Mit der Entwicklung positiver virtueller Geschäftsstrukturen entwickeln sich auch schädliche Angreifer mit. Zum Schutz der Firmeninterna sind daher Sicherheitsmaßnahmen auf eben dieser virtuellen Ebene unverzichtbar. Bleibt der Datenschutz lückenhaft, kann dies wirtschaftliche Schäden in enormer Höhe allein durch Industriespionage verursachen. Mit diesen Tipps gewährleisten Unternehmen SAP-Sicherheit, die gegen jegliche Angriffsversuche immun ist.
Schutzlücke Login: So werden unautorisierte Eintritte effektiv blockiert
Ein Basic der unternehmerischen SAP-Sicherheit sind Logins. Unautorisierte Angreifer gelangen hierüber leicht an Firmendaten, bis hin zu Buchungsdateien oder vertraulichen Interna. Um dies zu verhindern, sollten in SAP die Login-Einstellungen wie folgt konfiguriert werden:
a) Begrenzt gültiges Passwort:
Nach 30 Tagen muss der Benutzer das SAP-Passwort neu setzen oder ändern, um auf einen einmal angelegten Account wieder zugreifen zu können.
b) Passwortlänge und maximale Anzahl für Fehleingaben:
Drei bis acht Ziffern sind für ein Passwort von der SAP-Konfiguration voreingestellt, können aber auf mindestens fünf oder mehr geändert werden. Bei fehlerhaften Eingaben beendet die SAP-Konfiguration - bei entsprechender Einstellung - eine eröffnete Sitzung, bei fünf bis 12 Fehleingaben werden die Benutzerstammsätze für weitere Anmeldungen gesperrt.
c) Zugang zu generischen Nutzeraccounts:
Nach der Erstinstallation und abgeschlossenem Setup sollte die ID unmittelbar abgesichert oder geändert werden. Eine Überprüfung mit dem SAP-Report RSUSR003 zeigt, ob die SAP*ID gesichert ist. Nach der Änderung / Sicherung stellt der Systemparameter login/no_automatic_user_sapstar auf = 1 sicher, dass nicht versehentlich eine Löschung statt einer Änderung erfolgt ist.
d) Firmenintern Zugangsberechtigungen zu SAP-Ebenen zuweisen:
Feste Zuständigkeiten im IT-Team verringern die potenziellen Risiken der SAP-Sicherheit intern. Vor allem fällt bei zugewiesenen Berechtigungen schneller ein versuchter Angriff von außerhalb in einem bestimmten Bereich auf.
Monitoring als effektive Möglichkeit zur Verbesserung der SAP-Sicherheit
Die Ressourcen der meisten Unternehmen beschränken sich auf die gezeigten und weitere Sicherheits-Basics. Um neben externen Angreifern auch interne SAP-Schwachstellen aufzudecken und zu beseitigen, ist ein Monitoring aller Zugangsebenen unumgänglich. Eben hier fehlt es derzeit noch an der verfügbaren Technik, oder die Unternehmen verzichten auf zusätzliche Überwachungstools aus Kostengründen. Aber gerade die Kostengründe wiegen sich im Verhältnis zu einem vermeidbaren wirtschaftlichen Schaden mit einer solchen Investition auf. So, wie regelmäßige externe Audits die Qualität in der Unternehmensarbeit überprüfen und immer neu zertifizieren, sollte dies für effektive SAP-Sicherheit auch firmenintern in festgelegtem Turnus stattfinden. Nur so lassen sich Sicherheitslücken in einer an und für sich gut kontrollierten Anwendungsumgebung entdecken.
Fazit:
Effektive SAP-Sicherheit erfordert detailreiche Einschränkungen innerhalb einer Anwendungsumgebung. Die Festlegung von Zuständigkeiten schafft dabei Sicherheit auf personeller Ebene, die SAP-Konfiguration von Zugangsvorschriften auf technischer Ebene. Für Rundumschutz von Netzwerken und Systemen ist zusätzlich ein effektives SAP-Monitoring unumgänglich.
Weitere Informationen: