{"id":165,"date":"2023-05-21T04:56:39","date_gmt":"2023-05-21T01:56:39","guid":{"rendered":"https:\/\/techltx.com\/?page_id=165"},"modified":"2023-08-03T18:41:00","modified_gmt":"2023-08-03T15:41:00","slug":"sap-etd-enterprise-threat-detection","status":"publish","type":"page","link":"https:\/\/techltx.com\/de\/sap\/sap-etd-enterprise-threat-detection\/","title":{"rendered":"SAP Enterprise Threat Detection (ETD)"},"content":{"rendered":"\n

Die SIEM Alarmanlage bringt Ihre SAP Landschaften auf eine neues Level<\/h3>\n\n\n

Der vorliegende Artikel f\u00fchrt die Leser in das Thema SAP Enterprise Threat Detection (ETD) ein und gibt einen \u00dcberblick \u00fcber relevante Security Fragestellungen. Das Ziel ist den Lesern die Aufgabenstellung von SAP ETD sowie deren Implementierungsm\u00f6glichkeiten nahe zu bringen und warum die SAP Alarmanlage in der transformationsgetriebenen vernetzten SAP Systemlandschaft gerade jetzt wichtig ist.<\/em><\/p>\n

Die SAP Kunden sind mit einer stetig steigenden Anzahl an Cyberattacken konfrontiert. Spionage, Erpressung, Insiderbedrohungen und der Einsatz von Detektiven klingen nach einem spannenden Hollywood Film, doch diese Vorf\u00e4lle passieren jeden Tag in der Gesch\u00e4ftswelt. \u00dcberall dort wo sich Verm\u00f6genswerte befinden, wird versucht, an diese heranzukommen, deshalb stellt sich die Frage, wie man diese sch\u00fctzen kann. W\u00e4hrend sich die IT-Security auf die Sicherheit der Systeme fokussiert, setzt die Cybersecurity den Schwerpunkt auf die Produkte und Services. SAP Systeme verarbeiten Daten, die sogenannten „digital assets“,\u00a0 mit den h\u00f6chsten Schutzklassen. Neben den Gesch\u00e4ftspartnern und den Mitarbeitern werden sensible Finanz- und Bankdaten, die Materialwirtschaft, Produktionsplanung und viele weitere Gesch\u00e4ftsprozesse in einem SAP System abgebildet. Das SIEM Tool SAP Enterprise Threat Detection (ETD)<\/strong> \u00fcberwacht die Systemlandschaft und die verbunden SAP Anwendungen. Das Ziel ist in Echtzeit die Cyberangriffe zu identifizieren, mit modernen IT-Forensik Methoden die Angriffe analysieren und diese zu neutralisieren, um m\u00f6gliche Sch\u00e4den auf das Unternehmen oder die Organisation zu vermeiden und abzuwehren. ETD fungiert hierbei als die Alarmanlage f\u00fcr Ihre SAP Kernsysteme. \u00a0<\/p>\n

Dieser Artikel ist relevant f\u00fcr CIO, CISO, SAP Basis Administratoren sowie SAP Technology und Security Consultants und f\u00fchrt Sie in das Thema SAP ETD ein.<\/strong> \u00a0<\/p>\n

\u00a0<\/p>\n\n\n

\"SAP<\/a><\/figure>\n\n\n\n

Vorab m\u00f6chten wir drei zentrale Fragen beantworten, um die Priorit\u00e4t einer Alarmanlage richtig einzuordnen:<\/strong>
Passieren heute Angriffe auf SAP Systeme? JA<\/strong>
Ben\u00f6tigen Sie eine Alarmanlage f\u00fcr SAP Systeme? JA<\/strong>
Wie lange dauert es im Durchschnitt, bis eine bekannte Sicherheitsl\u00fccke in einem SAP System geschlossen wird: 280 Tage<\/strong><\/p><\/blockquote><\/figure>\n\n\n\n

Welche Massnahmen empfiehlt das NIST Framework f\u00fcr IT Security?<\/h3>\n\n\n

Das NIST (National Institute of Standards and Technology) Framework f\u00fcr Cybersecurit<\/a>y ist ein weit verbreiteter Standard f\u00fcr die Bewertung und Verbesserung der Cybersicherheit in Unternehmen. Es basiert auf f\u00fcnf Hauptkategorien: Identifizieren, Sch\u00fctzen, Erkennen, Reagieren und Wiederherstellen. Hier sind die Empfehlungen des NIST Frameworks f\u00fcr jede dieser Kategorien:<\/p>\n\n\n

Identifizieren<\/strong><\/td>Dieser erste Schritt beinhaltet das Verst\u00e4ndnis, welche Systeme, Daten und Ressourcen innerhalb des Unternehmens gesch\u00fctzt werden m\u00fcssen. Dazu geh\u00f6ren:   Asset Management: Identifizieren und verwalten Sie alle physischen und softwarebasierten Ressourcen innerhalb der Organisation. Risikomanagement: Identifizieren und bewerten Sie die Risiken f\u00fcr die Systeme, Daten und Ressourcen. Governance: Etablieren Sie Richtlinien und Verfahren, um das Cybersicherheitsprogramm effektiv zu verwalten.  <\/td><\/tr>
Sch\u00fctzen<\/strong><\/td>Nach der Identifizierung von Verm\u00f6genswerten und Risiken m\u00fcssen angemessene Schutzma\u00dfnahmen ergriffen werden. Das kann umfassen:   Zugriffskontrolle: Legen Sie fest, wer Zugriff auf die Systeme und Daten hat und welche Aktionen sie durchf\u00fchren d\u00fcrfen. Datenverschl\u00fcsselung: Verschl\u00fcsseln Sie Daten sowohl in Ruhe als auch w\u00e4hrend der \u00dcbertragung, um sie vor Diebstahl oder Manipulation zu sch\u00fctzen. Sicherheitsschulungen: Schulen Sie Mitarbeiter in sicherheitsbewusstem Verhalten und in der Erkennung von Bedrohungen wie Phishing-Angriffen.  <\/td><\/tr>
Erkennen<\/strong><\/td>Das Unternehmen muss in der Lage sein, Cyber-Angriffe und Sicherheitsverletzungen zu erkennen, wenn sie auftreten. Das kann folgendes beinhalten:   Anomalie- und Schwachstellenerkennung: Verwenden Sie Tools und Techniken, um ungew\u00f6hnliche Aktivit\u00e4ten zu erkennen, die auf eine Sicherheitsverletzung hindeuten k\u00f6nnten. Sicherheits\u00fcberwachung: \u00dcberwachen Sie die Systeme und Netzwerke kontinuierlich auf Anzeichen von Sicherheitsverletzungen.<\/td><\/tr>
Reagieren<\/strong><\/td>Wenn eine Sicherheitsverletzung entdeckt wird, muss das Unternehmen in der Lage sein, effektiv zu reagieren. Das umfasst:   Reaktionsplanung: Stellen Sie sicher, dass ein Notfallreaktionsplan vorhanden und auf dem neuesten Stand ist. Kommunikation: Informieren Sie interne und externe Stakeholder \u00fcber das Problem und wie es gehandhabt wird. Analyse: Untersuchen Sie die Sicherheitsverletzung, um ihre Ursache und Auswirkungen zu verstehen.  <\/td><\/tr>
Wiederherstellen<\/strong><\/td>Nach einer Sicherheitsverletzung muss das Unternehmen in der Lage sein, seine Systeme und Aktivit\u00e4ten wiederherzustellen. Das beinhaltet:   Wiederherstellungsplanung: Stellen Sie sicher, dass Pl\u00e4ne und Prozesse zur Wiederherstellung von Systemen und Daten vorhanden und aktuell sind. Verbesserungen: Nutzen Sie die Erkenntnisse aus der Sicherheitsverletzung, um die Cybersicherheitsma\u00dfnahmen zu durchzusetzen. Business Continuity Management: Planen Sie Ihr Gesch\u00e4ft bei Ausf\u00e4llen fortzusetzen und Alternativen vorzuhalten. Kommunikation: Wiederherstellungsaktivit\u00e4ten werden mit internen und externen Parteien koordiniert (z. B. Koordinierungszentren, Internetdienstanbieter, Eigent\u00fcmer angreifender Systeme, Opfer und andere Anbieter).   SAP ETD setzt speziell in den Kategorien \u201eErkennen\u201c und \u201eReagieren\u201c des NIST Frameworks an und sammelt die Logs aus der gesamten Landschaft zentral und speichert diese f\u00fcr mindestens ein Jahr.<\/td><\/tr><\/tbody><\/table>
vgl. https:\/\/www.nist.gov\/cyberframework\/getting-started<\/figcaption><\/figure>\n\n\n\n

SAP ETD geht speziell auf die Kategorien \u201eErkennen<\/strong>\u201c und \u201eReagieren<\/strong>\u201c des NIST-Frameworks ein und sammelt zentral Protokolle aus der gesamten Landschaft und speichert sie mindestens ein Jahr lang. SAP ETD f\u00fcllt hier die L\u00fccke, wozu das ABAP-System mit Security Audit Log (Transaktion SM20) nicht in der Lage ist.<\/p><\/blockquote><\/figure>\n\n\n\n

\"SAP<\/a><\/figure>\n\n\n\n

Welches Problem l\u00f6st SAP ETD?<\/h3>\n\n\n

Es werden bereits viele Ma\u00dfnahmen, es sei nur der \u201ePatch Dienstag\u201c genannt, bei SAP Kunden unternommen, um die Sicherheit von SAP Systemen zu erh\u00f6hen. Das reicht jedoch nicht aus. Stellen Sie sich vor, Sie bekommen die Empfehlung Ihre Fenster in Ihrem Zuhause mit Schloss nachzur\u00fcsten. Das erh\u00f6ht die Sicherheit und erschwert es einem Einbrecher sich Zugang zu Ihrem Zuhause zu verschaffen. Das ist ein anschauliches Beispiel f\u00fcr die Implementierung einer Sicherheitsempfehlung. Was Sie allerdings nicht wissen, ob der Einbrecher sich trotz der Sicherheitsma\u00dfnahme, zum Beispiel mittels eines Dietrich Werkzeugs Zugang zu Ihrem Zuhause durch die Haust\u00fcre verschafft. Dieses Problem l\u00f6st eine Alarmanlage, die idealerweise auch den Sicherheitsdienstleister alarmiert. SAP Enterprise Threat Detection (ETD) ist eine Sicherheitsl\u00f6sung die Unternehmen, insbesondere SAP Kunden, dabei hilft Cyberattacken und Sicherheitsvorf\u00e4lle zu erkennen, diese zu analysieren und darauf zu reagieren. Dies passiert in Echtzeit mit fortgeschrittenen Machine Learning Algorithmen sowie Mustererkennung. Ungew\u00f6hnliches Verhalten und potentiale Verst\u00f6\u00dfe in SAP Systemen und Anwendungen werden systemisch detektiert. Somit schlie\u00dft SAP ETD die L\u00fccke im NIST Framework und bef\u00e4higt SAP Kunden zu IT Forensik. SAP ETD basiert auf der SAP HANA Plattform und soll die Betriebssicherheit der angeschlossen SAP Systeme erh\u00f6hen. Hier setzt SAP auf ihre moderne Technologie-Plattform. Da SAP ETD die Logfiles, Traces und Protokolle speichert, k\u00f6nnen diese dann zentral und komfortabel ausgewertet werden.<\/p>\n

Warum l\u00e4sst sich das bestehende SIEM System nicht f\u00fcr die SAP Landschaft nutzen?<\/strong> SAP ETD versteht es am besten wie die SAP Logdaten zu interpretieren sind und bietet die \u00dcberwachung auf Anwendungsebene. Somit erg\u00e4nzt SAP ETD bestehende SIEM L\u00f6sungen, die Ihren Fokus auf der Infrastrukturebene haben. Dar\u00fcber hinaus l\u00e4sst sich die Alarmierung von SAP ETD komfortabel mit JSON Pushing and JSON Pulling in bestehende SIEM Systeme implementieren, damit eine Integration in ein vorhandenes SIEM System, wie z.B. Splunk, erm\u00f6glicht wird.<\/p>\n\n\n

Wie funktioniert SAP ETD?<\/h3>\n\n\n

SAP Enterprise Threat Detection (ETD) funktioniert durch das Sammeln und Analysieren von Log-Daten aus SAP- und Nicht-SAP-Systemen. Das k\u00f6nnen z.B. SAP Application Server ABAP, SAP Application Server JAVA, SAP HANA Datenbanken oder diverse Cloud Produkte wie die SAP Business Technology Platform oder das ERP Systeme S4\/HANA Cloud sein. Es nutzt eine Vielzahl von Datenquellen, einschlie\u00dflich Datenbankprotokolle, Anwendungsprotokolle und Betriebssystemprotokolle. Die gesammelten Daten werden dann analysiert und nach potenziellen Bedrohungen durchsucht. Die Analyse erfolgt mit Hilfe von sogenannten Detektionsmustern, welche vordefinierte Regeln darstellen, die bestimmte Arten von Bedrohungen oder verd\u00e4chtigen Aktivit\u00e4ten identifizieren k\u00f6nnen. Bei einem Treffer wird eine Alarmmeldung erstellt, die die notwendigen Informationen f\u00fcr die Untersuchung und Reaktion auf die Bedrohung enth\u00e4lt. Dar\u00fcber hinaus erm\u00f6glicht SAP ETD die Integration mit anderen Sicherheitsinformationen und Ereignisverwaltungssystemen (SIEM), um eine umfassende Sicht auf die Sicherheitslage des Unternehmens zu gew\u00e4hrleisten. \u00a0 Mit SAP ETD k\u00f6nnen Unternehmen somit effektiv auf Bedrohungen reagieren, diese erkennen und proaktiv handeln, um die Auswirkungen von Sicherheitsverst\u00f6\u00dfen zu minimieren und ihre Systeme und Daten zu sch\u00fctzen. Abschlie\u00dfend l\u00e4sst sich sagen, dass SAP ETD ein effektives und effizientes Instrument zur Verbesserung der Sicherheit und zum Schutz von Unternehmensdaten ist, indem es die fr\u00fchzeitige Erkennung und Reaktion auf potenzielle Bedrohungen erm\u00f6glicht.<\/p>\n\n\n

\"SAP<\/a><\/figure>\n\n\n\n

Wie l\u00e4sst sich SAP ETD implementieren?<\/h3>\n\n\n

Die Implementierung von SAP Enterprise Threat Detection (SAP ETD) ist ein mehrstufiger Prozess, der eine sorgf\u00e4ltige Projektplanung und eine gut durchdachte Strategie erfordert. Hier sind die grundlegenden Schritte zur Implementierung von SAP ETD:  <\/p>\n\n\n

Anforderungsanalyse<\/strong><\/td>Bevor Sie mit der Implementierung beginnen, m\u00fcssen Sie die spezifischen Anforderungen Ihres Unternehmens an die Sicherheits\u00fcberwachung verstehen. Das beinhaltet die Identifikation der Systeme und Daten, die \u00fcberwacht werden m\u00fcssen, sowie die Art der Bedrohungen, die Sie erkennen m\u00f6chten.  <\/td><\/tr>
Systemvorbereitung<\/strong><\/td>Das n\u00e4chste ist die Vorbereitung der SAP ETD-Systemumgebung. Dies umfasst die Installation des SAP ETD-Server und des SAP HANA-Datenbankserver, die als Basis f\u00fcr SAP ETD dienen.  <\/td><\/tr>
Integration von Datenquellen<\/strong><\/td>SAP ETD kann Log-Daten aus einer Vielzahl von Quellen sammeln, sowohl SAP- als auch Nicht-SAP-Systeme. Sie m\u00fcssen die zu \u00fcberwachenden Systeme identifizieren und entsprechend konfigurieren, um Log-Daten an SAP ETD zu senden.  <\/td><\/tr>
Konfiguration von Detektionsmustern<\/strong><\/td>SAP ETD nutzt Detektionsmuster, um verd\u00e4chtige Aktivit\u00e4ten in den gesammelten Log-Daten zu identifizieren. Sie m\u00fcssen Detektionsmuster basierend auf den spezifischen Bedrohungen konfigurieren, die Sie erkennen m\u00f6chten.  <\/td><\/tr>
Alarmmanagement<\/strong><\/td>Sobald ein Detektionsmuster eine potenzielle Bedrohung erkennt, generiert SAP ETD einen Alarm. Sie m\u00fcssen Prozesse und Verantwortlichkeiten f\u00fcr das Management dieser Alarme festlegen.  <\/td><\/tr>
Training und Testing<\/strong><\/td>Vor dem endg\u00fcltigen Einsatz und Go-Live sollten Sie umfangreiche Tests durchf\u00fchren und sicherstellen, dass Ihr Personal ausreichend geschult ist, um SAP ETD effektiv zu nutzen.   Die Implementierung von SAP ETD erfordert sowohl technisches Know-how als auch ein Verst\u00e4ndnis der spezifischen Sicherheitsanforderungen Ihres Unternehmens. Mit der richtigen Planung und Vorbereitung kann SAP ETD jedoch ein leistungsstarkes Instrument zur Verbesserung der Sicherheitslage Ihres Unternehmens sein.  <\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Welche Kompetenzen werden f\u00fcr den Betrieb von SAP ETD ben\u00f6tigt?<\/h3>\n\n\n

Die Kompetenzen, die f\u00fcr den Betrieb von SAP Enterprise Treat Detection erforderlich sind, ergeben sich aus dem Aufgabenfeld.  <\/p>\n\n\n

Technischer Betrieb<\/strong><\/td>\u2013 Installation
\u2013 Hardware
\u2013 System Lebenszyklus
\u2013 Applikation Lebenszyklus
\u2013 Verf\u00fcgbarkeitsmanagement
\u2013 Log-Quellen verbinden<\/td><\/tr>
Funktionaler Betrieb<\/strong><\/td>\u2013 Konfiguration und Kundenspezifische Anpassung der Anwendungsf\u00e4lle
\u2013 Inhaltsverwaltung<\/td><\/tr>
Verarbeitung der Erkenntnisse<\/strong><\/td>\u2013 Bearbeitung der Sicherheitsverst\u00f6sse in dem Protokoll
\u2013 Entscheidungsfindung
\u2013 \u00c4nderungsmanagement<\/td><\/tr>
\u00dcberwachungsaufgabe<\/strong><\/td>\u2013 Monitoring
\u2013 Untersuchung und Analyse von F\u00e4llen
\u2013 Alarmverabeitung<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Wie werden SAP Systeme heute angegriffen?<\/h3>\n\n\n

SAP-Systeme sind von zentraler Bedeutung f\u00fcr viele Unternehmen und daher ein attraktives Ziel f\u00fcr Cyberangriffe. Diese Angriffe k\u00f6nnen sowohl von au\u00dfen als auch von innen kommen, je nach Art des Angreifers und seinen Zielen. Wichtig ist hier auch zu betonen, dass Sie auch nicht-produktive SAP-Systeme und Ihre Backups sch\u00fctzen sollten, da diese ebenfalls wertvolle Daten enthalten k\u00f6nnen. Hier ist eine \u00dcbersicht \u00fcber die verschiedenen Arten von Angriffen auf SAP-Systeme:1. Missbrauch von Berechtigungen: Hierbei handelt es sich um Situationen, in denen Mitarbeiter ihre Zugriffsrechte missbrauchen, um auf sensible Informationen zuzugreifen oder Schaden anzurichten. Dies kann vors\u00e4tzlich oder unbeabsichtigt geschehen.<\/p>\n\n\n

Angriffe von au\u00dfen<\/strong>  <\/td>1. Exploiting von Schwachstellen: Angreifer suchen nach bekannten Sicherheitsl\u00fccken in der SAP-Software, um Zugriff auf Systeme und Daten zu erlangen. Dies kann durch das Ausnutzen von Fehlern in der SAP-Software oder durch das Ausnutzen von Konfigurationsfehlern in der System- oder Netzwerkebene erfolgen.
2. Phishing-Angriffe: In diesem Fall sendet der Angreifer gef\u00e4lschte E-Mails, die so aussehen, als k\u00e4men sie von einer legitimen Quelle. Ziel ist es, den Empf\u00e4nger dazu zu verleiten, sensible Informationen preiszugeben oder Malware zu installieren, die es dem Angreifer erm\u00f6glicht, Zugriff auf das SAP-System zu erlangen.
3. Denial-of-Service (DoS) Angriffe: Bei diesen Angriffen wird das SAP-System mit einer \u00dcberlast an Anfragen bombardiert, was dazu f\u00fchren kann, dass das System langsamer wird oder ganz ausf\u00e4llt.  <\/td><\/tr>
Angriffe von innen<\/strong><\/td>1. Missbrauch von Berechtigungen: Hierbei handelt es sich um Situationen, in denen Mitarbeiter ihre Zugriffsrechte missbrauchen, um auf sensible Informationen zuzugreifen oder Schaden anzurichten. Dies kann vors\u00e4tzlich oder unbeabsichtigt geschehen.
2. Insider-Bedrohungen: In manchen F\u00e4llen k\u00f6nnen Mitarbeiter, Auftragnehmer oder Gesch\u00e4ftspartner absichtlich versuchen, das SAP-System zu kompromittieren. Sie k\u00f6nnen ihre Kenntnisse \u00fcber das System und ihre Zugriffsrechte nutzen, um Daten zu stehlen, zu manipulieren oder das System zu sabotieren.
3. Fehlerhafte Konfigurationen: Fehler in der Systemkonfiguration k\u00f6nnen es Mitarbeitern erm\u00f6glichen, unbeabsichtigt auf Informationen zuzugreifen, zu denen sie normalerweise keinen Zugriff haben sollten.    <\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n

Tats\u00e4chliche Security-Vorf\u00e4lle im SAP Umfeld<\/strong><\/p>\n

\u2013 Angriff auf Tabelle USR02 mit Password-Hashes
\u2013 Informationen zu neuen Produktdaten wurden im Internet ver\u00f6ffentlicht, bevor das Produkt offiziell vorgestellt wurde.
\u2013 Ein Mitarbeiter hat bevor er zu einem Wettbewerber gewechselt ist, die Produktrezeptur samt St\u00fcckliste und Formel aus dem Testsystem heruntergeladen.
\u2013 Unterbrechung von Gesch\u00e4ftsprozessen f\u00fcr mehrere Tage nach eine SAP Tabelle durch einen externen Berater gel\u00f6scht wurde.
\u2013 Angreifer versuchen \u00fcber diverse SAP Standardbenutzer auf die SAP Systeme Zugriff zu erlangen.
\u2013 Ein privilegierter Benutzer manipuliert sein Gehalt in der SAP Payroll PA30.
\u2013 Ein Whistleblower spielt Gehalts- und Spesenabrechnungen eines CEO der Presse zu.
\u2013 Ein Konzern ist nicht in der Lage seinen Jahresbericht in der Hauptversammlung aufgrund eines Cyberangriffs vorzustellen.
\u2013 Ein externer Entwickler \u00fcbergeht die Sicherheitsrichtlinien und entwickelt und debugged im Produktivsystem.
\u2013 Ein Benutzer logt sich zeitgleich von unterschiedlichen Orten ein und somit wurde ein Identit\u00e4tsdiebstahl detektiert.
\u2013 Zugriff auf blacklisted Transaktionen und Entsperren von Transaktionen  <\/p>\n

Es ist wichtig zu betonen, dass SAP kontinuierlich an der Verbesserung der Sicherheit seiner Systeme arbeitet. Dennoch liegt es in der Verantwortung jedes Unternehmens, seine Systeme und Daten aktiv zu sch\u00fctzen und dabei sowohl externe als auch interne Bedrohungen zu ber\u00fccksichtigen.   Stichworte: SAP-Systeme, Cyberangriffe, Angriffe von au\u00dfen, Angriffe von innen, Exploiting von Schwachstellen, Phishing-Angriffe, Denial-of-Service Angriffe, Missbrauch von Berechtigungen, Insider-Bedrohungen, Fehlerhafte Konfigurationen.<\/p>\n\n\n

\"Was<\/a><\/figure>\n\n\n\n

Welche Risiken und Konsequenzen hat ein Angriff auf ein SAP System?<\/h3>\n\n\n

Ein Angriff auf ein SAP-System kann gravierende Risiken und Konsequenzen f\u00fcr ein Unternehmen haben. SAP-Systeme sind oft das R\u00fcckgrat der Gesch\u00e4ftsprozesse und speichern eine F\u00fclle von sensiblen und kritischen Gesch\u00e4ftsdaten. Daher k\u00f6nnen Angriffe auf diese Systeme erhebliche negative Auswirkungen haben. Hier sind einige Beispiele f\u00fcr Risiken und Konsequenzen:  <\/p>\n\n\n

Datenverlust oder -diebstahl<\/strong><\/td>Ein erfolgreicher Angriff kann dazu f\u00fchren, dass vertrauliche Daten verloren gehen oder gestohlen werden. Zum Beispiel k\u00f6nnte ein Angreifer Kundendaten stehlen, die pers\u00f6nliche Informationen wie Namen, Adressen und Kreditkarteninformationen enthalten. Dies k\u00f6nnte zu erheblichen finanziellen Verlusten f\u00fcr das Unternehmen und seine Kunden f\u00fchren und das Vertrauen in das Unternehmen untergraben.<\/td><\/tr>
Betriebsunterbrechungen<\/strong><\/td>Ein Angriff kann dazu f\u00fchren, dass wichtige Gesch\u00e4ftsprozesse unterbrochen werden. Zum Beispiel k\u00f6nnte ein Denial-of-Service-Angriff dazu f\u00fchren, dass das SAP-System nicht mehr reagiert, wodurch die Produktion, die Auftragsabwicklung oder andere kritische Gesch\u00e4ftsprozesse gestoppt werden k\u00f6nnten.  <\/td><\/tr>
Reputationsverlust<\/strong><\/td>Wenn bekannt wird, dass ein Unternehmen Opfer eines Cyberangriffs geworden ist, kann dies zu einem erheblichen Verlust an Vertrauen seitens Kunden, Partnern und Aktion\u00e4ren f\u00fchren. Beispielsweise k\u00f6nnten Kunden z\u00f6gern, Gesch\u00e4fte mit einem Unternehmen zu machen, das nicht in der Lage war, seine Daten zu sch\u00fctzen.<\/td><\/tr>
Rechtliche Konsequenzen und Strafen<\/strong><\/td>Wenn ein Unternehmen nicht in der Lage ist, die Daten seiner Kunden oder Mitarbeiter zu sch\u00fctzen, kann dies zu rechtlichen Konsequenzen und erheblichen Strafen f\u00fchren, insbesondere im Hinblick auf Datenschutzgesetze wie die EU-Datenschutz-Grundverordnung (DSGVO).   Ein Angriff auf ein SAP-System ist ein ernstzunehmendes Risiko, das Unternehmen aktiv managen und gegen das sie sich sch\u00fctzen m\u00fcssen. Es ist wichtig, dass Unternehmen eine starke Cybersicherheitsstrategie haben, die sowohl pr\u00e4ventive Ma\u00dfnahmen als auch einen Plan f\u00fcr den Umgang mit Sicherheitsvorf\u00e4llen umfasst.  <\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Ein Angriff auf ein SAP-System stellt ein ernstes Risiko dar, das Unternehmen aktiv bew\u00e4ltigen und vor dem sie sich sch\u00fctzen m\u00fcssen. F\u00fcr Unternehmen ist es von entscheidender Bedeutung, \u00fcber eine Cybersicherheitsstrategie zu verf\u00fcgen, die sowohl Pr\u00e4ventivma\u00dfnahmen als auch einen Plan f\u00fcr den Umgang mit Sicherheitsvorf\u00e4llen umfasst. <\/p><\/blockquote><\/figure>\n\n\n\n

Was bedeutet IT Forensik?<\/h3>\n\n\n

IT-Forensik in Bezug auf SAP Enterprise Threat Detection (ETD) bezieht sich auf die systematische Untersuchung von Sicherheitsvorf\u00e4llen und Anomalien innerhalb eines SAP-Systems. Ziel ist es, die Ursache von Sicherheitsverletzungen zu identifizieren, ihre Auswirkungen zu verstehen und Ma\u00dfnahmen zur Vermeidung zuk\u00fcnftiger Vorf\u00e4lle zu entwickeln. SAP ETD ist ein leistungsstarkes Werkzeug, das Daten aus verschiedenen Quellen sammelt und analysiert, um potenzielle Bedrohungen zu erkennen und Alarme auszul\u00f6sen.   Ein Mitarbeiter, der in der IT-Forensik f\u00fcr SAP ETD t\u00e4tig ist, ben\u00f6tigt eine Reihe spezifischer Kompetenzen: <\/p>\n\n\n

Analytische F\u00e4higkeiten<\/strong><\/td>Ein IT-Forensiker muss in der Lage sein, gro\u00dfe Mengen an Daten zu analysieren und Muster zu erkennen, die auf eine Sicherheitsverletzung hindeuten k\u00f6nnten. Er muss auch komplexe technische Details verstehen und diese Informationen verwenden, um Hypothesen \u00fcber die Ursache und den Verlauf von Sicherheitsverletzungen zu entwickeln.  <\/td><\/tr>
Technisches Know-how<\/strong><\/td>Ein tieferes Verst\u00e4ndnis der SAP-Systemarchitektur, einschlie\u00dflich Kenntnisse \u00fcber verschiedene SAP-Module, Datenstrukturen und Log-Dateiformate, ist entscheidend. Dar\u00fcber hinaus sind Kenntnisse in der SAP HANA-Datenbank und in verwandten Technologien, einschlie\u00dflich Netzwerk- und Betriebssystemkomponenten, von Vorteil.<\/td><\/tr>
Erfahrung mit Sicherheitstools<\/strong><\/td>Erfahrung im Umgang mit Sicherheitswerkzeugen wie SAP ETD und anderen Bedrohungserkennungs- und Reaktionswerkzeugen ist wichtig. Der Mitarbeiter sollte wissen, wie man solche Werkzeuge verwendet, um verd\u00e4chtige Aktivit\u00e4ten zu erkennen, Alarme zu generieren und detaillierte Berichte zu erstellen.  <\/td><\/tr>
Kommunikationsf\u00e4higkeit<\/strong><\/td>Da der IT-Forensiker oft die Ergebnisse seiner Untersuchungen an nicht-technische Stakeholder kommunizieren muss, sind starke Kommunikationsf\u00e4higkeiten erforderlich. Dies beinhaltet die F\u00e4higkeit, komplexe technische Details in einer Weise zu erkl\u00e4ren, die f\u00fcr alle verst\u00e4ndlich ist.   Mit diesen Kompetenzen kann ein IT-Forensiker in der Lage sein, effektiv mit SAP ETD zu arbeiten, Sicherheitsvorf\u00e4lle zu untersuchen und dazu beizutragen, die Cybersicherheit des Unternehmens zu st\u00e4rken.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Mit diesen Kompetenzen kann ein forensischer IT-Analyst effektiv mit SAP ETD arbeiten, Sicherheitsvorf\u00e4lle untersuchen und zur St\u00e4rkung der Cybersicherheit des Unternehmens beitragen.<\/p><\/blockquote><\/figure>\n\n\n\n

Wie sieht eine typischer Projektplan f\u00fcr eine SAP ETD Implementierung aus und welche F\u00e4higkeiten \/ Skills sind daf\u00fcr erforderlich?<\/h3>\n\n\n

Die Technologieexperten von BALTX.COM helfen SAP Kunden Cyberangriffe zu erkennen und darauf zu reagieren. Bei der Implementierung von SAP Enterprise Threat Detection (ETD) sind eine gr\u00fcndliche Planung und spezifische F\u00e4higkeiten erforderlich. BALTX.COM unterst\u00fctzt Sie bei dieser Reise von Anfang an. Der Umfang des Projekten bemisst sich durch die Anzahl der verwendeten Muster, der Anzahl der Systeme, der gew\u00e4hlten Betriebsarbeit und der gew\u00e4hlten Landing Zone samt Bereitstellungsvariante. BALTX.COM empfiehlt ein schrittweises Vorgehen und die Verwendung des ETD Starterpakets.\u00a0<\/p>\n\n\n

Planung<\/strong><\/td>Diese Phase umfasst die Erstellung eines detaillierten Projektplans, der Ziele, Zeitrahmen, Ressourcen und Verantwortlichkeiten definiert. Ben\u00f6tigte F\u00e4higkeiten: Projektmanagement, strategische Planung, SAP-Sicherheitsexpertise. \u00a0<\/em><\/td><\/tr>
Systemvorbereitung und -design<\/strong><\/td>Hier wird die aktuelle SAP-Landschaft bewertet und das Design f\u00fcr die SAP ETD-L\u00f6sung festgelegt. Dazu geh\u00f6rt auch die Auswahl der zu \u00fcberwachenden Systeme und die Definition der Log-Quellen.
Ben\u00f6tigte F\u00e4higkeiten: SAP-Systemkenntnisse, Netzwerkdesign, Kenntnisse in Datenbanktechnologien, Sicherheitsarchitektur. \u00a0<\/em><\/td><\/tr>
Installation und Konfiguration<\/strong><\/td>In dieser Phase wird SAP ETD installiert und konfiguriert. Dies beinhaltet die Einrichtung von Log-Quellen, die Definition von Bedrohungsindikatoren und die Einrichtung von Alarmen.
Ben\u00f6tigte F\u00e4higkeiten: Kenntnisse in SAP-Technologien, insbesondere SAP HANA und SAP ETD, technische Kompetenzen im Bereich der Systeminstallation und -konfiguration, sowie System Life Cycle Management. \u00a0<\/em><\/td><\/tr>
Testen und Validieren<\/strong><\/td>Hier wird das System getestet, um sicherzustellen, dass es korrekt funktioniert und die vorgesehenen Bedrohungen erkennt.
Ben\u00f6tigte F\u00e4higkeiten: Systemtesting, Sicherheitsanalyse, F\u00e4higkeit zur Fehlerbehebung, Scripting. <\/em>\u00a0<\/td><\/tr>
Schulung und Rollout<\/strong><\/td>In dieser Phase wird das System in Betrieb genommen und die Benutzer werden geschult, wie sie SAP ETD effektiv nutzen k\u00f6nnen. Ben\u00f6tigte F\u00e4higkeiten: Schulung, Kenntnisse in Change Management, Kommunikationsf\u00e4higkeiten. \u00a0<\/em><\/td><\/tr>
Betrieb und Wartung<\/strong><\/td>Nach dem Rollout muss das System \u00fcberwacht, gewartet und bei Bedarf angepasst werden. Hier gilt es zu unterscheiden, ob eine 24 Stunden \u00dcberwachung oder zu den Gesch\u00e4ftszeiten das Ziel ist.
Ben\u00f6tigte F\u00e4higkeiten: System\u00fcberwachung, Kenntnisse in IT-Betrieb und -Wartung, fortlaufende Sicherheitsanalyse, Data Life Cycle Management, Archivierung. <\/em>\u00a0<\/td><\/tr>
Integrationsszenarien <\/strong><\/td>Integrationsszenarien in das Cyber Defense Center (CDC) des Unternehmens und in bestehende SIEM Tools (z.B. Splunk oder ArcSight).
Ben\u00f6tigte F\u00e4higkeiten: Programmierung, Schnittstellen, Administration, Cyber-Security, Case Management.<\/em><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n

Die erfolgreiche Implementierung von SAP ETD erfordert eine Mischung aus technischen und managementbezogenen F\u00e4higkeiten. Ein tieferes Verst\u00e4ndnis der SAP-Systemlandschaft, der Sicherheitspraktiken und der Projektmanagement-Prinzipien ist unerl\u00e4sslich. F\u00fcr BALTX.COM sind dieses kritische Erfolgsfaktoren einer SAP ETD Implementierung zu nennen: \u00a0<\/p>\n

\u2013 Definition des Betriebsmodells.<\/strong>
\u2013 Von Beginn an soll der Sicherheitsstandard definiert werden.<\/strong>
\u2013 Schaffung des organisatorischen Bewusstseins.<\/strong>
\u2013 Die False-Positive Analyse.<\/strong>
\u2013 Eine geeignete Log-Transfer-Strategie.<\/strong>
\u2013 Ausreichend Zeit f\u00fcr Patches und Upgrades.\u00a0<\/strong><\/p>\n

Damit erreichen SAP Kunden eine Verbesserung der proaktiven Reaktionszeit, Transparenz, Expertise und Fokus, sowie ein eventbasiertes Risikomanagement.<\/p>\n

\u00a0<\/p>\n\n\n

Welche rechtlichen Anforderungen zur Sicherheit von SAP Systemen gibt es?<\/h3>\n\n\n

Die Sicherheit von SAP-Systemen wird durch verschiedene gesetzliche und regulatorische Anforderungen geregelt. Einige dieser Anforderungen sind: \u00a0<\/p>\n

Datenschutzgesetze<\/strong>: In vielen L\u00e4ndern gibt es Gesetze, die den Schutz personenbezogener Daten regeln. In der EU ist beispielsweise die Datenschutz-Grundverordnung (DSGVO) ein zentraler rechtlicher Rahmen, der die Verarbeitung personenbezogener Daten durch Unternehmen reguliert. Unternehmen m\u00fcssen sicherstellen, dass ihre SAP-Systeme so konfiguriert sind, dass sie die Anforderungen der DSGVO erf\u00fcllen. \u00a0<\/p>\n

IT-Sicherheitsgesetze<\/strong>: Einige L\u00e4nder haben spezielle Gesetze zur IT-Sicherheit. In Deutschland ist beispielsweise das IT-Sicherheitsgesetz relevant, das Betreiber kritischer Infrastrukturen dazu verpflichtet, bestimmte Sicherheitsma\u00dfnahmen zu ergreifen und erhebliche IT-St\u00f6rungen zu melden.\u00a0<\/p>\n

Branchenspezifische Regulierungen<\/strong>: In bestimmten Branchen gibt es spezifische regulatorische Anforderungen zur IT-Sicherheit. Beispielsweise m\u00fcssen Banken und Finanzinstitute in vielen L\u00e4ndern strenge regulatorische Anforderungen an ihre IT-Systeme erf\u00fcllen. \u00a0<\/p>\n

BSI IT-Grundschutz:<\/strong> Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) in Deutschland bietet den IT-Grundschutz, einen Katalog von Empfehlungen und
Anforderungen zur IT-Sicherheit. Unternehmen k\u00f6nnen den IT-Grundschutz nutzen, um ihre SAP-Systeme sicher zu gestalten und zu betreiben.\u00a0<\/p>\n

\u00a0<\/p>\n\n\n

IT-Sicherheitsgesetz 2.0 | EU NIS2<\/h3>\n\n\n

Als neue Soll-Vorschrift des IT-Sicherheitsgesetz 2.0, die seit dem 01.05.2023 gilt, haben Betreiber kritischer Infrastrukturen die Verpflichtung, Systeme zur Angriffserkennung einzusetzen. Das umfasst die betriebenen SAP Systeme und ist Teil der EU NIS2 Direktive, die sich zum Ziel gesetzt hat ein hohes gemeinsames Ma\u00df an Cybersicherheit in der EU zu gew\u00e4hrleisten. Die Verordnung gilt auch f\u00fcr Zulieferer f\u00fcr Betreiber kritischer Infrastruktur und wird h\u00f6chstwahrscheinlich bald eine Muss-Vorschrift werden. Das gilt auch f\u00fcr die Cloud Anwendungen und Plattformen, die im Unternehmen eingesetzt werden. Z.B. SAP C4C, SAP (BTP) Business Technology Platform (BTP), SAP Ariba, SAP SuccessFactors und SAP Concur. Es ist davon auszugehen, dass SAP ETD k\u00fcnftig teil der Audits von den Wirtschaftspr\u00fcfungsgesellschaften sein wird. Darauf deuten die ver\u00f6ffentlichten case studies von Deloitte, Ernst & Young (EY), KPMG und PWC hin.<\/p>\n\n\n