SAP-Landschaften sind in den meisten Unternehmen das Ergebnis jahrelanger Erweiterungen, Änderungen und Eigenentwicklungen. Firmen wurden gekauft und verkauft, Geschäftsbereiche zusammengelegt und neu gegründet, Werke und Niederlassungen geschlossen, neue eröffnet. Und jedes Mal musste die IT die organisatorischen Änderungen und Wünsche der Fachabteilungen in SAP, den Drittsystemen und in der Infrastruktur abbilden – zusätzlich zum täglichen Betrieb wie dem Einspielen von Updates und Patches, dem Management von Berechtigungen, der Wartung der Infrastruktur und Schnittstellen, der Pflege von Sicherheitslösungen etc.
Historisch gewachsene SAP- und IT-Landschaften sind beliebig komplex und Mitarbeiter rar. Die Personalfluktuation in der IT und den Fachabteilungen tut ihr Übriges. Berechtigungen werden nur lückenhaft gepflegt, nicht alle Änderungen, Systeme und Einstellungen sind dokumentiert, für die notwendige Weiterbildung und angemessenen Austausch von Informationen bleibt zu wenig Zeit und Kollegen, die das Unternehmen verlassen, nehmen ihr Wissen mit zum neuen Arbeitgeber oder in die Rente. Das gilt nicht nur für die SAP-Basis-, sondern auch die Security-Teams. Auch sie haben Mühe, mit dem wechselnden Technologiestand Schritt zu halten und sich kontinuierlich die erforderlichen Fähigkeiten anzueignen. Außerdem sind sie in vielen Fällen nicht nur für die IT-Sicherheit, sondern zusätzlich noch für Compliance zuständig.
… trifft auf Personalmangel
Hinzu kommt: Oft nutzen die SAP-Security-Teams einen bunten Strauß an nicht miteinander integrierten Einzeltools, die bisweilen sogar von Hand bedient werden. Das ist wenig effizient und birgt die Gefahr, dass Sicherheitslücken erst mit erheblicher Verzögerung entdeckt werden. Cyberkriminelle nutzen das gnadenlos aus, um SAP-Software sowohl auf der Ebene der Infrastruktur als auch der Anwendungen zu kompromittieren und lahmzulegen oder um geschäftskritische Daten zu stehlen.
Mit anderen Worten: Der Mangel an Transparenz, Kenntnissen und Personal führt regelmäßig zu einer zumindest teilweisen Unkenntnis der besonders schützenswerten Bereiche der IT- und SAP-Landschaft und damit zusammenhängend zu einem zu starken Fokus auf externe Bedrohungen sowie spiegelbildlich zu einer systematischen Unterschätzung interner Risiken.
Historisch gewachsene SAP- und IT-Landschaften sind beliebig komplex und Mitarbeiter rar. Die Personalfluktuation in der IT und den Fachabteilungen tut ihr Übriges. Berechtigungen werden nur lückenhaft gepflegt, nicht alle Änderungen, Systeme und Einstellungen sind dokumentiert, für die notwendige Weiterbildung und angemessenen Austausch von Informationen bleibt zu wenig Zeit und Kollegen, die das Unternehmen verlassen, nehmen ihr Wissen mit zum neuen Arbeitgeber oder in die Rente. Das gilt nicht nur für die SAP-Basis-, sondern auch die Security-Teams. Auch sie haben Mühe, mit dem wechselnden Technologiestand Schritt zu halten und sich kontinuierlich die erforderlichen Fähigkeiten anzueignen. Außerdem sind sie in vielen Fällen nicht nur für die IT-Sicherheit, sondern zusätzlich noch für Compliance zuständig.
… trifft auf Personalmangel
Hinzu kommt: Oft nutzen die SAP-Security-Teams einen bunten Strauß an nicht miteinander integrierten Einzeltools, die bisweilen sogar von Hand bedient werden. Das ist wenig effizient und birgt die Gefahr, dass Sicherheitslücken erst mit erheblicher Verzögerung entdeckt werden. Cyberkriminelle nutzen das gnadenlos aus, um SAP-Software sowohl auf der Ebene der Infrastruktur als auch der Anwendungen zu kompromittieren und lahmzulegen oder um geschäftskritische Daten zu stehlen.
Mit anderen Worten: Der Mangel an Transparenz, Kenntnissen und Personal führt regelmäßig zu einer zumindest teilweisen Unkenntnis der besonders schützenswerten Bereiche der IT- und SAP-Landschaft und damit zusammenhängend zu einem zu starken Fokus auf externe Bedrohungen sowie spiegelbildlich zu einer systematischen Unterschätzung interner Risiken.
