Die Meinung der SAP-Community IT-Security Kolumne MAG 2002

Sicherheit für businesskritische Daten

It-Security
Geschrieben von Andreas Mayer, SEP

SAP-Anwendungen beinhalten businesskritische Daten und stellen häufig das Herz des Unternehmens dar. Backup und Recovery werden dabei beim Thema IT-Security völlig zu Unrecht oft vernachlässigt.

SAP-Applikationen werden vielfältig eingesetzt. Ein großes Augenmerk wird darauf gelegt, dass die SAP-Systeme auf die jeweiligen Bedürfnisse ideal angepasst und abgestimmt sind sowie optimal laufen.

High-Availability-Lösungen (HA) werden zudem häufig eingesetzt für einen unterbrechungsfreien Betrieb. Das ist aber nur die eine Seite. Die andere Seite: SAP-Anwendungen müssen auch zwingend gesichert werden, denn Fehlerquellen, die zu einem Desaster führen, sind vielseitig.

Logische Fehler, wie zum Beispiel Ransomware-Attacken, gibt es viele und dafür ist ein Backup unerlässlich. Problematisch ist es, dass oft HA-Lösungen wie Spiegelung etc. mit Backup-Lösungen verwechselt werden.

T-Systems

Der Irrtum, dass die sehr performante HA-Lösung, bei der zum Beispiel die Daten sofort auf ein zweites System gespiegelt werden, welches sich eventuell sogar noch in einer anderen Lokation befindet, eine Datensicherungslösung ersetzen kann, besteht häufig.

Es ist richtig, dass ausgefallene Systeme und Daten im Fehlerfall sofort auf einem zweiten System weiterbetrieben werden können. Dabei wird oft vergessen, dass dies nur bei physischen und nicht bei logischen Fehlern funktioniert. Bei Viren-, Malware- oder Ransomware-Angriffen wird der Schädling sofort auf das zweite System übertragen, die Daten sind dort korrupt und unbrauchbar.

Verschlüsselungstrojaner infizieren Dateisysteme ohne erkennbare Auswirkungen für den Benutzer und verschlüsseln die befallenen Daten erst nach Wochen auf einen Schlag. Für ein Recovery muss daher auf den Datenbestand vor dem Befall zurückgegriffen werden können.

Für die SAP-Anwendungen ist daher eine geeignete Backup-Lösung einzusetzen, die diverse Anforderungen erfüllen sollte. Sehr wichtig ist eine für SAP-Anwendungen zertifizierte Datensicherungslösung.

Nur eine von SAP zertifizierte Backup-Lösung ermöglicht es, dass jederzeit der SAP-Support genutzt werden kann und die businesskritischen Applikationen reibungslos funktionieren, gesichert und wiederhergestellt werden können.

Die SAP-­Backup-Lösung sollte idealerweise in die unternehmensweite Daten­sicherungslösung integriert sein, denn so ist alles aus einem Guss, einfach zu managen und weniger Trainingsaufwand erforderlich. Generell sollte die Backup-Lösung für eine Vielzahl an Plattformen, Applikationen und Datenbanken zertifiziert sein zur Abdeckung heterogener Umgebungen.

Dies gewährleistet, dass Sicherung und Wiederherstellung von virtuellen und physikalischen Umgebungen, Datenbanken und Anwendungen konsistent und gemäß den Vorgaben der Hersteller erfolgen. Idealerweise ist auch die Cloud-Nutzung zu unterstützen.

Die Datensicherungslösung ist dabei in eine Busi­ness-Continuity-Strategie einzubinden, welche auf granularen Recovery Point Objectives (RPOs) und Recovery Time Objectives (RTOs) basiert.

Dies ist essenziell für ein funktionierendes Disaster-­Recovery-Szenario. Es müssen SLAs (Service Level Agreements) definiert und in einem Disaster-Recovery-Plan festgehalten werden.

Die Backup-Lösung sollte zudem die technische Sicherheit zur Umsetzung von Compliance-Anforderungen wie DSGVO mitbringen, das heißt, die organisatorischen Anforderungen müssen auch durch technische Fea­tures umgesetzt werden können.

Sehr wichtig bei den aktuellen Sicherheitsdiskussionen und der Gefahr von Sicherheitslücken in Software ist, dass keine Backdoors darin sind. Hier empfehlen sich besonders deutsche oder europäische Lösungen.

Die Anforderungen sind vielseitig und die Liste der Gefahren ist lang und reicht von Stromausfall und Naturkatastrophen über logische Fehler bis hin zu unabsichtlicher oder gezielter Manipulation, die zum Beispiel durch Anwenderfehler, Sabotage, Ransomware oder Hacker-Angriffe verursacht sein kann. Backup ist häufig die letzte Instanz, um die Daten inklusive der wichtigen SAP-Umgebungen beziehungsweise das betroffene Unternehmen zu retten.

https://e-3.de/partners/sep-ag/

Über den Autor

Andreas Mayer, SEP

Andreas Mayer ist Senior Marketing Manager bei SEP.

Hinterlassen Sie einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.