{"id":33923,"date":"2023-08-08T00:26:44","date_gmt":"2023-08-08T07:26:44","guid":{"rendered":"https:\/\/pathlock.com\/?p=33923"},"modified":"2026-03-07T07:16:49","modified_gmt":"2026-03-07T12:16:49","slug":"sap-security-das-ist-wie-ein-auto-ohne-bremsen","status":"publish","type":"post","link":"https:\/\/pathlock.com\/de\/sap-security-das-ist-wie-ein-auto-ohne-bremsen\/","title":{"rendered":"SAP Security: Das ist wie ein Auto ohne Bremsen!"},"content":{"rendered":"\n

Nach wie vor werden bei der Absicherung von SAP-Systemen die Erkennung von Bedrohungen und die Analyse von Schwachstellen oft getrennt betrachtet. Dabei erm\u00f6glicht ihre Synergie eine deutliche Verbesserung der Systemsicherheit, erkl\u00e4rt Ralf Kempf, CTO von Pathlock Deutschland, im Interview. Er sagt: \u201eThreat Detection<\/a><\/strong> ohne Vulnerability Management<\/a><\/strong> ist wie ein Auto ohne Bremsen. Es mag schnell sein, ist aber vor allem unsicher.“<\/p>\n\n\n\n

Interview mit der it security<\/a>: Vulnerability Management & Threat Detection<\/strong><\/h2>\n\n\n\n

it security:<\/em><\/strong> Hallo Herr Kempf, eine Teilnehmer-Umfrage zur SAP-Security im Rahmen der IT-Onlinekonferenz 2023 ergab, dass gerade einmal ein Drittel der Befragten beide Methodiken implementiert hat. Wie ist das zu erkl\u00e4ren?<\/em><\/p>\n\n\n\n

Ralf Kempf: <\/strong>Hallo, freut mich, wieder hier zu sein. Zun\u00e4chst: Das deckt sich ganz gut damit, wie der Markt gerade dasteht. Wir stellen aber schon eine verst\u00e4rkte Nachfrage im Bereich Vulnerability Management in Kombination mit Threat Detection fest. Viele Kunden haben erkannt, dass man am besten beides zusammen macht, weil die Zust\u00e4ndigkeiten \u00e4hnlich sind. Wir sehen dennoch nach wie vor h\u00e4ufig, dass erst mal Vulnerability-Management eingef\u00fchrt wird und dann Threat Detection.<\/p>\n\n\n\n

it security:<\/em><\/strong> <\/em><\/a>Laut Expert-Talk-Umfrage gibt es immerhin 8 Prozent, die es umgekehrt machen. Kann man also genauso mit Threat Detection beginnen oder damit allein arbeiten?<\/em><\/p>\n\n\n\n

Ralf Kempf: <\/strong>Nun, das ist, was ich mit dem Auto ohne Bremsen meine, man erh\u00e4lt sehr schnell sehr viele Ergebnisse, doch sind diese meist nicht verwertbar. Man muss die Informationsflut gezielt steuern und ausbremsen, sonst f\u00e4hrt man sozusagen alle Vorteile f\u00fcr die Systemsicherheit gegen die Wand. Anders gesagt: Die Schwachstellen-Analyse ist die Grundlage f\u00fcr eine effektive Threat Detection. Sonst sieht man den Wald vor lauter B\u00e4umen nicht.<\/p>\n\n\n\n

it security:<\/em><\/strong> Und was vernachl\u00e4ssigen diejenigen, die nur Vulnerability Management betreiben?<\/em><\/p>\n\n\n\n

Beim Vulnerability-Management geht es darum, die Systeme an einem Stichtag zu untersuchen und in einen Zustand zu bringen, dass man sie sicher betreibt. Also Zugangsschutz, Verf\u00fcgbarkeit, Wiederherstellbarkeit und Konsistenz der Daten gew\u00e4hrleistet. Die Statistiken zeigen aber, dass \u00fcber 80 % der erfolgreichen Angriffe mit gestohlenen oder verlorenen Identit\u00e4ten passieren. Das hei\u00dft, ich habe als Eindringling die Zugangskarte, kann diese ganz normal durch den Kartenleser ziehen und komme in das Geb\u00e4ude hinein. Oder ich habe Namen und Passwort von hochprivilegierten Benutzern gestohlen. Ein Vulnerability Management allein w\u00fcrde mich in diesem Moment nicht bemerken, weil ich f\u00fcr dieses ein qualifizierter Benutzer bin. Hier kommt dann die Threat Detection ins Spiel, deren Aufgabe es unter anderem ist, auftretende Anomalien zu entdecken. In dem Moment, wenn ich etwas Sonderbares tue, etwa ungesperrte Rechner suche, kann die Threat Detection Alarm schlagen.<\/p>\n\n\n\n

it security:<\/em><\/strong> Wo liegen denn die Herausforderungen f\u00fcr eine kombinierte Umsetzung?<\/em><\/p>\n\n\n\n

Ralf Kempf: <\/strong>Knackpunkt ist zun\u00e4chst die steigende Komplexit\u00e4t der Systeme, auch gerade unserer SAP-Kundschaft. Man hat das klassische SAP on premise wie ERP, S\/4HANA, CRM und mittlerweile nat\u00fcrlich auch die klassische Microsoft-IT, die Operations IT, die Produktionssteuerung. Hinzu kommen jetzt heterogene Cloudanwendungen, viele haben Personaldaten, DATEV und Shopsysteme in der Cloud. Damit wird der gesamte IT-Fokus immer komplizierter. Folglich auch die \u00dcbersicht, was in den Systemen passiert und wie diese \u00fcberhaupt betrieben und geh\u00e4rtet werden. Das ist stets die gro\u00dfe Herausforderung, ein einheitliches Bild zu bekommen und Zust\u00e4ndigkeiten zu kl\u00e4ren.<\/p>\n\n\n\n

it security: <\/strong>Wie gehen Unternehmen Ihrer Erfahrung nach damit um?<\/em><\/p>\n\n\n\n

Ralf Kempf: <\/strong>Es gibt eigentlich zwei Strategien: Man kann es dezentral machen, das hei\u00dft, jeder achtet auf seine eigene Systemlandschaft. Das ist aber meist keine gute Idee, weil jeder froh ist, wenn es irgendwie l\u00e4uft, und sich nicht weiter darum k\u00fcmmert. Andererseits gibt es den sehr spannenden Ansatz, zentral darauf zu schauen. Daf\u00fcr sollte man allerdings wissen: Was habe ich denn f\u00fcr eine IT? Hier haben wir schon sehr interessante Entdeckungen gemacht, Systeme irgendwo im Mikrokosmos der Kunden-IT, die sehr wichtig sind, die keiner kennt, die aber irgendwie laufen. Und es gibt immer wieder Kunden, die nicht wissen, wie viele SAP-Systeme sie eigentlich haben.<\/p>\n\n\n\n

it security:<\/em><\/strong> Aber das gilt sicherlich nicht f\u00fcr jedes Unternehmen.<\/em><\/p>\n\n\n\n

Ralf Kempf: <\/strong>Nat\u00fcrlich nicht, aber klar ist: Oft fehlen Experten, die diese Komplexit\u00e4t \u00fcberhaupt \u00fcberblicken, und oft ist es nicht mangelnder Wille in den Unternehmen, sondern es sind fehlende Ressourcen, die gesamte Landschaften im Blick und dann noch einen SAP-Fokus haben. Ein riesengro\u00dfer Bereich, wo Firmen selbst ausbilden m\u00fcssen, um die L\u00fccke zu schlie\u00dfen. Ein weiteres Defizit: Als Folge gestiegener Komplexit\u00e4t betrachtet man SAP-Systeme gerne mal als Blackbox nach dem Motto: \u201eLassen wir die schwarze Kiste einfach mal unbeachtet in der Ecke stehen, dann wird schon alles gut gehen.\u201c Und diese Bequemlichkeit ist v\u00f6llig inad\u00e4quat, denn hier laufen die eigentlich wichtigsten Business-Prozesse der Kunden und diese m\u00fcssen entsprechend abgesichert sein.<\/p>\n\n\n\n

it security:<\/em><\/strong> Trotzdem wird ja vergleichsweise selten \u00fcber Attacken auf SAP-Systeme berichtet, oder?<\/em><\/p>\n\n\n\n

Ralf Kempf: <\/strong>Tja, auch hier f\u00fchrt eine gewisse Ignoranz zu dem Trugschluss, es sei vermutlich noch nie viel passiert, man sehe ja auch nichts in den Nachrichten. Denn was publik wird, sind h\u00e4ufig so bekannte Attacken auf Betriebssysteme wie Heartbleed, aber es steht letzten Endes nie dabei, was genau passiert ist. Betrachtet man jedoch die Menge abhandengekommener Daten, gen\u00fcgt es zu \u00fcberlegen, wo diese in einem Unternehmen eigentlich gespeichert sind.<\/p>\n\n\n\n

it security:<\/em><\/strong> Wie gelingt dann die Verbindung von Vulnerability Management und Threat Detection?<\/em><\/p>\n\n\n\n

Ralf Kempf: <\/strong>Zuerst muss organisatorisch gekl\u00e4rt werden, dass beide Komponenten korrekt zusammenspielen. Im zweiten Schritt ist es n\u00f6tig, die Schnittstelle zu haben, dass das Vulnerability Management in die Threat Detection hinein reportet und so Alarme generiert und zusammengefasst werden k\u00f6nnen. F\u00fcr Investigations muss man sich das Ganze \u00fcber einen l\u00e4ngeren Zeitraum anschauen k\u00f6nnen. Und diese m\u00fcssen von den Teams auch korrekt bewertet werden k\u00f6nnen. Dazu m\u00fcssen die internen Prozesse richtig aufgesetzt und Entscheidungen getroffen werden. <\/p>\n\n\n\n

Das ist eigentlich der gr\u00f6\u00dfte Aufwand f\u00fcr ein Unternehmen, die Mitigation von Schwachstellen oder auch von Threats. Die Technologie aufzusetzen ist meist gar nicht der gro\u00dfe und komplexe Teil. Die Unternehmen tun sich eigentlich auf der Prozess-Ebene schwerer. Und von daher muss das Ganze auf jeden Fall top-down passieren. F\u00fcr Mitarbeiter und Mitarbeiterinnen ist es kaum m\u00f6glich, das nach oben zu arbeiten. Es wird Zeit und Geld ben\u00f6tigt und im Unternehmen muss einfach das Bewusstsein vorhanden sein, dass sonst etwas Kritisches passieren kann.<\/p>\n\n\n\n

it security:<\/em><\/strong> Apropos kritisch: Welchen Einfluss hat das IT-Sicherheitsgesetz 2.0<\/strong> <\/a>auf das Thema?<\/em><\/p>\n\n\n\n

Ralf Kempf: <\/strong>Grunds\u00e4tzlich ist wichtig, dass Threat Detection, Monitoring, das kontinuierliche Loggen jetzt auch im IT-SiG 2.0 aufgenommen worden und verpflichtend sind. Was wir jetzt merken, ist, dass dies zu mehr Nachfrage gerade im Bereich der Monitoringsysteme f\u00fchrt, da bewegt sich etwas. Was sich allerdings auch abzeichnet, ist, dass manche derzeit alles daf\u00fcr tun, nicht unter das Sicherheitsgesetz zu fallen. Denn dann muss man berichten und t\u00e4tig werden. Das geht nat\u00fcrlich am eigentlichen Sinn vorbei, weil es gerade f\u00fcr kleinere Stadtwerke, Unternehmen und Organisationen wichtig ist, das Gleiche wie die Gro\u00dfen zu tun. Ob eine Landesverwaltung ausf\u00e4llt oder eine Kreisverwaltung, am Ende steht der Schaden f\u00fcr alle Beteiligten.<\/p>\n\n\n\n

it security:<\/em><\/strong> Wird die Cloud das Thema Security in dieser Form nicht sowieso \u00fcberfl\u00fcssig machen?<\/em><\/p>\n\n\n\n

Ralf Kempf: <\/strong>Nat\u00fcrlich bem\u00fchen sich die Hoster, dass Systeme sicher betrieben werden, ohne Frage. Das sind namhafte Firmen, aber Fehler k\u00f6nnen alle machen. Es gibt einmal konzeptionelle, wie Cloud-Anwendungen \u00fcberhaupt gebaut sind. Da gibt es laufend Fehlermeldungen und hier ist eine Cloud h\u00e4ufig nicht besser als eine On-premise-Anwendung. Allerdings ist der Effekt des Fehlers in der Cloud-Anwendung immer gr\u00f6\u00dfer, weil die Daten mein Geb\u00e4ude ja schon verlassen haben. Was wir auch merken, gerade die Konfiguration und die \u00dcberwachung von Cloud-Anwendungen ist ein sehr schwieriges Thema. Wenn ich einen Tenant hochfahre bei einem Kunden, stellt sich die Frage, wenn ich den jetzt l\u00f6sche, wird das protokolliert? Die Antwort ist Nein, dann sind auch die Logs weg. Also wird die Komplettabschaltung nicht sauber protokolliert, das merkt man dann umgehend, wenn die Anwender anrufen.<\/p>\n\n\n\n

Das sind Aspekte der Cloud, da m\u00fcssen wir alle noch lernen. Und ich sage mal, was wir als Sicherheitsforscher oder -berater als Berufskrankheit haben, dieses st\u00e4ndige Paranoia-Denken, dar\u00fcber schmunzeln ja manche und spotten, was wir uns da vorstellen, das passiert alles nicht. Ich antworte dann immer, stimmt, es kommt noch viel schlimmer, als wir uns das vorstellen.<\/p>\n\n\n\n

it security: <\/em><\/strong>Herr Kempf, wir danken f\u00fcr das Gespr\u00e4ch.<\/em><\/p>\n\n\n\n

\"Ralf Ralf Kempf (Gesch\u00e4ftsf\u00fchrung Pathlock Deutschland)<\/strong><\/p>\n\n\n\n

\"Blog <\/p>\n\n\n\n

Dieser Artikel wurde in der Ausgabe Juli\/August 2023 der it security-Fachzeitschrift<\/strong> als Coverstory ver\u00f6ffentlicht und ist auch online im Leserservice der it-daily.net<\/strong><\/a> zu finden.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Wenn Sie mehr \u00fcber das Thema erfahren m\u00f6chten, kontaktieren Sie uns<\/strong><\/a> und sehen Sie sich die Expert Talk-Aufzeichnung<\/strong><\/a> an.<\/p>\n\n\n\n

\n
[Expert Talk] Ying und Yang der SAP-Sicherheit<\/a><\/blockquote>