SAP-Cybersecurity und Privacy

Schützen Sie Ihre zentrale und business-kritische Infrastruktur

Die Sicherheit von SAP-Systemen und -Daten ist eine komplexe Herausforderung, die von Anfang an ein angemessenes Zusammenspiel von organisatorischem, prozessualem und unterschiedlichem technischen Know-how erfordert.

Unsere SAP-Sicherheitsexperten, unterstützt von mehr als 400 PwC Cyber-Experten aus sechs Ländern (Deutschland, Österreich, Belgien, Niederlande, Schweiz und Türkei), bewerten die Sicherheit Ihrer SAP-Landschaft und arbeiten mit Ihnen von der Strategie bis zur Konzeption und Umsetzung technischer Maßnahmen zusammen.

SAP-Landschaften sind geschäftskritisch und gefährdet

Eine SAP-Landschaft bildet die technische Grundlage für Geschäftsprozesse und ermöglicht den Zugriff auf sensible sowie geschäftskritische Daten.

Gleichzeitig ist sie hochkomplex, anfällig für Schwachstellen und attraktiv für Angreifer.

Erreichen Sie eine angemessene SAP-Sicherheit

Um finanzielle, operative, rufschädigende oder gesetzliche Risiken zu vermeiden, unterstützen wir Sie dabei Ihre SAP-Landschaft aus Sicherheitssicht zu evaluieren und mit angemessenen

  • Organisatorischen,
  • Prozessualen und
  • Technischen Massnahmen
    Gegen Verlust, unberechtigten Zugriff und Unrichtigkeit zu schützen.

Wir befähigen Sie zur kontrollierten SAP-Sicherheit

Um die Sicherheit Ihrer SAP-Landschaft nachhaltig transparent darzulegen und risikoorientiert sicherzustellen, ist unsere Vision Ihre Befähigung zu einer kontrollierten SAP-Sicherheit.

Folglich unterstützen wir Sie, ein angemessenes und autonomes Zusammenspiel aus Ihrem Sicherheitsmanagement, Geschäftsfunktionen sowie SAP- und IT Abteilungen zu verankern. 


Domänen zur Bestimmung des Zustands von SAP-Sicherheit

Die Absicherung Ihrer SAP-Landschaft bedarf der Betrachtung organisatorischer, prozessualer und technischer Aspekte. Basierend auf dem regulatorischen Rahmen, allgemeinen Sicherheitsanforderungen sowie etablierten Standards, Empfehlungen und Verfahren haben wir die Themen zusammengefasst, welche zur Bestimmung des Zustands von SAP-Sicherheit maßgeblich sind.

Organisation und Governance

Die richtigen Leute und Abteilungen kommunizieren miteinander.

Die Verankerung von SAP-Sicherheit erfordert den Aufbau einer SAP-Sicherheitsorganisation mit definierten Rollen und Verantwortlichkeiten. Dies ermöglicht eine angemessene Kontrolle der verteilten Geschäfts- und IT-Verantwortlichkeiten, um Sicherheitsmaßnahmen gezielt, effizient und nachhaltig einzuleiten und umzusetzen.

Themen der Sicherheitsdomäne:

  • SAP-Sicherheitsorganisation, Rollen und Verantwortlichkeiten
  • SAP-bezogene IT-Prozesse und Anweisungen
  • Integration in die Unternehmenssicherheit
  • Drittanbieter- und Dienstleister-Management

Risiko- und Reaktionsmanagement

Systeme werden kontinuierlich gegen Gefahren und Schwachstellen getestet sowie gegen Sicherheitsvorfälle gehärtet.

Prozesse des SAP-Sicherheitsmanagements gewährleisten ein nachhaltiges und risikoorientiertes Schutzniveau für die SAP-Landschaft und die von ihr verarbeiteten Daten. Dies erfordert die Definition der notwendigen Schutzanforderungen an die SAP-Landschaft, die zugehörigen Systeme und Komponenten sowie eine kontinuierliche Überprüfung und Einführung gezielter Sicherheitsmaßnahmen.

Themen der Sicherheitsdomäne:

  • Asset- und Schwachstellenmanagement
  • Bedrohungs- und Risikomanagement
  • Incident und Event Management
  • Business Continuity Management

Sicherheit sensibler Daten

Der notwendige Schutz geschäftskritischer Daten, regulatorischen bzw. Compliance-Anforderungen wird sichergestellt.

Zur Sicherheit einer SAP-Landschaft müssen die verarbeiteten, übertragenen oder gespeicherten Daten geschützt werden. Dies erfordert eine Kenntnis der Daten, ihrer Schutzbedürfnisse und eine angemessene Ableitung von Kontrollmechanismen.

Themen der Domäne:

  • Datenschutz und Compliance
  • Datentransparenz und Klassifikation 
  • Kontroll- und Ausgabemanagement sensibler Daten
  • Kontrollierte Datenaufbewahrung und -übermittlung
     

Enterprise Access Management

Der Zugang zu SAP ist kontrolliert, interne und externe Benutzer werden authentifiziert und korrekt einzelnen Ebenen zugewiesen.

Für die Sicherstellung eines sicheren und Compliance-gerechten Betriebs von SAP ist ein angemessenes Enterprise Access Management zu gestalten und zu etablieren. In Balance zwischen Sicherheits- und Geschäftsanforderungen werden technische und organisatorische Maßnahmen abgeleitet.

Themen der Domäne:

  • IAM-Strategie des Unternehmens
  • Risikobasierte Authentifizierung (intern und extern)
  • Identitätsmanagement und Provisionierung
  • Konfliktmanagement für die Funktionstrennung
  • Firefighter und privilegierter Zugang (alle Ebenen)

Applikationssicherheit

Sicherheit ist in die tägliche Arbeit mit der SAP-Applikation integriert.

Diese Domäne beschreibt Sicherheitsaspekte, die bei der täglichen Arbeit mit SAP-Anwendungen zu beachten sind (d.h. alles, was den Betrieb betrifft und nicht die Standardkonfiguration und -installation eines SAP-Systems oder seiner Komponenten).

Themen der Domäne:

  • Rollen basierend auf dem Business Design
  • Zuweisung von Rollen mit Funktionstrennung
  • Betriebsmodell inkl. Datenebene und Fiori Apps
  • Software-Sicherheit (Code und Transport)
  • Administrations- und Berechtigungsmanagement
  • Monitoring and Logging

Komponenten- und Perimeter-Sicherheit

Systeme und Komponenten sind gegen Sicherheitsvorfälle gehärtet.

Die Perimetersicherheit gewährleistet eine angemessene Konfiguration von SAP-Systemen und -Komponenten, um Sicherheitsrisiken zu reduzieren. Die folgenden Anforderungen beschränken sich auf die Konfiguration der SAP-Basis (beziehen sich nicht auf Funktionsbausteine).

Themen der Domäne:

  • Sichere Einrichtung, Architektur und Härtung von SAP-Komponenten
  • Kommunikationsschnittstellen und –protokolle
  • Sicherheitsrelevantes Update und Upgrade-Management

Infrastruktursicherheit

Kritische Systeme werden in einer robusten sicherheitsorientierten Architektur und Landschaft betrieben.

Im Rahmen der Infrastruktursicherheit werden alle Anforderungen an den sicheren Betrieb von SAP Landscape beschrieben. Zu diesem Zweck müssen die technische Architektur und jede relevante Komponente SAP-spezifischen Anforderungen unterliegen.

Themen der Domäne:

  • Security- und Privacy-by-Design
  • Risikobasierte technische Härtung (Cloud und On-premise) von Datenbank, Betriebssystem, Netzwerk
  • Front-End-Sicherheit (inklusive Portalen)
  • Middleware und Non-SAP-Sicherheit

Unsere Dienstleistungen

Prüfung und Bewertung

Mit unserem modularen Ansatz geben Ihnen Auskunft über den aktuellen Stand Ihrer SAP-Sicherheit, indem wir die SAP-Anwendungsumgebung von der organisatorischen bis zur technischen Ebene bewerten, Geschäftsrisiken berücksichtigen und daraus risikobasierte Kompensationsmaßnahmen ableiten.

Beratung und Optimierung

Wir unterstützen Sie gerne bei der Optimierung des Sicherheitsdesigns Ihrer bereits existierenden SAP-Anwendungsumgebung, um eine angemessene Balance zwischen Sicherheit und Wirtschaftlichkeit zu erzielen.

Konzeption und Umsetzung

Wir unterstützen Sie bei der Konzeption und Umsetzung von Maßnahmen für Ihre Prozesse, Architekturen, Systeme und Komponenten, um eine sicherheitsorientierte und robuste SAP-Anwendungsumgebung zu erreichen.

Managed Services

Wir bieten Ihnen die besten Produkte aus einer Hand als Managed Service, um eine ausreichende SAP-Sicherheit zu erreichen und eine komplexe und teure Implementierung zu vermeiden.

Setzen Sie sich mit uns in Verbindung, um herauszufinden, welcher Service für Ihren Bedarf am besten geeignet ist.

Kontaktieren Sie uns um herauszufinden, wie wir Ihnen zu einem optimalen Schutz Ihrer business-kritischen SAP-Landschaft verhelfen können.

https://pages.pwc.ch/core-contact-page?form_id=7014I0000006v1SQAQ&lang=de&embed=true

Kontaktieren Sie uns

Urs Küderli

Urs Küderli

Partner and Leader Cybersecurity and Privacy, PwC Switzerland

Tel.: +41 58 792 42 21

Yan Borboën

Yan Borboën

Partner, Leader Digital Assurance and Cybersecurity & Privacy, PwC Switzerland

Tel.: +41 58 792 84 59