bei sap-sicherheit müssen anwender nachbessern - Medizin-EDV
Werbung
I T- S I C H E R H E I T BEI SAP-SICHERHEIT MÜSSEN ANWENDER NACHBESSERN Sieben von zehn befragten Unternehmen, die SAP einsetzen, bewerten im Schnitt Maßnahmen rund um SAP-Sicherheit als ungenügend. Eine Studie nennt Defizite, zeigt aber zugleich Optimierungsansätze auf. Verbesserungen beide den Anwendern sind bei Passwörtern, Schutz des Produktivsystems sowie die Sicherheitsorganisation nötig. Die Studie „Stand der Sicherheit der in der Schweiz eingesetzten SAP-Systeme“ der Information Security Society of Switzerland (fgsec, www.fgsec.ch) mit Sitz im Schweizerischen Blonay legt eine ganze Reihe von Schwachstellen bloß. Zugleich zählt sie mögliche Verbesserungen auf – nicht nur für Eidgenossen. Passwörter In fünf von zehn befragten Unternehmen werden die Benutzer mit zu vielen Authentifizierungs-Mechanismen (> 3) konfrontiert und sind mit dem Merken von verschiedenen Passworten überlastet. Die Zahl der Passwörter sollte mit geeigneten Mitteln reduziert, die Qualität erhöht werden. Dabei stehen neben Mechanismen ei- nes dedizierten Single Sign-On die Bereitstellung einer bedarfsgerechten PasswortPolicy im Vordergrund. Risikoregister In den befragten Unternehmen existieren Risikoabschätzung und Schadensregister meist nur in rudimentärer Form. Zudem sind sie ausschließlich systembezogen. Die (geldmäßge) Folgenabschätzung einer Prozess-Unterbrechung durch Umfeldfaktoren ist nicht möglich. Daher sollte ein Risikoregister bis auf die Ebene der Geschäfts-Prozess-Schritte erstellt werden. Dadurch lassen sich sowohl die Risiken eines Geschäftsprozesses bewerten as auch eventuelle Schäden quantifizieren. Insbesondere wird anhand einer bedarfsgerechten Risikoanalyse die Berechnung eines Return on Security-Investment ermöglicht („ROSI“). Schutz des Produktivsystems In zahlreichen befragten Unternehmen besitzen zu viele Personen EntwicklungsRechte in der kritischen Produktivumge- bung. Die Gefahr, dass eine fahrlässige Fehleingabe oder eine böswillige Manipulation zu nicht abschätzbaren Schäden führt, wird unterschätzt.Daher sollten die Produktivsysteme gegen jede Art der Veränderung gesperrt sein. Dazu gehören neben entsprechenden Einstellungen auch der vollständige Verzicht auf zu weit gehende Entwicklungs-Rechte. Die Reduktion der SAP-ALL-Berechtigungen schützt auch die betroffenen Personen. Sicherheitsorganisation In vielen Unternehmen ist (noch) niemand für die Sicherheit der SAP-Systeme zuständig. Die Verantwortung übernehmen unterschiedlichen Stellen mit. Oftmals besteht daher ein Ressourcen- sowie Knowhow-Problem. Eine unabhängige Kontrollinstanz, die die Sicherheitsmaßnahmen überprüft, fehlt meist oder ist zu wenig über die speziellen Erfordernisse der SAP-Systeme informiert.Unternehmen sollten für die SAP-Sicherheits-Verantwortung und die unabhängige Kontrollinstanz Personen oder Teams definieren und mit genügend Ressourcen, Know-how und Entscheidungskompetenzen ausstatten. TIPP: ADMINRECHTE Viele Programme benötigen bei ihrer Installation Administratorrechte, um sich korrekt installieren zu lassen. Aber auch bei Betrieb mancher Programme sind Administratorrechte nötig. Hier hilft ein Trick, auch als normaler User Programme / Anwendungen mit Adminrechten auszuführen. TIPP 1 Im Windows Explorer suchen Sie die auszuführende Anwendung und wählen über die rechte Maustaste „Ausführen als“ aus. 80 Benötigen Sie eine Anwendung regelmäßig und brauchen dafür Adminrechte, ist es recht unkomfortabel, jedes Mal oben beschriebene Methode anzuwenden. Einfach und schneller ist es, zuerst eine Verknüpfung anzulegen. Dann wählen Sie über die rechte Maustaste den Menüpunkt „Eigenschaften“ aus. Unter „Ziel“ tragen Sie folgenden Befehl ein: C:\WINDOWS\system32\ runas.exe/user:[computername]\[Administrator]/noprofile"[Anwendung]" TIPP 2 Beim Starten der Anwendung werden Sie nun aufgefordert, das Administratorkennwort einzugeben. Bei richtiger Eingabe startet die Anwendung mit dem Administratoraccount. Informationen: Malte Lorenz, Nürnberg, [email protected]