SAP-Kunden wollen laut DSAG weniger in die Sicherheit ihrer Systeme investieren. Nur jeder fünfte Anwender ist mit der Unterstützung von SAP zufrieden. Auf der Wunschliste stehen bessere Security-Konzepte und ein Dashboard.
Unzufrieden mit den Herstellerbemühungen des im Bereich IT-Sicherheit zeigen sich die von der Deutschsprachigen SAP-Anwendergruppe e.V. (DSAG) befragten SAP-Anwender. Sie wünschen sich von SAP schon bei der Produktentwicklung einen stärkeren Fokus auf die Prinzipien ‚Security by design‘ und ‚Security by default‘. „Auch für das Cloud-Umfeld fordern wir diese Design-Prinzipien“, erläutert Alexander Ziesemer, Sprecher des DSAG-Arbeitskreises Security & Vulnerability Management.“
Für das Meinungsbild in Sachen Sicherheit hat die DSAG von Dezember 2018 bis Januar 2019 in Arbeitskreisen in Deutschland, Österreich und der Schweiz eine Umfrage durchgeführt. Den allgemeinen Teil beantworteten 170 Teilnehmer, den fachspezifischen Teil 141 Teilnehmer. Die Hälfte der Teilnehmer kommt aus den Branchen Handel und Dienstleistungen, 32 Prozent aus dem produzierenden Gewerbe. 41 Prozent der Unternehmen beschäftigen 500 bis 4.999 Mitarbeiter, 45 Prozent ab 5.000 Mitarbeiter.
Die Bereitschaft der Befragten, zusätzliche Mittel für die Sicherheit ihrer SAP-Systeme aufzuwenden, ist laut DSAG-Umfrage von 55 Prozent im Jahr 2018 auf aktuell 42 Prozent zurück gegangen. Quelle: DSAG
Anwender vermissen ein SAP Security Dashboard
Die Bereitschaft der Befragten, zusätzliche Mittel für die Sicherheit ihrer SAP-Systeme aufzuwenden, ist laut Umfrage von 55 Prozent im Jahr 2018 auf aktuell 42 Prozent zurück gegangen. Es hat sich die Auffassung durchgesetzt, dass für die auch von SAP zunehmend angebotenen und von den Anwendern auch angenommenen Cloud-Lösungen andere Sicherheits-Strategien und –Konzepte nötig sind, als für die inhouse betriebene SAP-Software.
Die DSAG arbeite beim Thema Sicherheit eng mit SAP zusammen, doch manche Ergebnisse lassen auf sich warten. So fordern die Anwender beispielsweise ein umfassendes Security Dashboard. „Den Bedarf dafür haben wir an SAP bereits im letzten Jahr angemeldet“, erinnert Ziesemer. „Die Lösung dafür steht aber noch aus.“ Derzeit verschaffen sich lediglich 11 Prozent der Befragten SAP-Anwender mithilfe eines Dashboards einen Überblick über die sicherheitsspezifischen Einstellungen ihrer SAP-Systeme.
In Bezug auf Sicherheit bewerten 4 Prozent der Befragten ihr SAP-System mit der Note 1, 18 Prozent vergeben die Note 2. Damit ist nur jedes fünfte Unternehmen mit dem Angebot von SAP zufrieden. Zwar vergaben immerhin 49 Prozent die Note 3, doch die Werte haben sich im Vergleich zu 2018 alle verschlechtert. „Ein klares Indiz dafür, dass die Anwender eine bessere Unterstützung in Form von Whitepapers, Handlungsempfehlungen und Sicherheits-Leitfäden seitens der SAP brauchen“, erläutert Ziesemer.
SAP-Cloud-Produkte in ein Sicherheitskonzept zu integrieren, empfinden laut DSAG-Umfrage 45 Prozent der großen und 41 Prozent der mittelgroßen Unternehmen als eine sehr große Herausforderung. Bei kleinen Unternehmen teilen nur 35 Prozent diesen Eindruck. Quelle: DSAG
Cloud- und Inhouse-Systeme brauchen die gleiche Sicherheit
SAP-Cloud-Produkte in ein Sicherheitskonzept zu integrieren, empfinden 45 Prozent der großen und 41 Prozent der mittelgroßen Unternehmen als eine sehr große Herausforderung. Bei kleinen Unternehmen teilen nur 35 Prozent diesen Eindruck. Interessanterweise hat es das Thema Cloud jedoch nicht unter die Top-3 der wichtigsten Handlungsfelder geschafft. An erster Position rangiert wie im letzten Jahr ‚Security by default‘, gefolgt von den SAP-Sicherheits-Richtlinien. Die dritte Stelle hat das Patch-Management eingenommen und die Awareness für SAP-Sicherheit verdrängt. „Bei den Unternehmen stehen neben der Cloud-Sicherheit weiterhin die Sicherheitsfragen rund um den On-Premise-Betrieb im Zentrum.“, erläutert Ziesemer.
Aus dem Meinungsbild der Mitglieder leitet die DSAG konkrete Handlungsempfehlungen: „Verschaffen Sie sich Transparenz über die Sicherheit und die Landschaft Ihrer SAP-Systeme für die Planung von weiteren Aktivitäten“, rät Ziesemer. „Starten Sie mit den Basics wie Schnittstellen, Verschlüsselung und Einstellungen.“ Es gelte, das Bewusstsein für IT-Sicherheit auf alle Ebenen zu schaffen, von den Mitarbeitern über die Führungskräfte bis zu den Managern. Zudem sei es aufgrund der hohen Innovationsgeschwindigkeit wichtig, die SAP-Sicherheitsrichtlinien regelmäßig zu aktualisieren. Neue SAP-Systeme sollten mit den aktuellen Sicherheits-Einstellungen installiert und die ausgelagerten Systeme in der Cloud sicher an das Unternehmens-Netzwerk angebunden werden. Jürgen Frisch
