Wie Risiken für die SAP-Sicherheit entstehen

Historisch gewachsene SAP- und IT-Landschaften sind beliebig komplex und Mitarbeiter rar. Die Personalfluktuation in der IT und den Fachabteilungen tut ihr Übriges. Berechtigungen werden nur lückenhaft gepflegt, nicht alle Änderungen, Systeme und Einstellungen sind dokumentiert, für die notwendige Weiterbildung und angemessenen Austausch von Informationen bleibt zu wenig Zeit und Kollegen, die das Unternehmen verlassen, nehmen ihr Wissen mit zum neuen Arbeitgeber oder in die Rente. Das gilt nicht nur für die SAP-Basis-, sondern auch die Security-Teams. Auch sie haben Mühe, mit dem wechselnden Technologiestand Schritt zu halten und sich kontinuierlich die erforderlichen Fähigkeiten anzueignen. Außerdem sind sie in vielen Fällen nicht nur für die IT-Sicherheit, sondern zusätzlich noch für Compliance zuständig.

… trifft auf Personalmangel

Hinzu kommt: Oft nutzen die SAP-Security-Teams einen bunten Strauß an nicht miteinander integrierten Einzeltools, die bisweilen sogar von Hand bedient werden. Das ist wenig effizient und birgt die Gefahr, dass Sicherheitslücken erst mit erheblicher Verzögerung entdeckt werden. Cyberkriminelle nutzen das gnadenlos aus, um SAP-Software sowohl auf der Ebene der Infrastruktur als auch der Anwendungen zu kompromittieren und lahmzulegen oder um geschäftskritische Daten zu stehlen.

Mit anderen Worten: Der Mangel an Transparenz, Kenntnissen und Personal führt regelmäßig zu einer zumindest teilweisen Unkenntnis der besonders schützenswerten Bereiche der IT- und SAP-Landschaft und damit zusammenhängend zu einem zu starken Fokus auf externe Bedrohungen sowie spiegelbildlich zu einer systematischen Unterschätzung interner Risiken.