Onapsis: zehn Fragen zur Selbstüberprüfung der unternehmenseigenen SAP-Sicherheitspolitik

logo

Neben der technischen (Un-)Sicherheit von SAP-Umgebungen sind immer wieder auch fehlende Transparenz, Kommunikation, unklare Prozesse und Verantwortlichkeiten die Ursachen für offene Flanken. Die Firma Onapsis hat einen kurzen Fragenkatalog aufgestellt, mit dem Verantwortliche Mängel in der eigenen SAP-Sicherheitspolitik entdecken können.

Laut Onapsis können zehn Fragen für jeden Betreiber von Infrastrukturen als Checkliste dienen, wie es um seine SAP-Sicherheit bestellt ist:

  1. Haben die Verantwortlichen einen Überblick über sämtliche geschäftskritischen Applikationen und die SAP-Infrastruktur – sowie über deren spezifische geschäftliche Relevanz (z. B. darin gespeicherte sensible Informationen, laufende Schlüsselprozesse und Zahl der Anwender, die die Services nutzen)?
  2. Betreibt das Unternehmen geschäftskritische SAP-Applikationen, die über das Internet oder für Geschäftspartner sowie ausgegliederte Subunternehmer in fremden Ländern zugänglich sind?
  3. Wie oft finden Besprechungen mit dem ERP-Sicherheitsteam statt und gegenüber wem ist dieses Team rechenschaftspflichtig?
  4. Kennt das ERP-Sicherheitsteam die aktuellen Schwachstellen, Malware- und Hacker-Techniken, die es speziell auf SAP-Systeme abgesehen haben und wie werden solche Schwachstellen dokumentiert? Was ist, wenn ein Angreifer einen Exploit ausgenutzt hat, der bereits seit Jahren öffentlich bekannt ist?
  5. Wer ist im Unternehmen für Verletzungen der Cyber-Sicherheit verantwortlich, die die ERP-Plattform beeinträchtigen?
  6. Setzt das Unternehmen gegenwärtig ein Sicherheits- und Compliance-Audit- und Bewertungsprogramm von SAP um? Welche Techniken oder Dienste nutzt das Unternehmen dafür?
  7. In welchen Zeiträumen werden Sicherheitspatches von SAP auf Applikationsebene implementiert? Wer definiert und priorisiert dabei, welche Patches angewendet werden sollen? Werden Patch-Prozesse dokumentiert?
  8. Wissen die Verantwortlichen, ob ihre SAP-Systeme in der Vergangenheit angegriffen worden sind? Falls ja, welche Logging-Quellen oder forensische Lösungen setzen Sie zum Erkennen von schädlichen Aktivitäten ein?
  9. Werden SAP-Systeme gegenwärtig auf Angriffe auf Applikationsebene überwacht? Auf auffälliges Nutzerverhalten? Wie?
  10. Verfügt das Unternehmen über einen dokumentierten Plan zum Umgang mit der erhöhten Gefahr eines Angriffs auf geschäftskritische Applikationen?

Quelle: Onapsis

Linktipp: The Onapsis Security Blog




Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .