Sicherheit: Bessere Unter­stützung von SAP gefordert

Die jährliche Umfrage der SAP-Anwendergruppe zeigt: Es braucht Standards und bessere Konzepte.
 
Die deutschsprachige SAP-Anwendergruppe (DSAG) hat von Dezember 2018 bis Januar 2019 erneut einen ausgewählten Kreis von Mitgliedern in der Schweiz, Deutschland und Österreich zum Thema SAP-Sicherheit befragt. Die Bereitschaft, zusätzlich in die Sicherheit der SAP-Systeme zu investieren, ist laut der Trendanalyse im Vergleich zum Vorjahr um 13 Prozent auf 42 Prozent zurückgegangen. Zudem herrscht über alle Unternehmensgrössen hinweg die Ansicht, dass Cloud-Lösungen andere Sicherheits-Strategien und -Konzepte benötigen als herkömmliche Lösungen.
 
Den Überblick über ihre sicherheitsspezifischen Einstellungen verschaffen sich nur 11 Prozent (im Vorjahr: 15 Prozent) mithilfe eines Sicherheits-Dashboards. 76 Prozent nutzen dies nicht (im Vorjahr: 72 Prozent). "Die Anforderung eines Standards für ein umfassendes SAP Security Dashboard haben wir bereits im letzten Jahr an SAP kommuniziert. Eine Lösung dafür gibt es bislang aber leider nicht", schreibt die DSAG.
 
Bei der Zufriedenheit mit der Unterstützung seitens SAP bezüglich der System-Sicherheit vergeben lediglich 4 Prozent der Befragten die Höchstnote 6, 18 Prozent die Note 5. 49 Prozent vergeben die Note 4. Werte, die sich im Vergleich zu 2018 verschlechtert haben. Die DSAG fordert deshalb von SAP "noch bessere Unterstützung in Form von regelmässigen aktuellen Whitepapers, Handlungsempfehlungen und Sicherheits-Leitfäden".
 
Grosse Mehrheit erwartet Security by default
Gefragt wurde auch nach Security by default: Dass Security-Bestandteile in neuen Releases und Services standardmässig bereits aktiviert ausgeliefert werden. Waren es 2018 noch 78 Prozent, erwarten ein Jahr später bereits 84 Prozent diesen Service von SAP. "In Zusammenarbeit mit SAP konnten bereits deutliche Fortschritte in konkreten Punkten wie Verschlüsselung, Protokollierung (Logging) und Monitoring erzielt werden", schreibt die DSAG.
 
SAP-Cloud-Produkte in ein entsprechendes Sicherheitskonzept zu integrieren, empfinden grosse Unternehmen (45 Prozent) und mittelgrosse Unternehmen (41 Prozent) als sehr grosse Herausforderung. Bei kleinen Unternehmen teilen nur 35 Prozent diesen Eindruck. Das Thema Cloud hat es jedoch nicht unter die Top-3 der wichtigsten Handlungsfelder geschafft. An erster Position rangiert wie im letzten Jahr Security by default, gefolgt von den SAP-Sicherheitsrichtlinien. Die dritte Stelle hat das Patch-Management eingenommen.
 
Die DSAG kommt deshalb zum Schluss, dass bessere Sicherheitskonzepte, vor allem auch im Cloud-Umfeld zwingend erforderlich, aber ohne ein ordentliches Dashboard nach wie vor kaum umzusetzen sind. Im Bereich SAP-Sicherheit brauche es "mehr Standards und eine noch bessere Unterstützung von SAP". Aus den Ergebnissen der Umfrage liessen sich aber auch konkrete Handlungsempfehlungen für die Anwenderunternehmen ableiten: Es sei aufgrund der hohen Innovationsgeschwindigkeit wichtig, regelmässig die SAP-Sicherheitsrichtlinien zu aktualisieren. Des Weiteren sollten neue SAP-Systeme mit den wesentlichen aktuellen Sicherheits-Einstellungen (Security by default) installiert werden. (paz)
 
(Interessenbindung: Wir sind Medienpartner der DSAG.)