Die SIEM Alarmanlage bringt Ihre SAP Landschaften auf eine neues Level
Der vorliegende Artikel führt die Leser in das Thema SAP Enterprise Threat Detection (ETD) ein und gibt einen Überblick über relevante Security Fragestellungen. Das Ziel ist den Lesern die Aufgabenstellung von SAP ETD sowie deren Implementierungsmöglichkeiten nahe zu bringen und warum die SAP Alarmanlage in der transformationsgetriebenen vernetzten SAP Systemlandschaft gerade jetzt wichtig ist.
Die SAP Kunden sind mit einer stetig steigenden Anzahl an Cyberattacken konfrontiert. Spionage, Erpressung, Insiderbedrohungen und der Einsatz von Detektiven klingen nach einem spannenden Hollywood Film, doch diese Vorfälle passieren jeden Tag in der Geschäftswelt. Überall dort wo sich Vermögenswerte befinden, wird versucht, an diese heranzukommen, deshalb stellt sich die Frage, wie man diese schützen kann. Während sich die IT-Security auf die Sicherheit der Systeme fokussiert, setzt die Cybersecurity den Schwerpunkt auf die Produkte und Services. SAP Systeme verarbeiten Daten, die sogenannten „digital assets“, mit den höchsten Schutzklassen. Neben den Geschäftspartnern und den Mitarbeitern werden sensible Finanz- und Bankdaten, die Materialwirtschaft, Produktionsplanung und viele weitere Geschäftsprozesse in einem SAP System abgebildet. Das SIEM Tool SAP Enterprise Threat Detection (ETD) überwacht die Systemlandschaft und die verbunden SAP Anwendungen. Das Ziel ist in Echtzeit die Cyberangriffe zu identifizieren, mit modernen IT-Forensik Methoden die Angriffe analysieren und diese zu neutralisieren, um mögliche Schäden auf das Unternehmen oder die Organisation zu vermeiden und abzuwehren. ETD fungiert hierbei als die Alarmanlage für Ihre SAP Kernsysteme.
Dieser Artikel ist relevant für CIO, CISO, SAP Basis Administratoren sowie SAP Technology und Security Consultants und führt Sie in das Thema SAP ETD ein.
Vorab möchten wir drei zentrale Fragen beantworten, um die Priorität einer Alarmanlage richtig einzuordnen:
Passieren heute Angriffe auf SAP Systeme? JA
Benötigen Sie eine Alarmanlage für SAP Systeme? JA
Wie lange dauert es im Durchschnitt, bis eine bekannte Sicherheitslücke in einem SAP System geschlossen wird: 280 Tage
Welche Massnahmen empfiehlt das NIST Framework für IT Security?
Das NIST (National Institute of Standards and Technology) Framework für Cybersecurity ist ein weit verbreiteter Standard für die Bewertung und Verbesserung der Cybersicherheit in Unternehmen. Es basiert auf fünf Hauptkategorien: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Hier sind die Empfehlungen des NIST Frameworks für jede dieser Kategorien:
| Identifizieren | Dieser erste Schritt beinhaltet das Verständnis, welche Systeme, Daten und Ressourcen innerhalb des Unternehmens geschützt werden müssen. Dazu gehören: Asset Management: Identifizieren und verwalten Sie alle physischen und softwarebasierten Ressourcen innerhalb der Organisation. Risikomanagement: Identifizieren und bewerten Sie die Risiken für die Systeme, Daten und Ressourcen. Governance: Etablieren Sie Richtlinien und Verfahren, um das Cybersicherheitsprogramm effektiv zu verwalten. |
| Schützen | Nach der Identifizierung von Vermögenswerten und Risiken müssen angemessene Schutzmaßnahmen ergriffen werden. Das kann umfassen: Zugriffskontrolle: Legen Sie fest, wer Zugriff auf die Systeme und Daten hat und welche Aktionen sie durchführen dürfen. Datenverschlüsselung: Verschlüsseln Sie Daten sowohl in Ruhe als auch während der Übertragung, um sie vor Diebstahl oder Manipulation zu schützen. Sicherheitsschulungen: Schulen Sie Mitarbeiter in sicherheitsbewusstem Verhalten und in der Erkennung von Bedrohungen wie Phishing-Angriffen. |
| Erkennen | Das Unternehmen muss in der Lage sein, Cyber-Angriffe und Sicherheitsverletzungen zu erkennen, wenn sie auftreten. Das kann folgendes beinhalten: Anomalie- und Schwachstellenerkennung: Verwenden Sie Tools und Techniken, um ungewöhnliche Aktivitäten zu erkennen, die auf eine Sicherheitsverletzung hindeuten könnten. Sicherheitsüberwachung: Überwachen Sie die Systeme und Netzwerke kontinuierlich auf Anzeichen von Sicherheitsverletzungen. |
| Reagieren | Wenn eine Sicherheitsverletzung entdeckt wird, muss das Unternehmen in der Lage sein, effektiv zu reagieren. Das umfasst: Reaktionsplanung: Stellen Sie sicher, dass ein Notfallreaktionsplan vorhanden und auf dem neuesten Stand ist. Kommunikation: Informieren Sie interne und externe Stakeholder über das Problem und wie es gehandhabt wird. Analyse: Untersuchen Sie die Sicherheitsverletzung, um ihre Ursache und Auswirkungen zu verstehen. |
| Wiederherstellen | Nach einer Sicherheitsverletzung muss das Unternehmen in der Lage sein, seine Systeme und Aktivitäten wiederherzustellen. Das beinhaltet: Wiederherstellungsplanung: Stellen Sie sicher, dass Pläne und Prozesse zur Wiederherstellung von Systemen und Daten vorhanden und aktuell sind. Verbesserungen: Nutzen Sie die Erkenntnisse aus der Sicherheitsverletzung, um die Cybersicherheitsmaßnahmen zu durchzusetzen. Business Continuity Management: Planen Sie Ihr Geschäft bei Ausfällen fortzusetzen und Alternativen vorzuhalten. Kommunikation: Wiederherstellungsaktivitäten werden mit internen und externen Parteien koordiniert (z. B. Koordinierungszentren, Internetdienstanbieter, Eigentümer angreifender Systeme, Opfer und andere Anbieter). SAP ETD setzt speziell in den Kategorien „Erkennen“ und „Reagieren“ des NIST Frameworks an und sammelt die Logs aus der gesamten Landschaft zentral und speichert diese für mindestens ein Jahr. |
SAP ETD geht speziell auf die Kategorien „Erkennen“ und „Reagieren“ des NIST-Frameworks ein und sammelt zentral Protokolle aus der gesamten Landschaft und speichert sie mindestens ein Jahr lang. SAP ETD füllt hier die Lücke, wozu das ABAP-System mit Security Audit Log (Transaktion SM20) nicht in der Lage ist.
Welches Problem löst SAP ETD?
Es werden bereits viele Maßnahmen, es sei nur der „Patch Dienstag“ genannt, bei SAP Kunden unternommen, um die Sicherheit von SAP Systemen zu erhöhen. Das reicht jedoch nicht aus. Stellen Sie sich vor, Sie bekommen die Empfehlung Ihre Fenster in Ihrem Zuhause mit Schloss nachzurüsten. Das erhöht die Sicherheit und erschwert es einem Einbrecher sich Zugang zu Ihrem Zuhause zu verschaffen. Das ist ein anschauliches Beispiel für die Implementierung einer Sicherheitsempfehlung. Was Sie allerdings nicht wissen, ob der Einbrecher sich trotz der Sicherheitsmaßnahme, zum Beispiel mittels eines Dietrich Werkzeugs Zugang zu Ihrem Zuhause durch die Haustüre verschafft. Dieses Problem löst eine Alarmanlage, die idealerweise auch den Sicherheitsdienstleister alarmiert. SAP Enterprise Threat Detection (ETD) ist eine Sicherheitslösung die Unternehmen, insbesondere SAP Kunden, dabei hilft Cyberattacken und Sicherheitsvorfälle zu erkennen, diese zu analysieren und darauf zu reagieren. Dies passiert in Echtzeit mit fortgeschrittenen Machine Learning Algorithmen sowie Mustererkennung. Ungewöhnliches Verhalten und potentiale Verstöße in SAP Systemen und Anwendungen werden systemisch detektiert. Somit schließt SAP ETD die Lücke im NIST Framework und befähigt SAP Kunden zu IT Forensik. SAP ETD basiert auf der SAP HANA Plattform und soll die Betriebssicherheit der angeschlossen SAP Systeme erhöhen. Hier setzt SAP auf ihre moderne Technologie-Plattform. Da SAP ETD die Logfiles, Traces und Protokolle speichert, können diese dann zentral und komfortabel ausgewertet werden.
Warum lässt sich das bestehende SIEM System nicht für die SAP Landschaft nutzen? SAP ETD versteht es am besten wie die SAP Logdaten zu interpretieren sind und bietet die Überwachung auf Anwendungsebene. Somit ergänzt SAP ETD bestehende SIEM Lösungen, die Ihren Fokus auf der Infrastrukturebene haben. Darüber hinaus lässt sich die Alarmierung von SAP ETD komfortabel mit JSON Pushing and JSON Pulling in bestehende SIEM Systeme implementieren, damit eine Integration in ein vorhandenes SIEM System, wie z.B. Splunk, ermöglicht wird.
Wie funktioniert SAP ETD?
SAP Enterprise Threat Detection (ETD) funktioniert durch das Sammeln und Analysieren von Log-Daten aus SAP- und Nicht-SAP-Systemen. Das können z.B. SAP Application Server ABAP, SAP Application Server JAVA, SAP HANA Datenbanken oder diverse Cloud Produkte wie die SAP Business Technology Platform oder das ERP Systeme S4/HANA Cloud sein. Es nutzt eine Vielzahl von Datenquellen, einschließlich Datenbankprotokolle, Anwendungsprotokolle und Betriebssystemprotokolle. Die gesammelten Daten werden dann analysiert und nach potenziellen Bedrohungen durchsucht. Die Analyse erfolgt mit Hilfe von sogenannten Detektionsmustern, welche vordefinierte Regeln darstellen, die bestimmte Arten von Bedrohungen oder verdächtigen Aktivitäten identifizieren können. Bei einem Treffer wird eine Alarmmeldung erstellt, die die notwendigen Informationen für die Untersuchung und Reaktion auf die Bedrohung enthält. Darüber hinaus ermöglicht SAP ETD die Integration mit anderen Sicherheitsinformationen und Ereignisverwaltungssystemen (SIEM), um eine umfassende Sicht auf die Sicherheitslage des Unternehmens zu gewährleisten. Mit SAP ETD können Unternehmen somit effektiv auf Bedrohungen reagieren, diese erkennen und proaktiv handeln, um die Auswirkungen von Sicherheitsverstößen zu minimieren und ihre Systeme und Daten zu schützen. Abschließend lässt sich sagen, dass SAP ETD ein effektives und effizientes Instrument zur Verbesserung der Sicherheit und zum Schutz von Unternehmensdaten ist, indem es die frühzeitige Erkennung und Reaktion auf potenzielle Bedrohungen ermöglicht.
Wie lässt sich SAP ETD implementieren?
Die Implementierung von SAP Enterprise Threat Detection (SAP ETD) ist ein mehrstufiger Prozess, der eine sorgfältige Projektplanung und eine gut durchdachte Strategie erfordert. Hier sind die grundlegenden Schritte zur Implementierung von SAP ETD:
| Anforderungsanalyse | Bevor Sie mit der Implementierung beginnen, müssen Sie die spezifischen Anforderungen Ihres Unternehmens an die Sicherheitsüberwachung verstehen. Das beinhaltet die Identifikation der Systeme und Daten, die überwacht werden müssen, sowie die Art der Bedrohungen, die Sie erkennen möchten. |
| Systemvorbereitung | Das nächste ist die Vorbereitung der SAP ETD-Systemumgebung. Dies umfasst die Installation des SAP ETD-Server und des SAP HANA-Datenbankserver, die als Basis für SAP ETD dienen. |
| Integration von Datenquellen | SAP ETD kann Log-Daten aus einer Vielzahl von Quellen sammeln, sowohl SAP- als auch Nicht-SAP-Systeme. Sie müssen die zu überwachenden Systeme identifizieren und entsprechend konfigurieren, um Log-Daten an SAP ETD zu senden. |
| Konfiguration von Detektionsmustern | SAP ETD nutzt Detektionsmuster, um verdächtige Aktivitäten in den gesammelten Log-Daten zu identifizieren. Sie müssen Detektionsmuster basierend auf den spezifischen Bedrohungen konfigurieren, die Sie erkennen möchten. |
| Alarmmanagement | Sobald ein Detektionsmuster eine potenzielle Bedrohung erkennt, generiert SAP ETD einen Alarm. Sie müssen Prozesse und Verantwortlichkeiten für das Management dieser Alarme festlegen. |
| Training und Testing | Vor dem endgültigen Einsatz und Go-Live sollten Sie umfangreiche Tests durchführen und sicherstellen, dass Ihr Personal ausreichend geschult ist, um SAP ETD effektiv zu nutzen. Die Implementierung von SAP ETD erfordert sowohl technisches Know-how als auch ein Verständnis der spezifischen Sicherheitsanforderungen Ihres Unternehmens. Mit der richtigen Planung und Vorbereitung kann SAP ETD jedoch ein leistungsstarkes Instrument zur Verbesserung der Sicherheitslage Ihres Unternehmens sein. |
Welche Kompetenzen werden für den Betrieb von SAP ETD benötigt?
Die Kompetenzen, die für den Betrieb von SAP Enterprise Treat Detection erforderlich sind, ergeben sich aus dem Aufgabenfeld.
| Technischer Betrieb | – Installation – Hardware – System Lebenszyklus – Applikation Lebenszyklus – Verfügbarkeitsmanagement – Log-Quellen verbinden |
| Funktionaler Betrieb | – Konfiguration und Kundenspezifische Anpassung der Anwendungsfälle – Inhaltsverwaltung |
| Verarbeitung der Erkenntnisse | – Bearbeitung der Sicherheitsverstösse in dem Protokoll – Entscheidungsfindung – Änderungsmanagement |
| Überwachungsaufgabe | – Monitoring – Untersuchung und Analyse von Fällen – Alarmverabeitung |
Wie werden SAP Systeme heute angegriffen?
SAP-Systeme sind von zentraler Bedeutung für viele Unternehmen und daher ein attraktives Ziel für Cyberangriffe. Diese Angriffe können sowohl von außen als auch von innen kommen, je nach Art des Angreifers und seinen Zielen. Wichtig ist hier auch zu betonen, dass Sie auch nicht-produktive SAP-Systeme und Ihre Backups schützen sollten, da diese ebenfalls wertvolle Daten enthalten können. Hier ist eine Übersicht über die verschiedenen Arten von Angriffen auf SAP-Systeme:1. Missbrauch von Berechtigungen: Hierbei handelt es sich um Situationen, in denen Mitarbeiter ihre Zugriffsrechte missbrauchen, um auf sensible Informationen zuzugreifen oder Schaden anzurichten. Dies kann vorsätzlich oder unbeabsichtigt geschehen.
| Angriffe von außen | 1. Exploiting von Schwachstellen: Angreifer suchen nach bekannten Sicherheitslücken in der SAP-Software, um Zugriff auf Systeme und Daten zu erlangen. Dies kann durch das Ausnutzen von Fehlern in der SAP-Software oder durch das Ausnutzen von Konfigurationsfehlern in der System- oder Netzwerkebene erfolgen. 2. Phishing-Angriffe: In diesem Fall sendet der Angreifer gefälschte E-Mails, die so aussehen, als kämen sie von einer legitimen Quelle. Ziel ist es, den Empfänger dazu zu verleiten, sensible Informationen preiszugeben oder Malware zu installieren, die es dem Angreifer ermöglicht, Zugriff auf das SAP-System zu erlangen. 3. Denial-of-Service (DoS) Angriffe: Bei diesen Angriffen wird das SAP-System mit einer Überlast an Anfragen bombardiert, was dazu führen kann, dass das System langsamer wird oder ganz ausfällt. |
| Angriffe von innen | 1. Missbrauch von Berechtigungen: Hierbei handelt es sich um Situationen, in denen Mitarbeiter ihre Zugriffsrechte missbrauchen, um auf sensible Informationen zuzugreifen oder Schaden anzurichten. Dies kann vorsätzlich oder unbeabsichtigt geschehen. 2. Insider-Bedrohungen: In manchen Fällen können Mitarbeiter, Auftragnehmer oder Geschäftspartner absichtlich versuchen, das SAP-System zu kompromittieren. Sie können ihre Kenntnisse über das System und ihre Zugriffsrechte nutzen, um Daten zu stehlen, zu manipulieren oder das System zu sabotieren. 3. Fehlerhafte Konfigurationen: Fehler in der Systemkonfiguration können es Mitarbeitern ermöglichen, unbeabsichtigt auf Informationen zuzugreifen, zu denen sie normalerweise keinen Zugriff haben sollten. |
Tatsächliche Security-Vorfälle im SAP Umfeld
– Angriff auf Tabelle USR02 mit Password-Hashes
– Informationen zu neuen Produktdaten wurden im Internet veröffentlicht, bevor das Produkt offiziell vorgestellt wurde.
– Ein Mitarbeiter hat bevor er zu einem Wettbewerber gewechselt ist, die Produktrezeptur samt Stückliste und Formel aus dem Testsystem heruntergeladen.
– Unterbrechung von Geschäftsprozessen für mehrere Tage nach eine SAP Tabelle durch einen externen Berater gelöscht wurde.
– Angreifer versuchen über diverse SAP Standardbenutzer auf die SAP Systeme Zugriff zu erlangen.
– Ein privilegierter Benutzer manipuliert sein Gehalt in der SAP Payroll PA30.
– Ein Whistleblower spielt Gehalts- und Spesenabrechnungen eines CEO der Presse zu.
– Ein Konzern ist nicht in der Lage seinen Jahresbericht in der Hauptversammlung aufgrund eines Cyberangriffs vorzustellen.
– Ein externer Entwickler übergeht die Sicherheitsrichtlinien und entwickelt und debugged im Produktivsystem.
– Ein Benutzer logt sich zeitgleich von unterschiedlichen Orten ein und somit wurde ein Identitätsdiebstahl detektiert.
– Zugriff auf blacklisted Transaktionen und Entsperren von Transaktionen
Es ist wichtig zu betonen, dass SAP kontinuierlich an der Verbesserung der Sicherheit seiner Systeme arbeitet. Dennoch liegt es in der Verantwortung jedes Unternehmens, seine Systeme und Daten aktiv zu schützen und dabei sowohl externe als auch interne Bedrohungen zu berücksichtigen. Stichworte: SAP-Systeme, Cyberangriffe, Angriffe von außen, Angriffe von innen, Exploiting von Schwachstellen, Phishing-Angriffe, Denial-of-Service Angriffe, Missbrauch von Berechtigungen, Insider-Bedrohungen, Fehlerhafte Konfigurationen.
Welche Risiken und Konsequenzen hat ein Angriff auf ein SAP System?
Ein Angriff auf ein SAP-System kann gravierende Risiken und Konsequenzen für ein Unternehmen haben. SAP-Systeme sind oft das Rückgrat der Geschäftsprozesse und speichern eine Fülle von sensiblen und kritischen Geschäftsdaten. Daher können Angriffe auf diese Systeme erhebliche negative Auswirkungen haben. Hier sind einige Beispiele für Risiken und Konsequenzen:
| Datenverlust oder -diebstahl | Ein erfolgreicher Angriff kann dazu führen, dass vertrauliche Daten verloren gehen oder gestohlen werden. Zum Beispiel könnte ein Angreifer Kundendaten stehlen, die persönliche Informationen wie Namen, Adressen und Kreditkarteninformationen enthalten. Dies könnte zu erheblichen finanziellen Verlusten für das Unternehmen und seine Kunden führen und das Vertrauen in das Unternehmen untergraben. |
| Betriebsunterbrechungen | Ein Angriff kann dazu führen, dass wichtige Geschäftsprozesse unterbrochen werden. Zum Beispiel könnte ein Denial-of-Service-Angriff dazu führen, dass das SAP-System nicht mehr reagiert, wodurch die Produktion, die Auftragsabwicklung oder andere kritische Geschäftsprozesse gestoppt werden könnten. |
| Reputationsverlust | Wenn bekannt wird, dass ein Unternehmen Opfer eines Cyberangriffs geworden ist, kann dies zu einem erheblichen Verlust an Vertrauen seitens Kunden, Partnern und Aktionären führen. Beispielsweise könnten Kunden zögern, Geschäfte mit einem Unternehmen zu machen, das nicht in der Lage war, seine Daten zu schützen. |
| Rechtliche Konsequenzen und Strafen | Wenn ein Unternehmen nicht in der Lage ist, die Daten seiner Kunden oder Mitarbeiter zu schützen, kann dies zu rechtlichen Konsequenzen und erheblichen Strafen führen, insbesondere im Hinblick auf Datenschutzgesetze wie die EU-Datenschutz-Grundverordnung (DSGVO). Ein Angriff auf ein SAP-System ist ein ernstzunehmendes Risiko, das Unternehmen aktiv managen und gegen das sie sich schützen müssen. Es ist wichtig, dass Unternehmen eine starke Cybersicherheitsstrategie haben, die sowohl präventive Maßnahmen als auch einen Plan für den Umgang mit Sicherheitsvorfällen umfasst. |
Ein Angriff auf ein SAP-System stellt ein ernstes Risiko dar, das Unternehmen aktiv bewältigen und vor dem sie sich schützen müssen. Für Unternehmen ist es von entscheidender Bedeutung, über eine Cybersicherheitsstrategie zu verfügen, die sowohl Präventivmaßnahmen als auch einen Plan für den Umgang mit Sicherheitsvorfällen umfasst.
Was bedeutet IT Forensik?
IT-Forensik in Bezug auf SAP Enterprise Threat Detection (ETD) bezieht sich auf die systematische Untersuchung von Sicherheitsvorfällen und Anomalien innerhalb eines SAP-Systems. Ziel ist es, die Ursache von Sicherheitsverletzungen zu identifizieren, ihre Auswirkungen zu verstehen und Maßnahmen zur Vermeidung zukünftiger Vorfälle zu entwickeln. SAP ETD ist ein leistungsstarkes Werkzeug, das Daten aus verschiedenen Quellen sammelt und analysiert, um potenzielle Bedrohungen zu erkennen und Alarme auszulösen. Ein Mitarbeiter, der in der IT-Forensik für SAP ETD tätig ist, benötigt eine Reihe spezifischer Kompetenzen:
| Analytische Fähigkeiten | Ein IT-Forensiker muss in der Lage sein, große Mengen an Daten zu analysieren und Muster zu erkennen, die auf eine Sicherheitsverletzung hindeuten könnten. Er muss auch komplexe technische Details verstehen und diese Informationen verwenden, um Hypothesen über die Ursache und den Verlauf von Sicherheitsverletzungen zu entwickeln. |
| Technisches Know-how | Ein tieferes Verständnis der SAP-Systemarchitektur, einschließlich Kenntnisse über verschiedene SAP-Module, Datenstrukturen und Log-Dateiformate, ist entscheidend. Darüber hinaus sind Kenntnisse in der SAP HANA-Datenbank und in verwandten Technologien, einschließlich Netzwerk- und Betriebssystemkomponenten, von Vorteil. |
| Erfahrung mit Sicherheitstools | Erfahrung im Umgang mit Sicherheitswerkzeugen wie SAP ETD und anderen Bedrohungserkennungs- und Reaktionswerkzeugen ist wichtig. Der Mitarbeiter sollte wissen, wie man solche Werkzeuge verwendet, um verdächtige Aktivitäten zu erkennen, Alarme zu generieren und detaillierte Berichte zu erstellen. |
| Kommunikationsfähigkeit | Da der IT-Forensiker oft die Ergebnisse seiner Untersuchungen an nicht-technische Stakeholder kommunizieren muss, sind starke Kommunikationsfähigkeiten erforderlich. Dies beinhaltet die Fähigkeit, komplexe technische Details in einer Weise zu erklären, die für alle verständlich ist. Mit diesen Kompetenzen kann ein IT-Forensiker in der Lage sein, effektiv mit SAP ETD zu arbeiten, Sicherheitsvorfälle zu untersuchen und dazu beizutragen, die Cybersicherheit des Unternehmens zu stärken. |
Mit diesen Kompetenzen kann ein forensischer IT-Analyst effektiv mit SAP ETD arbeiten, Sicherheitsvorfälle untersuchen und zur Stärkung der Cybersicherheit des Unternehmens beitragen.
Wie sieht eine typischer Projektplan für eine SAP ETD Implementierung aus und welche Fähigkeiten / Skills sind dafür erforderlich?
Die Technologieexperten von BALTX.COM helfen SAP Kunden Cyberangriffe zu erkennen und darauf zu reagieren. Bei der Implementierung von SAP Enterprise Threat Detection (ETD) sind eine gründliche Planung und spezifische Fähigkeiten erforderlich. BALTX.COM unterstützt Sie bei dieser Reise von Anfang an. Der Umfang des Projekten bemisst sich durch die Anzahl der verwendeten Muster, der Anzahl der Systeme, der gewählten Betriebsarbeit und der gewählten Landing Zone samt Bereitstellungsvariante. BALTX.COM empfiehlt ein schrittweises Vorgehen und die Verwendung des ETD Starterpakets.
| Planung | Diese Phase umfasst die Erstellung eines detaillierten Projektplans, der Ziele, Zeitrahmen, Ressourcen und Verantwortlichkeiten definiert. Benötigte Fähigkeiten: Projektmanagement, strategische Planung, SAP-Sicherheitsexpertise. |
| Systemvorbereitung und -design | Hier wird die aktuelle SAP-Landschaft bewertet und das Design für die SAP ETD-Lösung festgelegt. Dazu gehört auch die Auswahl der zu überwachenden Systeme und die Definition der Log-Quellen. Benötigte Fähigkeiten: SAP-Systemkenntnisse, Netzwerkdesign, Kenntnisse in Datenbanktechnologien, Sicherheitsarchitektur. |
| Installation und Konfiguration | In dieser Phase wird SAP ETD installiert und konfiguriert. Dies beinhaltet die Einrichtung von Log-Quellen, die Definition von Bedrohungsindikatoren und die Einrichtung von Alarmen. Benötigte Fähigkeiten: Kenntnisse in SAP-Technologien, insbesondere SAP HANA und SAP ETD, technische Kompetenzen im Bereich der Systeminstallation und -konfiguration, sowie System Life Cycle Management. |
| Testen und Validieren | Hier wird das System getestet, um sicherzustellen, dass es korrekt funktioniert und die vorgesehenen Bedrohungen erkennt. Benötigte Fähigkeiten: Systemtesting, Sicherheitsanalyse, Fähigkeit zur Fehlerbehebung, Scripting. |
| Schulung und Rollout | In dieser Phase wird das System in Betrieb genommen und die Benutzer werden geschult, wie sie SAP ETD effektiv nutzen können. Benötigte Fähigkeiten: Schulung, Kenntnisse in Change Management, Kommunikationsfähigkeiten. |
| Betrieb und Wartung | Nach dem Rollout muss das System überwacht, gewartet und bei Bedarf angepasst werden. Hier gilt es zu unterscheiden, ob eine 24 Stunden Überwachung oder zu den Geschäftszeiten das Ziel ist. Benötigte Fähigkeiten: Systemüberwachung, Kenntnisse in IT-Betrieb und -Wartung, fortlaufende Sicherheitsanalyse, Data Life Cycle Management, Archivierung. |
| Integrationsszenarien | Integrationsszenarien in das Cyber Defense Center (CDC) des Unternehmens und in bestehende SIEM Tools (z.B. Splunk oder ArcSight). Benötigte Fähigkeiten: Programmierung, Schnittstellen, Administration, Cyber-Security, Case Management. |
Die erfolgreiche Implementierung von SAP ETD erfordert eine Mischung aus technischen und managementbezogenen Fähigkeiten. Ein tieferes Verständnis der SAP-Systemlandschaft, der Sicherheitspraktiken und der Projektmanagement-Prinzipien ist unerlässlich. Für BALTX.COM sind dieses kritische Erfolgsfaktoren einer SAP ETD Implementierung zu nennen:
– Definition des Betriebsmodells.
– Von Beginn an soll der Sicherheitsstandard definiert werden.
– Schaffung des organisatorischen Bewusstseins.
– Die False-Positive Analyse.
– Eine geeignete Log-Transfer-Strategie.
– Ausreichend Zeit für Patches und Upgrades.
Damit erreichen SAP Kunden eine Verbesserung der proaktiven Reaktionszeit, Transparenz, Expertise und Fokus, sowie ein eventbasiertes Risikomanagement.
Welche rechtlichen Anforderungen zur Sicherheit von SAP Systemen gibt es?
Die Sicherheit von SAP-Systemen wird durch verschiedene gesetzliche und regulatorische Anforderungen geregelt. Einige dieser Anforderungen sind:
Datenschutzgesetze: In vielen Ländern gibt es Gesetze, die den Schutz personenbezogener Daten regeln. In der EU ist beispielsweise die Datenschutz-Grundverordnung (DSGVO) ein zentraler rechtlicher Rahmen, der die Verarbeitung personenbezogener Daten durch Unternehmen reguliert. Unternehmen müssen sicherstellen, dass ihre SAP-Systeme so konfiguriert sind, dass sie die Anforderungen der DSGVO erfüllen.
IT-Sicherheitsgesetze: Einige Länder haben spezielle Gesetze zur IT-Sicherheit. In Deutschland ist beispielsweise das IT-Sicherheitsgesetz relevant, das Betreiber kritischer Infrastrukturen dazu verpflichtet, bestimmte Sicherheitsmaßnahmen zu ergreifen und erhebliche IT-Störungen zu melden.
Branchenspezifische Regulierungen: In bestimmten Branchen gibt es spezifische regulatorische Anforderungen zur IT-Sicherheit. Beispielsweise müssen Banken und Finanzinstitute in vielen Ländern strenge regulatorische Anforderungen an ihre IT-Systeme erfüllen.
BSI IT-Grundschutz: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland bietet den IT-Grundschutz, einen Katalog von Empfehlungen und
Anforderungen zur IT-Sicherheit. Unternehmen können den IT-Grundschutz nutzen, um ihre SAP-Systeme sicher zu gestalten und zu betreiben.
IT-Sicherheitsgesetz 2.0 | EU NIS2
Als neue Soll-Vorschrift des IT-Sicherheitsgesetz 2.0, die seit dem 01.05.2023 gilt, haben Betreiber kritischer Infrastrukturen die Verpflichtung, Systeme zur Angriffserkennung einzusetzen. Das umfasst die betriebenen SAP Systeme und ist Teil der EU NIS2 Direktive, die sich zum Ziel gesetzt hat ein hohes gemeinsames Maß an Cybersicherheit in der EU zu gewährleisten. Die Verordnung gilt auch für Zulieferer für Betreiber kritischer Infrastruktur und wird höchstwahrscheinlich bald eine Muss-Vorschrift werden. Das gilt auch für die Cloud Anwendungen und Plattformen, die im Unternehmen eingesetzt werden. Z.B. SAP C4C, SAP (BTP) Business Technology Platform (BTP), SAP Ariba, SAP SuccessFactors und SAP Concur. Es ist davon auszugehen, dass SAP ETD künftig teil der Audits von den Wirtschaftsprüfungsgesellschaften sein wird. Darauf deuten die veröffentlichten case studies von Deloitte, Ernst & Young (EY), KPMG und PWC hin.
- 2023-06-30 Deloitte A success story of enterprise threats detection
- 2022 PWC Cyber Threats 2022: A Year in Retrospect
Welche SAP ETD subscriptions gibt es?
| Standard Abonnement | Premium Abonnement | |
| Implementierung SAP ETD Produktiv-Landschaft | ja | ja |
| Implementierung SAP ETD Qualität-Landschaft | optional | ja |
| Beratung zur Größenbestimmung und Landezone | ja | ja |
| Datensicherung und Wiederherstellung / Backup / Recovery | nein | ja |
| Systemlebenszyklusmanagement / Updates / Patches | 1 Jahr inklusive | 1 Jahr inklusive |
| Datenlebenszyklusmanagement / Housekeeping | nein | ja |
| Transportmanagement | nein | ja |
| Unterstützung / Support | 9-16h CET Standard | 24/7h Enterprise |
| Kundenspezifische Anpassung | optional | optional |
| Überwachung der angeschlossenen SAP Systeme / Monitoring | optional | optional |
| Penetration-Test | optional | optional |
| Fallmanagement IT-Forensik | optional | optional |
| Retention Bonus | ja | ja |
| Preis (Initialkosten plus Wartung und Betrieb) | auf Anfrage | auf Anfrage |
Das Unerwartete zu erwarten zeugt von einem durchaus modernen Intellekt.
Oscar Wilde