Virtua-
lisierungsinfrastruktur von VMware.
Im Vergleich zur Replizierung in jeder
virtuellen Maschine kann diese vom
Hypervisor deutlich effizienter und
zentral angeboten werden.
Welche Vorkehrungen sollten inner-
halb der SAP-Umgebung noch getrof-
fen werden, um den Schutz zu vervoll-
ständigen?
Schwittay:
Gerade wenn SAP-Sys-
teme in der Cloud betrieben werden,
sollte man sich frühzeitig Gedanken
darüber machen, wie man die Daten
auch wieder „zurück“-holen kann.
Allgemein gilt: Hat man die Daten erst
einmal aus der Hand gegeben, also in
die Cloud, so kann man eine unge-
wollte Weiterverbreitung kaum noch
verhindern. Einen möglichen Ausweg
liefert die Verschlüsselung der Daten
inklusive einer On-Premise-Verwal-
tung der Schlüssel. Dabei werden
sämtliche Daten auf Cloud-Festplat-
ten nur verschlüsselt abgelegt. Sollen
die Daten nun „vernichtet“ werden, so
reicht die Vernichtung der Schlüssel.
Bei modernen Algorithmen wie etwa
dem AES mit 256 Bit Schlüssellänge,
sind die Daten nach heutigem Stand
der Sicherheit nicht mehr wiederher-
stellbar. Da nun aber die Schlüssel aus-
schließlich on-premise verwaltet wer-
den, sind die verschlüsselten Daten in
der Cloud für einen Angreifer
schlichtweg unbrauchbar.
Welche
Sicherheitsvorkeh-
rungen empfehlen Sie Unter-
nehmen, die ihr ERP-System
komplett als Service beziehen
wollen?
Schneider:
Bei „ERP as a Ser-
vice“ obliegt es dem Service-
Provider,
Sicherheitsfunkti-
onen bereitzustellen, da das
Unternehmen auf die Systeme selbst
keinen Durchgriff mehr hat. Damit
wird es umso wichtiger, verlässliche
Kennzahlen über den Provider und
die bereitgestellten Sicherheitsme-
chanismen auszuwerten. Niemand
würde über einen Provider, dem er
nicht vertraut, Leistungen beziehen.
Trotz der Vertrauensstellung sind In-
formationen, zum Beispiel über Au-
dits, proaktiv zu kommunizieren bzw.
anzufordern. Das gleiche gilt auch
für SLA-relevante Informationen wie
Uptime, Bandbreite oder Auslastung.
Zusätzlich dazu kommen dann sicher-
heitsrelevante Kennzahlen, die es dem
Kunden erlauben, auch den Sicher-
heitsstatus der gehosteten Systeme zu
verifizieren. Insbesondere beim Um-
gang mit Personendaten ist man mit
der Nutzung eines Services ja nicht
automatisch „aus dem Schneider“ –
im Außenverhältnis bleibt man weiter-
hin für die Daten verantwortlich.
Rainer Huttenloher
Udo Schneider (Senior Manager PR Communica-
tions DACH) und Frank Schwittay (Vice President
DACH) bei Trend Micro verdeutlichen, wie sich
SAP‑Umgebungen bestmöglich absichern lassen.
