SAP Security Optimization Self-Service
Schwachstellen und Sicherheitslücken stellen auch für SAP Systeme eine fortwährende Bedrohung dar. Deshalb ist es besonders wichtig, etwaige Sicherheitslücken zu schließen und so die kritischen Daten eines Unternehmens zu schützen.
Dafür hat die SAP AG neben den monatlichen Patchdays auch sogenannte SAP Security Optimization Self-Services (SOSS) eingeführt. Am "Patchday" informiert die SAP über Sicherheits-Updates für seine Produkte, sofern diese dem Support durch den SAP Service Marketplace unterliegen. Bei dem spezifischen SAP Security Optimization Self-Service wird für jedes SAP System das aktuelle Sicherheitsniveau durch einen entsprechenden Service Report bereitgestellt.
Um ein ausgewogenes Sicherheitsniveau zu erreichen, muss aber erst einmal eine Grundlage geschaffen werden, das heißt die Systeme müssen einer definierten Sicherheitsüberprüfung unterzogen werden. Darauf aufbauend werden dann jeweils zum Patchday die Sicherheits-patches getestet und eingespielt. Der Service Report gleicht eine Vielzahl von Informationen ab. So werden z.B. der Early-Watch-Report (EWA-Report), ein Fragebogen zu den spezifischen Einstellungen und die aktuellen Sicherheitsempfehlungen von SAP zugrunde gelegt. Mit Hilfe dieses Self-Services lassen sich folgende Ziele erreichen:Die IT-Verantwortlichen für die SAP Systeme erhalten zu beliebigen Zeitpunkten einen detaillierten Überblick über die Sicherheit ihrer SAP Systeme. Der Service Report ermöglicht dem SAP Basisadministrator in Verbindung mit dem Patchday eine regelmäßige Optimierung des Sicherheitsniveaus (Patchlevel, Berechtigungen, etc.). Dabei werden tagesaktuelle Sicherheitsempfehlungen der SAP berücksichtigt. Die Zeit zwischen Erscheinen des Security-Patches und dem möglichen manipulativen Ausnutzen der Sicherheitslücke (s.o.) wird entscheidend verringert. Dem Wirtschaftsprüfer kann zu jedem „beliebigen Zeitpunkt“ eine belastbare Dokumentation hinsichtlich der Sicherheitsniveaus der SAP Systeme zur Verfügung gestellt werden (Klassifizierung).