Wie eine gute Versicherung

SAP Enterprise Threat Detection (ETD)

Das Thema Security ist so alt wie die Geschichte der IT. Mittlerweile werden die Attacken und Angriffe immer ausgefeilter und durchdachter – unabhängig davon, ob Stadtverwaltungen, Krankenhäuser, Automobilzulieferer oder Lottogesellschaften die Opfer sind.

Auf Seiten der Security-Lösungsanbieter sind ebenfalls viele Expert:innen mit Leidenschaft und Know-how bei der Sache, um Systeme und Anwender:innen zu schützen. Eine davon ist Jessica Rod, SAP Security Consultant bei der OEDIV Oetker Daten- und Informationsverarbeitung KG.

Lassen wir die Frage nach dem „Wie?“ hinter uns, die nach dem „Wann?“ ebenfalls. Fakt ist, jeden Tag werden Hunderte, wenn nicht gar Tausende Unternehmen von Cyber-Kriminellen angegriffen – mal mehr, mal weniger erfolgreich. Um dem Problem auf der technologischen Seite Herr zu werden, existieren die unterschiedlichsten Lösungen. Und kein „Funfact“, sondern eher ein „Sadfact“: Genau diese Lösungen setzen die wenigsten Unternehmen tatsächlich ein. Sei es aus Ressourcen- oder Zeitmangel, oder weil man sich für unverletzbar hält: Tür und Tor sind oft weit geöffnet für Cyber-Kriminelle.

Aktuelle Situation begünstigt Attacken

Vor allem der überall herrschende Fachkräftemangel lässt die Herzen der Cyber-Gangster :innen höherschlagen. Warum das so ist, erklärt Jessica Rod, Security-Expertin bei OEDIV: „SAP-Expert:innen sind Mangelware, solche mit Security-Hintergrund sowieso. Den Hacker:innen ist das natürlich herzlich egal, ob ein Unternehmen gerade kein Personal oder kein Geld für den Cyber-Schutz hat. Wer seine Systeme und Anwendungen schützen will und vor allem auch regulatorische Anforderungen wie die EU-Sicherheitsrichtlinie EU NIS2 umsetzen muss, sollte sich noch heute mit Lösungen wie z. B. SAP Enterprise Threat Detection (ETD) beschäftigen.“

Vorbereitung ist alles

Kommt es zu einer Attacke, entstehen unter Umständen immense Schäden und zusätzliche Kosten für Unternehmen. „Das will niemand erleben, und dennoch: Wenn ich bei Vorträgen oder Events frage, ob Unternehmen hierfür aufgestellt sind, gehen einige Hände hoch. Frage ich konkreter nach, sind am Ende vielleicht noch zehn Hände oben. Das sind dann die Unternehmen, die wirklich gut vorbereitet sind“, berichtet Jessica Rod.

Mögliche Gründe für die Versäumnisse sieht sie zum einen darin, dass in der Presse selten ausführlich über Vorkommnisse wie interne Bedrohungsszenarien („Insider-Threats“) berichtet wird. Zum anderen wollen sich nur wenige Unternehmen eingestehen, dass ein großer „Feind“ auch von innen kommen kann: der oder die eigene Mitarbeitende. „Hier setzen wir bei OEDIV an. Wir nehmen den Kunden mit unserem ETD-Service genau diese Überwachungsarbeit ab. Und wir rufen nachts wirklich nur an, wenn tatsächlich eine Entscheidung getroffen werden muss, was bisher wirklich nur einige wenige Male pro Kunde passiert ist“, sagt die Security-Spezialistin. Sie ergänzt: „Wir sind wie eine gute Versicherung: Solange man nichts von uns hört, sind alle glücklich. Es gibt vieles, was wir als Provider direkt erledigen können: User:innen sperren, Sessions blocken, Transparenz erzeugen, um auffälliges Verhalten von der ersten Sekunde an identifizieren und im Blick behalten zu können.“

Alarmanlage mit Auswirkungen

Während man von den einen – hier den OEDIV-Security-Spezialist:innen – nichts hört, sieht man die anderen meist gar nicht: „Angreifer:innen sind oftmals schon um die 300 Tage unerkannt im System unterwegs, bevor der richtig große Angriff stattfindet1. Sie laden Informationen herunter, verschaffen sich höhere Berechtigungen, manipulieren Daten“, erklärt Jessica Rod und empfiehlt: „Es lohnt sich immer, rechtzeitig in den Schutz der Systeme mit funktionierenden ‚Alarmanlagen‘ zu investieren. Mit SAP ETD können mit auf Kundenbedarfe individuell zugeschnittene Use-Cases angeboten werden, wie z. B. kritische Reports, Tabellen und User des Kunden, und treten nicht erst auf den Plan, wenn die Monitore schwarz werden.“

Wir sind wie eine gute Versicherung: Solange man nichts von uns hört, sind alle glücklich.

Jessica Rod

SAP Security Consultant bei der OEDIV Oetker Daten- und Informationsverarbeitung KG

ETD in der Praxis

Entscheidet sich ein Unternehmen für den Einsatz von ETD, startet das Projekt mit einem Security-Workshop, der die Ist-Situation beleuchtet. Nach dem Customizing beginnt der Betrieb – meist mit einer sogenannten Hypercare-Phase. Monitoring, Analyse und Gegenmaßnahmen liegen dann in den Händen der verantwortlichen Expert:innen. „In der Hypercare-Phase hatten wir auch schon Fälle, wo über das Wochenende bis zu 400 Meldungen eingegangen sind“, berichtet Jessica Rod. „Hier ist dann Fingerspitzengefühl gefragt, und die Meldungen müssen individuell betrachtet werden, denn SAP gibt nur Empfehlungen. Wenn wir aber noch einmal genauer hingucken, entdecken wir oft Prozesse, die beim Kunden ganz normal sind, wie z. B. die Aktivitäten eines/r User:in über zwei Clients. In diesem konkreten Fall erfolgte die eine Aktivität über den WebDispatcher, die andere wie gewohnt über den lokalen Client. Hat man das erst einmal erkannt und entsprechend eingestellt – Stichwort Ausnahmeliste –, sind die Meldungen im niedrigen zweitstelligen Bereich angesiedelt und werden zeitnah bearbeitet.“

Ein Center voller Profis

Ein Vorteil des von Jessica Rod mitentwickelten ETD-Offering ist das zugrunde liegende Security Operation Center (SOC). „Dessen Vorzüge sind schnell erklärt: Die Büchse der Pandora zu öffnen, bringt wenig, wenn sich niemand um die Meldungen kümmert“, erklärt sie. Über 20 Mitarbeitende sorgen in Bielefeld dafür, dass der 24/7-Support zuverlässig ausgeführt wird. Im Notfall wird natürlich zuerst der Customer-first-Contact informiert, der vertraglich festgelegte Kundenkontakt, der vorrangig über das aktuelle Geschehen in Kenntnis gesetzt werden soll. Über 100 Use-Cases existieren bereits in einer On-Premises-Version, und deren Anzahl wächst stetig weiter. „Sei es, wenn sich ein:e User:in von zwei unterschiedlichen Terminal-Clients anmeldet oder das Passwort vom Standard-User verändert wird: Wir haben solche Aktionen ganz genau im Blick und reagieren unverzüglich mit Gegenmaßnahmen“, sagt Jessica Rod.

Live ist der ETD-Service bei OEDIV seit März 2023, die Entwicklung nahm etwa ein Jahr in Anspruch. Dass die Reise weitergeht, dessen ist sich Jessica Rod sicher. Auch ihr Team wächst stetig und im Zuge des allgegenwärtigen Hypes um Künstliche Intelligenz (KI) und deren mannigfache Einsatzmöglichkeiten kommen regelmäßig weitere Service-Ideen zum bestehenden Offering dazu.

Bildnachweis: OEDIV – Oetker Daten und Informationsverarbeitung KG, Shutterstock