Sicherheit von SAP in Bezug auf neue Technologien

Weitere Magazine

Empfehlungen

Info

Sicherheit von SAP in Bezug auf neue Technologien 2.2.4 Übergreifende Aspekte Organisatorische Maßnahmen und Integration in Sicherheitsüberprüfungen Außer den menschlichen und technischen Faktoren gibt es auch Faktoren, die sich übergreifend auswirken. Die organisatorischen Bedingungen und Entscheidungen sind hier ein Tema. Für viele Bereiche in der IT haben auch organisatorische Maßnahmen Einzug gehalten um die Arbeit zu strukturieren, wie schon verschiedene Standards, z.B. ITIL 11 zeigen. Demgegenüber wird SAP nur selten z.B. in Evaluationen der konzeptionellen Sicherheit auf Netzwerkebene oder sonstigen ganzheitlichen Überprüfungen mit einbezogen 12 . Sicherheitsüberprüfungen der Webapplikationen, wie sie bei klassischen Webapplikationen bereits üblich sind, werden bislang nur in sehr wenigen Ausnahmefällen durchgeführt. Gleichzeitig gewinnen sie jedoch an Bedeutung und es ist eine steigende Nachfrage hierfür erkennbar. Spezielle Eigenschaften von SAP-Systemen wurden bei solchen Webapplikationsüberprüfungen kaum beachtet, da es hier ebenfalls im Gegensatz zu klassischen Webapplikationen keine Erkenntnisse oder Erfahrungen gibt. Wirtschaftliche Bedeutung Bei klassischen Webapplikationen ist der potentielle wirtschaftliche Schaden eines Sicherheitsvorfalls sehr individuell und kann von sehr geringem direkten Schaden bis zu im Ernstfall unternehmensgefährdentem Schaden. Bei SAP werden hingegen immer kritische Daten verarbeitet, so dass das Schadensrisiko im Durchschnitt wesentlich höher liegen sollte. Darüber hinaus sind auch immer indirekte Schäden wie z.B. Vertrauensverlust zu beachten, der sich nur schwer beziffern lässt. Es gab einige Versuche, den direkten Schaden zu beziffern, der durch Komprommittierung von IT Systemen durchschnittlich entsteht 13 . So liegen die ermittelten Schäden je nach Studie zwischen 167.000 Dollar und 4.8 Millionen Dollar und weitere 1000 Dollar pro Stunde zur Wiederherstellung des Ursprungszustandes. Wie hier zu sehen ist, sind die Daten nicht stichhaltig und eine weitere Studie von Forrester Research zeigt, dass 25% derjenigen, die auf solche Fragen geantwortet haben, den Schaden gar 11 http://www.itil.org/ 12 http://www.securitymanager.de/magazin/artikel_988_sap-security_roadmap_zu_umsetzung.html 13 http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1248216,00.html?track=NL- 430&ad=581112USCA&asrc=EM_NLT_1164363&uid=4199563 Damian Schlager Seite 16
Sicherheit von SAP in Bezug auf neue Technologien nicht kennen oder nicht wissen, wie man ihn beziffern könnte. Hierbei sagten 11% die einen Verlust von Daten bestätigt haben, dass keine weiteren Kosten entstanden, was nicht der Wahrheit entsprechen kann. Verlässliche Daten zum wirtschaftlichen Schaden gibt es also derzeit noch nicht, doch wie sich ein möglicher Schaden auswirken kann, lässt sich am Beispiel ChoicePoint aufzeigen, dessen Aktienwert auf 2 Jahre nach einem bekannt gewordenen Sicherheitsvorfall noch immer 20% unter dem Wert liegt, das das Unternehmen vor diesem Vorfall hatte. Gartner schätzt außerdem, dass die Kosten für einen Verlust von Daten bis 2009 um 20% pro Jahr steigen wird. Zusammenfassend lässt sich sagen, dass einzelne Aspekte kein realistisches Bild der Sicherheit bringen können, viel mehr muss letztlich eine Gesamtbetrachtung durchgeführt werden. Bei Betrachtung einzelner Aspekte entgehen komplexere Probleme, wie z.B. der Mitarbeiter, der mangels Schulungen nicht richtig mit der proprietären Sprache umgehen kann, oder ein gutes Sicherheitsmodell, das durch fehlerhaftes Setzen von Berechtiungen unterlaufen wird, oder ein fehlerhafter Prozess, in dessen Zuge unsichere Einstellungen von einem Testsystem in das Produktivsystem übernommen werden. 2.2.5 Betrachtungsweisen der Sicherheit Klassische SAP-Sicherheit Wie in allen Bereichen der IT gibt es auch für SAP bereits einen Markt für Dienstleistungen im Sicherheitsbereich. Jedoch decken diese gänzlich andere Themen ab als sie in dieser Diplomarbeit behandelt werden. Es gibt auch einige Anbieter, die sich um das Thema sichere Kommunikation kümmern und in diesem Rahmen Lösungen für SSL, VPN und PKI anbieten. Der größte Teil der Anbieter für Sicherheit bei SAP bearbeitet jedoch das durchaus komplexe und wichtige Gebiet der Benutzer- oder Rollenverwaltung, Berechtigungen und Profile sowie eventuell Information- Ownership und Themen rund um Complianceandforderungen. Risiko – Kontroll - Analyse Eine Empfehlung 10 im Rahmen der SAP-Sicherheit beschreibt eine sogenannte Risiko – Kontroll – Analyse um die Sicherheitsprobleme der SAP-Technologie, Anwendungen, Organisation und gesetzliche Damian Schlager Seite 17
Seite 1: Diplomarbeit in Computer Networking
Seite 4 und 5: Sicherheit von SAP in Bezug auf neu
Seite 72 und 73:
Sicherheit von SAP in Bezug auf neu
Seite 74 und 75:
Seite 76 und 77:
Seite 78 und 79:
Seite 80 und 81:
Seite 82 und 83:
Seite 84 und 85:
Seite 86 und 87:
Seite 88 und 89:
Seite 90 und 91:
Seite 92 und 93:
Seite 94 und 95:
Seite 96 und 97:
Seite 98 und 99:
Seite 100 und 101:
Seite 102 und 103:
Seite 104 und 105:
Seite 106 und 107:
Seite 108:
Alle anzeigen

Sicherheit von SAP in Bezug auf neue Technologien

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?