Haben Sie Fragen?
Rufen Sie uns einfach an:
040 696985 - 0

Interview: Managed Security Service for SAP Enterprise Threat Detection

Managed Security Service for SAP ETD

Carla spricht diesen Monat mit dem Geschäftsführer der IBS Schreiber GmbH und SAP-Sicherheitsexperten Thomas Tiede.

Hallo Thomas! Vor welchen Herausforderungen stehen IT- und SAP-Sicherheitsverantwortliche heute?

Thomas Tiede: Die IT-Systeme werden immer komplexer, daher erfordert der Know-how-Aufbau für Sicherheit einen hohen zeitlichen und personellen Aufwand. Da darüber hinaus die Systeme sich immer schneller entwickeln, kann das Wissen nicht nur einmalig erworben werden, sondern muss fortlaufend auf dem aktuellen Stand gehalten werden, wodurch u.a. viel Zeit vom Tagesgeschäft investiert werden muss. Aufgrund der Investitionskosten für den Know-how-Aufbau zur Sicherheit der verschiedenen IT-Systeme sowie personeller Engpässe stellen Managed Security Services eine Lösung dar, die zukünftig vermehrt an Bedeutung gewinnen werden.

Was sind die besonderen Herausforderungen im SAP-Bereich?

Es gibt nicht mehr „das“ SAP-System. Heute bestehen die SAP-Systemlandschaften aus einer Vielzahl unterschiedlicher Technologien. Da sind zum einen die On-Premise-Systeme S/4HANA und BW4/HANA. Diese befinden sich in einem sehr schnellen Entwicklungsprozess. Jedes Jahr kommt für SAP S/4HANA ein neues Major-Release auf den Markt, dazwischen zwei FPS (Feature Pack Stack) mit jeweils neuen bzw. erweiterten Funktionen. Hinzu kommt die Palette der SAP Public-Cloud-Produkte wie SuccessFactors, Ariba und C/4HANA. Alle diese Produkte haben z.B. unterschiedliche Berechtigungskonzepte. Für Erweiterungen wird die SCP (SAP Cloud Platform) genutzt, welche wiederum ihre eigenen Berechtigungs- und Sicherheitskonzepte besitzt.

Und alle Produkte basieren auf der Datenbank SAP HANA. Auch diese wird fortlaufend weiterentwickelt und hat wieder ihre eigenen Berechtigungs- und Sicherheitsmechanismen. Mit der Nutzung von SAP HANA XSA (der Entwicklungsplattform von SAP HANA) kommt dann noch ein weiteres, anders aufgebautes Sicherheits- und Berechtigungskonzept hinzu.

Wie können Unternehmen es schaffen, diese Systeme sicherheitstechnisch in den Griff zu bekommen?

Zur Analyse von Berechtigungen der verschiedenen Systeme z.B. bietet die SAP aktuell zwei Produkte an. SAP Access Control kann für die On-Premise-Produkte (SAP ERP, SP S/4HANA etc.), für SAP HANA und SAP Success Factors eingesetzt werden. Für die Public Cloud-Produkte entwickelt die SAP das IAG (Identity Access Governance). Hier kann u.a. auch SAP Ariba angebunden werden. Sukzessive werden alle weiteren Cloud-Produkte der SAP in das IAG integriert.

Die IBS Schreiber GmbH bietet hierfür die Easy Content Solution (ECS) an, welcher Regelwerke für die SAP-Produkte zur Verfügung stellt. In 2019 werden auch die ersten Regelwerke für das IAG für Cloud-Komponenten zur Verfügung gestellt, beginnend mit SAP Ariba und SAP Success Factors. Und für die kontinuierliche Überwachung der Sicherheit der verschiedenen SAP-Systeme bietet SAP das Enterprise Threat Detection (ETD) an.

Wie funktioniert das SAP Enterprise Threat Detection?

Das SAP ETD ist eine SIEM-Software (Security Information and Event Management) speziell für SAP-Systeme. Mit SIEM-Produkten werden IT-Systeme überwacht und Vorfälle in Echtzeit aufgedeckt. Sie erzeugen Alarmmeldungen, sobald (zuvor vordefinierte) Aktionen in den Systemen durchgeführt werden, wie die Zuordnung sehr hoher Privilegien oder der Zugriff auf sensible Unternehmensdaten. Dadurch können u.a. Angriffe auf die Systeme zeitnah erkannt und Gegenmaßnahmen ergriffen werden.

Mit dem SAP ETD können speziell die SAP-Systeme überwacht werden. Diese liegen standardmäßig nicht im Fokus der SIEM-Produkte für die Infrastruktur (wie ArcSight, QRadar oder Splunk). Das SAP ETD enthält bereits Content, sog. Pattern, zur Überwachung kritischer Ereignisse. Dieser Content wird fortlaufend erweitert und aktualisiert. Natürlich können auch eigene Pattern definiert werden. SAP-Systeme werden an das ETD angeschlossen und senden ihre Log-Einträge dahin in Echtzeit. Dies können pro Tag etliche Gigabyte an Daten sein. Eine manuelle Auswertung ist auf Grund der Quantität nicht möglich. Die Pattern im ETD analysieren diese Log-Daten sofort nach der Übertragung und erzeugen Alarmmeldungen, wenn die Bedingungen erfüllt sind.

Aktuell können die On-Premise-Produkte der SAP an das SAP ETD angebunden sowie die Datenbank SAP HANA. Grundsätzlich ist es aber auch möglich, beliebige IT-Systeme an das SAP ETD anzuschließen. SAP arbeitet gerade daran, in den nächsten Versionen auch die Cloud-Produkte ans ETD anzuschließen.

Für das SAP ETD bietet die IBS einen Managed Security Service an. Welches Problem löst er beim Kunden?

Das Erzeugen von Alarmmeldungen bedeutet natürlich, dass darauf auch entsprechend reagiert werden muss. Genau hierbei liegt das Problem. Hierfür ist ein entsprechender Prozess erforderlich, der neu eingeführt werden muss. Dies scheitert im Bereich der SAP Administration zumeist an den personellen Ressourcen, da dies additiv zum Tagesgeschäft dazu kommt.

Wird bereits eine SIEM-Software für die Infrastruktur eingesetzt, so verfügen die dafür verantwortlichen Administratoren normalerweise nicht über das erforderliche SAP-Know-how, um die Alarmmeldungen aus den SAP-Systemen bewerten, analysieren und nachvollziehen zu können. Hier müsste entsprechend SAP-Know-how aufgebaut werden.

Mit unserem Managed Security Service for SAP ETD bieten wir hierfür die Lösung an. Wir übernehmen das Tagesgeschäft für das ETD und werten die Alarmmeldungen aus.

Was ist im MSS for SAP ETD bei der IBS Schreiber GmbH enthalten und wie sieht der Ablauf aus?

Im ersten Schritt konfigurieren wir das ETD nach Absprache mit dem Kunden so, dass seine Anforderungen für die Überwachung der SAP-Systeme erfüllt werden. Hierfür bieten wir auch einen Best-Practice-Ansatz an, mit dem der Kunde schnell und effizient starten kann. Nach der Inbetriebnahme des ETD filtern wir die False Positives raus, die bei jeder SIEM-Software nach der Live-Schaltung erzeugt werden. Nach wenigen Wochen werden dann nur noch echte Alarmmeldungen ausgegeben. Diese Konfiguration erfolgt über unsere MSS-Infrastruktur, die in einem externen Rechenzentrum läuft. Die Sicherheit der Kundendaten steht für uns an erster Stelle. Dabei übernehmen wir auch schon das Tagesgeschäft für das SAP ETD. Die Alarmmeldungen laufen bei uns auf. Wir analysieren und bewerten diese. Alles wird entsprechend dokumentiert und dem Kunden regelmäßig zur Verfügung gestellt.

Für Alarmmeldungen, die eine sofortige Reaktion des Kunden erfordern, definieren wir einen Eskalationsprozess, über den die Meldungen an den Kunden weitergegeben werden. Benötigt der Kunde Hilfe bei den daraus resultierenden Maßnahmen, so können wir ihn auch dabei umfassend unterstützen. Außerdem sorgen wir dafür, dass das SAP ETD immer auf dem aktuellen Stand bleibt. Bei technischen Änderungen in den Kundensystemen passen wir die Konfiguration an. Auch bekommt der Kunde von uns Hinweise, ob und welche zusätzlichen Analysen aktiviert bzw. individuell erstellt werden sollten.

Muss der Kunde dann das SAP ETD bei sich im Rechenzentrum betreiben?

Das ist natürlich möglich. Aber auch hier haben wir viele Kunden, für die ein Betrieb des SAP ETD im eigenen Rechenzentrum schwierig ist, sei es aus technischen Gründen oder personellen Engpässen. Hierfür arbeiten wir mit der Freudenberg IT zusammen, die ein Hosting des SAP ETD anbietet. Damit ist es nicht zwingend erforderlich, dass der Kunde das ETD selbst betreibt.

Das hört sich alles so an, als ob der Einsatz des ETD auch eine strategische Entscheidung darstellt, um den Schutz der Daten in den SAP-Systemen noch umfassender zu schützen.

Ja, hiermit wird eine neue Stufe der Überwachung von SAP-Systemen eingeläutet. Durch die Echtzeitüberwachung können gegen Eindringversuche und Fraud-Delikte zeitnah Maßnahmen getroffen werden, um sie abzuwehren. Bisher wird dies meist (wenn überhaupt) erst im Nachhinein festgestellt, wenn der Vorfall bereits abgeschlossen ist.

 

Thomas Tiede ist seit Anfang des Jahres 2000 Geschäftsführer der IBS Schreiber GmbH. Seine umfangreichen Erfahrungen im Bereich der Unternehmensprüfung fließen in seine langjährige Seminartätigkeit ein. Er gilt als anerkannter Experte der Zugriffs- und Sicherheitsphilosophien von Betriebssystemen, Datenbanken und SAP. An der Entwicklung des Prüfungstools CheckAud® for SAP Systems war und ist Thomas Tiede maßgeblich beteiligt. Er ist Autor des Standardwerkes „Sicherheit und Prüfung von SAP-Systemen“ sowie des im Juli 2019 erscheinenden „SAP HANA – Sicherheit und Berechtigungen“.

 

Links:

IBS Schreiber GmbH

Anschrift
Zirkusweg 1
20359 Hamburg

+49 40 6969 85-0
+49 40 6969 85-31
info@ibs-schreiber.de

Prüfung & Beratung