Sie sind hier: HomeDatacenter

Datacenter & Sicherheit: SAP aus der Cloud - aber sicher

Anbieter von SAP-Cloud-Services müssen sicherstellen, dass ihre Systeme wichtige Compliance-Anforderungen erfüllen und die Daten ihrer Kunden vor unbefugtem Zugriff schützen. Angesichts der Komplexität der SAP-Plattform kein leichtes Unterfangen.

Das Dashboard der Open-Security-Platform zeigt auf einen Blick, ob die eingesetzte Unternehmens-Software wichtige Compliance-Vorgaben erfüllt – etwa von der NERC. Bildquelle: © Onapsis

Das Dashboard der Open-Security-Platform zeigt auf einen Blick, ob die eingesetzte Unternehmens-Software wichtige Compliance-Vorgaben erfüllt – etwa von der NERC.

SAP steht synonym für leistungsfähige ERP-Unternehmenssoftware, mit der Firmen ihre geschäftlichen Daten, Prozesse und Ressourcen verwalten und steuern. Da die Implementation, Pflege und der Betrieb von SAP-Systemen jedoch sehr aufwendig ist, greifen immer mehr Firmen auf On-demand-Lösungen von Cloud-Service-Providern zurück. Diese betreiben skalierbare SAP-Systeme zentral auf den Servern ihrer Datenzentren und vermieten die Anwendungen als Dienstleistung.

Die Vorteile solcher SAP-Cloud-Solutions liegen auf der Hand: Kleine und mittlere Unternehmen haben die Möglichkeit, ohne eigene umfangreiche IT-Ressourcen und auf SAP-Lösungen spezialisiertes Betriebspersonal die professionelle ERP-Software für einen monatlichen Mietpreis zu nutzen. Prozesse wie Reisekosten, Beschaffung, Produktion, Vertrieb oder Finanzen können jederzeit und von jedem Ort aus editiert und gesteuert werden. Großunternehmen können ihre eigenen SAP-Anwendungen nach Bedarf flexibel erweitern und so schnell beispielsweise auf aktuelle Marktentwicklungen reagieren.

Compliance erfüllen
Doch spätestens wenn neben den eigenen Unternehmensinformationen Kundendaten im System gespeichert werden, müssen auch die Anwender von SAP-Cloud-Services strikte Compliance-Anforderungen erfüllen, die zum Beispiel in den Standards PCI-DSS, HIPAA, ISAE, SSAE oder SOX für die IT-Security definiert sind. Diese sollen sicherstellen, dass Kundendaten und geschäftswichtige Informationen vor Fremdzugriff, Spionage und Manipulation geschützt sind. Das können die Cloud-Kunden jedoch nur, wenn auch die Cloud-Anbieter diese Compliance garantieren. Denn die Server, auf denen die Software gehostet wird, sind nicht im eigenen Unternehmen platziert, sondern in den Rechenzentren der SAP-Cloud-Service & Hosting-Partner wie Amazon, T-Systems, Freudenberg IT oder All for one Steeb.

Für die Anbieter der SAP-Cloud-Solutions bedeutet dies: Sie müssen ihre SAP-Systeme permanent auf dem neusten Stand halten und mit geeigneten Sicherheitslösungen dafür sorgen, dass ihr Rechenzentrum und die darin laufenden Geschäftsapplikationen bestmöglich geschützt sind. Das ist zeit- und kostenintensiv – und angesichts der Komplexität von SAP kein leichtes Unterfangen. Ein einzelner SAP-Server lässt sich beispielsweise über rund 1.500 Parameter konfigurieren. Rund 30 Prozent davon betreffen sicherheitsrelevante Funktionen.

Zudem gibt es viele Abhängigkeiten. Diese müssen zum Beispiel vor dem Einspielen von Sicherheits-Patches in regelmäßigen Audits untersucht werden. Die Folge: Von der Identifizierung einer Schwachstelle über das Entwickeln eines Patches bis zum Einspielen vergehen nicht selten mehrere Monate. Zeit, in denen die geschäftswichtigen Anwendungen potenziell angreifbar sind. Brisant dabei: Allein im Jahr 2014 hat SAP 391 Sicherheitspatches veröffentlicht – im Durchschnitt also mehr als 30 pro Monat! Nahezu 50 Prozent dieser Patches hat SAP mit einer hohen Priorität eingestuft.