Taub, stumm, blind: Vogel-Strauß-Taktik riskiert die IT-Sicherheit
In einer zunehmend vernetzten Welt ist die IT-Sicherheit eines der großen Themen der Zeit. Trotzdem steht Cyber Security bei vielen Unternehmen immer noch nicht so hoch auf der Agenda, wie dies der Fall sein sollte. Das gilt auch und insbesondere für Firmen, die auf SAP setzen: Als erfolgreichste, nicht aus den USA stammende Software dient das Programm zur Abwicklung sämtlicher Geschäftsprozesse eines modernen Unternehmens. Viele IT-Verantwortliche stellen sich allerdings taub, stumm und blind, was etwaige Risiken betrifft: Sie hören nicht richtig zu, wenn Probleme im Umgang mit dem Programm angesprochen werden, bringen wiederum eigene Beobachtungen nicht zur Sprache oder verschließen schlicht die Augen vor möglichen Sicherheitsfallen. Genau damit aber setzen sie die Unternehmen kaum zu unterschätzenden Gefahren aus.
Warum lohnt es sich, Verständnisbarrieren abzubauen und die Sinne zu schärfen
Cyberkriminalität hat in den zurückliegenden Jahren immer neue Dimensionen erreicht. Angreifer, die feststellen, dass ein bestimmtes Unternehmen SAP verwendet, versuchen etwa durch den gezielten Einsatz von Ransomware, SAP-Installationen zu verschlüsseln, um die Daten anschließend gegen die Zahlung eines Erpressungsbetrags wieder freizugeben. Wer sich gegen Angriffe wie diese erfolgreich zur Wehr setzen will, muss Augen und Ohren offenhalten – und zwar beständig. Bei SAP-Anwendern findet man allerdings häufig das Phänomen, dass der Bereich Sicherheit für sie unter Identity und Access Management (IAM) fällt. Dafür, dass die Systeme sicher sind, werden die Administratoren schon sorgen, so die weit verbreitete, bequeme Annahme. Natürlich ist die Software so konzipiert, dass die Einfallstore für potenzielle Angreifer möglich klein gehalten werden. Nichtsdestotrotz gibt es eine ganze Reihe von Dingen, die die Verantwortlichen selbst tun können und müssen, um die IT-Sicherheit zu gewährleisten.
Oftmals haben Unternehmen, die auf SAP setzen, eine IT-Sicherheitsabteilung und eine interne Revision beziehungsweise führen regelmäßig Audits durch. Letzteres hat üblicherweise die Verantwortung, zu prüfen, ob SAP richtlinienkonform angewendet wird. Da die unternehmensinternen Prüfer in aller Regel selbst keine SAP-Experten sind, werden schließlich Dritte damit beauftragt, die Prüfung durchzuführen. Aus dem Prüfungsbericht geht dann hervor, an welchen Stellen es Probleme gibt, die ausgeräumt werden müssen. Das aber ist in dem eng verzahnten betrieblichen Kontext, in dem Unternehmen SAP einsetzen, gar nicht so einfach und für die Mitglieder des Audits auch nicht immer nachvollziehbar. In der Folge stellen sich die Verantwortlichen im Betrieb dann nicht selten taub, stumm und blind, was die Handlungsempfehlungen betrifft. Um eine solche Vogel-Strauß-Taktik zu vermeiden, müssen Verständnisbarrieren zwischen den einzelnen Bereichen – SAP-Betrieb, IT-Sicherheit und Audit – schrittweise abgebaut werden. So wird schließlich auch die Three Lines of Defense (TLoD) stabilisiert. TLoD beschreibt ein Modell zur systematischen Herangehensweise an Risiken, die in Unternehmen und Organisationen auftreten können. Potenzielle Gefahren müssen demnach frühzeitig erfasst, identifiziert, analysiert, bewertet und innerhalb des Unternehmens kommuniziert werden, um mögliche Bedrohungen abzuwenden. Unternehmenslenker sollten gezielt auf Beratungsangebote zurückgreifen, in denen den Mitarbeitern verständlich dargelegt wird, an welchen Stellen es Kompetenzlücken, Verantwortungsüberschneidungen, aber auch beispielsweise konkrete Verantwortungslücken gibt.
Experten und Berater kennen die unterschiedlichsten Methoden, um eine ganzheitliche SAP-Sicherheit zu schaffen. Diese reichen von Befragungen über entsprechende Evaluationsworkshops bis hin zu technischen Prüfungen. Um spezifische Probleme zu lösen, steht zudem ein breites Portfolio an Weiterbildungen wie E-Learnings, Classroom-Trainings und Blended-Learning-Konzepten zur Verfügung. Wer den bestmöglichen Schutz für seine IT-Sicherheit gewährleisten will, sollte die Anwender entsprechend sensibilisieren. Das Angebot an Hilfestellungen ist groß. Es lohnt sich, es zu nutzen.
Über den Autor
Seit rund einem Vierteljahrhundert ist Mathias Hess in der digitalen Welt unterwegs – in nationalen mittelständischen Unternehmen und in internationalen Großkonzernen, als CIO und IT-Leiter sowie in verantwortlichen Management-Positionen bei IT-Service-Providern. Er kennt alles, was das moderne IT-Umfeld beim Thema Digitalisierung als Chancen, aber auch an Risiken zu bieten hat. Er verfügt über umfangreiche Erfahrungen im Projektmanagement, sowohl mit der Einführung neuer Anwendungen und Prozesse (ITIL) als auch in der Umsetzung von Outsourcing-Projekten und komplexen Offshore-Leistungen. Im Rahmen seiner Tätigkeit trägt er oft auch Verantwortung für das Change-Management, was immer mehr zum entscheidenden Erfolgsfaktor in vielen Projekten wird. Mathias Hess ist begeisterter Chancen-Nutzer und Digitalisierungsoptimist. Die IT sieht er zukünftig immer weniger als Kostenoptimierer, sondern vielmehr als treibenden „Business Enabler“. Mathias Hess ist Interim Manager und professioneller Vortragsredner. Seine Themen sind Innovation, Führung, Agilität und Change-Management.
Weitere Informationen unter www.mathias-hess.com.
