Security in hybriden Systemen – ­Challenge oder Entlastung?

Nicht erst seit dem Angriff auf die Firma Xplain stellen sich viele Verantwortliche die Frage: Wer hat eigentlich die Kontrolle und Verantwortung über die Unternehmensdaten und -prozesse? Diese Frage ist in Zeiten von wachsender Komplexität eine wesentliche Herausforderung geworden. Da die meisten Unternehmen ausser einer zentralen SAP-ERP-Software auch Services nutzen, die oftmals exklusiv in der Cloud verfügbar sind, lösen sich die Systemgrenzen immer mehr auf und ein komplexes Ökosystem entsteht. Die Verantwortung bleibt beim eigenen Unternehmen. Aber wie verhält es sich mit der Kontrolle über die digitalen Unternehmenswerte in Zeiten von Microservices, SaaS, Hyperscalern, SAP Rise, SAP Grow und der zunehmenden Prozessintegration?  

Blicken wir ein Vierteljahrhundert zurück 

Der Systemadministrator verantwortet sein System mit wenigen Schnittstellen im eigenen Rechenzentrum. Einmal im Jahr erhält der Administrator eine CD und installiert die neuesten Änderungen. Die Kommunikation umfasst im besten Fall einige wenige Dateien, die mit der Bank oder den Lieferanten ausgetauscht werden. Alles wohlkontrolliert, direkt nachvollziehbar und in überschaubarem Tempo. Der Zugriff von ausserhalb des Unternehmensnetzwerks ist stark eingeschränkt. 

Heute sieht die Welt ganz anders aus 

Wir sind es gewohnt, alles zu bekommen, sofort! Same-Day und Portofrei sind das Minimum. Ganz ähnlich ist es im Geschäftsalltag. Die Business-User möchten rasch und unkompliziert neue Services und Applikationen nutzen, in das bestehende Ökosystem einfügen und Teil von grösseren Prozessketten werden lassen – ohne lästiges Architektur-Board oder nervige Security-Prüfung. Dank IaaS, PaaS oder SaaS ist dies schnell und einfach möglich. 

Hybride Systemlandschaften sind Alltag für Unternehmen geworden – mit all ihren Folgen hinsichtlich Komplexität und Governance. Viele Dinge lassen sich nicht mehr direkt kontrollieren und beeinflussen, trotzdem müssen sie beurteilt und gemanagt werden. Die konkrete Folge: Einerseits müssen Unternehmen die konventionelle IT weiterbetreiben und das Sicherheitslevel hochhalten. Andererseits gilt es, alle Services und Verbindungen von und zu diversen Partnern sicher zu integrieren und zu steuern. Das führt unweigerlich zu einer Doppelbelastung.

Alles wird einfacher – oder nicht?

Durch Automatisierungen und Digitalisierung sind bessere, effizientere Prozesse möglich, die für Einsparungen sorgen. Ausserdem kann in einem hybriden Szenario viel Aufwand an die Anbieter übertragen werden. So stehen weniger Infrastruktur und weniger Services unter interner Kontrolle, womit der Aufwand sinkt. Was bleibt, ist die Verantwortung für das Gesamtkonstrukt. 

Welche Punkte gilt es nun zu beachten?

Die etablierten und teilweise maturen On-Prem-Konzepte und -Kontrollen inklusive internem Kontrollsystem (IKS) oder gar einem Information Security Management System (ISMS) müssen für die hybride Welt angepasst und erweitert werden. Eine gute Hilfe kann hierbei ein Cybersecurity-Framework sein: 

Identify – den Überblick gewinnen

Ein wichtiger erster Schritt ist, sich eine Übersicht zu verschaffen. Wie werden die Möglichkeiten der Cloud aktuell genutzt, was ist geplant, respektive was ist zu erwarten? Welche Daten und Prozesse sind in der Cloud exponiert? Basierend auf diesem Inventar können Unternehmen das Bedrohungs- und Risikopotenzial analysieren. Ganz klassisch in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit. 

Protect – Risiken erkennen und begegnen

Auch in der Protect-Funktion müssen neue, andere Risiken, die in einer hybriden Systemlandschaft entstehen, berücksichtigt werden. Den identifizierten Risiken muss mit konkreten Massnahmen entgegnet werden. Bewährt hat sich hierbei die Strategie der kleinen Schritte und Erfolge, um die Energie und den Managementsupport im Vorhaben hochzuhalten. Besser konstant liefern, als für die ferne Zukunft alles versprechen.

Idealerweise ist das Sicherheitsbewusstsein ein integraler Bestandteil bei Entwicklung und Betrieb, das kontroverse Zauberwort heisst DevSecOps. Für Infrastruktur, Datenbanken und Anwendungen – Cloud und On-Prem – müssen Sicherheitskon­trollkonzepte und ‑praktiken in vergleichbarer, angemessener Maturität in die Abläufe integriert sein.

Ein Paradebeispiel ist das Identity Management als zentraler Eckpfeiler: Im Zentrum moderner Sicherheitsüberlegungen stehen die Identitäten und die damit verbundenen Accounts. Ziel muss es sein, Identitäten an einer zentralen Stelle zu managen und zu überwachen. Basierend auf dieser zentralen Identität können Accounts und Berechtigungen verteilt und die Authentisierung vorgenommen werden. Satelliten-Accounts in lokalen User Stores von Anwendungen gehören bereits in die Mottenkiste der Cloud-Geschichte. Solche Set-ups sind nahezu nicht verwaltbar. Zentrale Identitäten dienen nicht nur der Security, sondern auch der Usability und der Umsetzungsgeschwindigkeit von neuen Vorhaben. In Zukunft wird es für den Benutzer gar nicht mehr relevant sein, wie der Service technisch implementiert ist. Der Benutzer authentisiert sich und arbeitet einfach – ohne spürbares Login, ohne spezifischen Aufruf, sei es mobil, über ein Blinzeln in die VR-Brille, über einen Sprachbefehl ins Handy oder konventionell im GUI. Schöne neue, sichere Welt.

Detect – Missbrauch erkennen und vorbeugen

In hybriden Szenarien spielt die Detect-Funktion eine entscheidende Rolle, da viele Services und Kommunikationskanäle, wenn nicht sauber konfiguriert, eine erhebliche Angriffsfläche bieten. Auch in kleineren Umgebungen ohne eigenes Security Operations Center (SOC) sollte die Überwachung auf Events und Anomalien aufgebaut werden. Eine effiziente Detect-Lösung funktioniert übergreifend On-Prem und in der Cloud, über die gesamte Infrastruktur und alle Applikationen hinweg und korreliert die relevanten Events.  

Dazu ein einfaches Beispiel: Habe ich meinen Amazon-Root-Benutzer oder mein Google-Cloud-Hauptkonto unter Kontrolle? Oder stehen die Credentials etwa in einem Script, das quasi öffentlich lesbar ist? Falls ja, könnten Dritte grosse Rechenkapazitäten nutzen, um Mining zu betreiben oder gar illegale Aktivitäten durchzuführen. Das führt neben hohen Kosten auch zu erheblichen juristischen Risiken. Deshalb sollte eine gute Detect-Funktion in diesem Fall einerseits die unsachgemässe Speicherung von Credentials verhindern und andererseits einen potenziellen Missbrauch rasch erkennen.

Respond – angemessen und zeitnah reagieren

Das Schutzlevel kann noch so hoch sein und die Massnahmen noch so streng, eine 100-prozentige Sicherheit gibt es nicht. Daher ist es essenziell, auf erkannte Breaches rasch und gut vorbereitet zu reagieren. Neben technischen sind hier vor allem die organisatorischen Massnahmen zentral.

Die hybriden Szenarien haben in puncto Business Continuity Vor- und Nachteile. Die steigende Komplexität und Verwundbarkeit steht vielen einfachen und schnellen Möglichkeiten gegenüber, die sich in einem Cloud-Szenario eröffnen.

Die Respond-Prozesse müssen mit einer hohen Maturität und Qualität funktionieren. Nur so kann in einem Ereignisfall eine rasche und zielgerichtete Reaktion sichergestellt werden. Neben dem technischen Teil spielt auch die Kommunikation, gegen innen wie auch gegen aussen, eine zentrale Rolle. Durch die neueste Überarbeitung des DSG hat die Aussenkommunikation nochmals an Bedeutung gewonnen.

Recover – mit Optimierungen zurück auf Anfang 

Bei der Recover-Funktion geht es darum, wieder vollständig in den normalen Betriebsmodus zurückzukehren, Lehren aus den Vorfällen zu ziehen und entsprechende Massnahmen zu initialisieren. Speziell in der Cloud-Welt ist darauf zu achten, alle möglicherweise kompromittierten Assets zu säubern, beziehungsweise zu ersetzen, was bei modernen Cloud-Anwendungen durchaus einfacher geschehen kann als On-Prem. 

Unternehmen, die ein Cybersecurity-Framework befolgen, besitzen einen guten Kompass für die Sicherheit ihrer Systemlandschaft. Stabile Sicherheit ist dauerhaft und verlässlich, allerdings nur mit einem funktionierenden ISMS möglich. Kurz: Nur so können Unternehmen langfristig das gewünschte Sicherheitslevel gewährleisten. 
 

"Das allgemein gültige, perfekte Cybersecurity-Framework gibt es nicht"

Hybride Systeme stellen Unternehmen vor verschiedene Herausforderungen. Wie sich Unternehmen auf die SAP-S/4-­Hana-Migration vorbereiten und welche Security-Aspekte sie dabei beachten sollten, erklärt Lukas Bürki, SAP Cyber­security-Experte bei Novo Business Consultants. Interview: Tanja Mettauer

Wie finden Unternehmen das richtige Cybersecurity-­Framework? 

Lukas Bürki: Good News, das allgemein gültige, perfekte Cybersecurity-Framework gibt es nicht; es ist nicht zentral, für welches Framework man sich entscheidet. Stattdessen ist es viel wichtiger, den eingeschlagenen Weg konsequent zu gehen und sich nicht verunsichern zu lassen. Mit unserem NIST-basierten Novo-Framework haben wir insbesondere in hybriden Szenarien bereits sehr gute Erfahrungen gemacht.

Welches sind die grössten internen Cyberrisiken, gegen die sich Unternehmen wappnen sollten?

Es ist nach wie vor die Sensibilität der Mitarbeitenden bezüglich Security. Mit wenigen einfachen Grundregeln kann schon viel erreicht werden, sowohl bei den IT-Mitarbeitenden als auch in den Fachbereichen. Brennpunkte aus der SAP-Welt sind immer noch die Integration der hybriden Systemlandschaft, erweiterte Berechtigungen und Patchmanagement. In der Umsetzung sind viele unserer Kunden noch weit weg von Zero Trust und anderen modernen Ansätzen. Security-Checks, wie unser Novo SAP Security Check, können helfen, Licht ins Dunkel zu bringen.

Welche Schwerpunkte sollte ein auf SAP ausgerichtetes ­Cybersecurity-Framework zwingend abdecken?

Die Ausprägung eines Frameworks ist idealerweise generisch und sollte nicht SAP-spezifisch sein. So können einerseits effizient Sy­nergien genutzt werden und andererseits sind auch das Management und Controlling einfacher. Das erleichtert wiederum die Integration in übergeordnete Prozesse und Systeme. So können die Metriken für alle Systeme dieselben sein, die Implementierung unterscheidet sich natürlich von System zu System. Ganz generell kann man sagen, dass sich der Fokus neben Protect vermehrt hin zu Respond und Recover bewegen sollte, um der aktuellen Gefahrenlage gerecht zu werden.

Was für Security-Aspekte gilt es für Unternehmen hinsichtlich der SAP-S/4Hana-Migration zu beachten? 

Legacy, Legacy, Legacy. Der grösste Feind der Security sind oft Altlasten. Selbst in Greenfield-Projekten werden häufig einzelne Artefakte und Konzepte aus der Vergangenheit übernommen. Eine frühzeitige Planung und entsprechende Priorisierung eröffnet eine einmalige Chance, die Security mit der Migration massiv voranzubringen. Als wichtige Pfeiler haben sich in Kundenprojekten folgende Aspekte herauskristallisiert:

• Architektur
• Integration, Kommunikation, Verschlüsselung
• Berechtigungen
• Security-relevante Supportprozesse

Welche Rolle spielt das User Lifecycle Management in einem SAP-Cybersecurity-Framework? 

Eine ganz zentrale. Wir sprechen in diesem Zusammenhang sogar lieber vom Identity Lifecycle Management. In diesem Unterschied offenbart sich direkt ein zentraler Aspekt. Es ist essenziell, Identitäten und davon abgeleitete Benutzer zentral managen zu können. Zugriffe auf Portale, Apps und sonstige Services sind fast nur via zentrale Identität zu managen. Idealerweise geschieht dies hochautomatisiert und eng an HR-Systeme gekoppelt, mit Einfachheit, Verlässlichkeit und Geschwindigkeit als Resultat. So werden Berechtigungen und Zutritte automatisch aufgrund von Attributen wie Jobbeschreibung, Arbeitsort etc. vergeben, beziehungsweise entzogen. Alle können sofort arbeiten, es braucht keine langwierigen, teilweise unzuverlässigen oder unklaren manuellen Prozesse. So funktionieren Security und Effizienz Hand in Hand.