SAP Cloud Security: Ist die SAP S/4HANA Cloud sicher?

Für so manches Unternehmen ist es ein grosser Schritt, den es nur zögerlich geht – der Umstieg in die Cloud. Denn nach einem solchen Wechsel liegen die eigenen Daten und die ERP-Software nicht mehr ausschliesslich ganz oder teilweise – wie dies lange üblich war – auf Servern im unternehmenseigenen Rechenzentrum vor Ort.

Stattdessen befinden sich die oft sensiblen Daten nun irgendwo in der Cloud der SAP.

• Aber wo genau ist dieses „irgendwo“ eigentlich?
• Wer hat Zugriff auf die Daten und Anwendungen?
• Und wie sicher sind die Rechenzentren der SAP, die Cloud-Netzwerkstruktur und Lösungen wie die SAP Business Technology Platform?

Beim Thema SAP Cloud Security geht es damit um mehrere Dimensionen: um den Standort der Rechenzentren der SAP und die physische Sicherheit der Daten und Anwendungen in den Rechenzentren, um den Schutz von Netzwerken und Systemen, um Compliance und Datenschutz, um Recovery- und Backup-Prozesse oder auch um die sichere Übertragung von Daten.

Unter dem Stichwort SAP Business Technology Platform Security fasst SAP – neben den Sicherheitslösungen für SAP S/4HANA Cloud – zudem alle Massnahmen zusammen, die die Sicherheit für den Bereich SAP Business Technology Platform (SAP BTP) betreffen. Dies betrifft die Sicherheit von Rechenzentren, aber auch den Datenschutz oder die Frage der Authentifizierung von Usern.

Die eigene IT: Anfällig für unberechtigte Zugriffe

Eine On-Premise-Lösung scheint vielen Unternehmen immer noch sicherer zu sein als eine Cloud-Lösung – schliesslich bleiben die Daten im eigenen Haus. Allerdings ist das eigene Haus mindestens ebenso anfällig für den Verlust der Daten und Datenspionage, Cybercrime oder technische Netzwerkprobleme.

Kaum ein Unternehmen kann seine eigene Infrastruktur – und damit die eigenen Daten – heute auf eine ähnliche Art und Weise sichern oder die Sicherheitsinfrastruktur so kostengünstig betreiben, dass die On-Premise-Lösung noch günstiger als die Cloud der SAP wäre.

Schliesslich ist es in puncto Sicherheit nicht mit dem Aufbau und der Einrichtung der Infrastruktur allein getan. Auch die Kosten für die Wartung, die Sicherheitsmassnahmen und die laufende Modernisierung von Systemen müssen Unternehmen mit einkalkulieren. Angesichts wachsender Bedrohungen ist der Aufwand immens.

Hier punktet die Cloud: Die SAP Cloud-Lösungen der SAP erfüllen nach Angaben von SAP bei der Sicherheit heute die strengsten Industriestandards. Das Niveau dürfte vielfach sogar deutlich höher sein als bei unternehmenseigenen Rechenzentren.

Hinzu kommt, dass viele Lösungen der SAP – etwa im Bereich Analytics, bei der Integration oder mit Blick auf neue Technologien wie AI oder Process Automation – über die SAP Business Technology Platform und damit als cloudbasierte Lösungen zur Verfügung stehen.

Jedes Unternehmen, das die im eigenen Rechenzentrum betriebene On-Premise-Lösung mit Hilfe der SAP Business Technology Platform erweitert, muss sich also spätestens zu diesem Zeitpunkt auch mit der Cloud-Sicherheit und der SAP Business Technology Platform Security befassen.

SAP Systeme sind streng gesichert und abgeschirmt

SAP verfügt derzeit weltweit über 88 Rechenzentren, in denen Cloud-Services betrieben werden – davon fünf in Deutschland. Es sind die Orte, an denen Daten von Unternehmen gespeichert werden. Damit ist die Cloud im Grunde ein sehr irdisches Unterfangen: eine Reihe von Servern in einem Rechenzentrum.

Der Schutz der Daten vor Datendiebstahl oder anderen Attacken von Hackern beginnt damit zunächst einmal mit physischen Massnahmen.

Zum Standard der Security bei SAP gehören Hochsicherheitszäune, Video- und Sensorüberwachung, geschultes Sicherheitspersonal und strenge Zugangsbeschränkungen, meist sogar biometrische Zugangskontrollen. Jeder, der ein solches Rechenzentrum von SAP betreten möchte, muss sich in der Regel mehrfach legitimieren.

Doppelte Datenspeicherung

Die Rechenzentren sind aber nicht nur gegen ein unbefugtes Betreten geschützt, sondern auch gegen Feuer, Stromausfall oder Hardwaredefekte. Um einen stabilen Betrieb der IT und der Anwendungen sicherzustellen, verfügen sie unter anderem über eine eigene und unterbrechungsfreie Stromversorgung.

In den Rechenzentren werden zudem – im Rahmen von Backup- und Recovery-Prozessen – regelmässig und automatisch Datensicherungen durchgeführt. Ein spezielles Speichersystem sichert die Daten und Logfiles dabei stets redundant. Zudem werden die Daten jedes Kunden in den Rechenzentren generell von den Daten anderer Kunden isoliert, also getrennt voneinander abgespeichert.

Darüber hinaus erfolgen eine Kontrolle des Kundendatenflusses und eine entsprechende regionale Datenspeicherung, zum Beispiel in der EU oder den USA. Die strengen europäischen Gesetze und Vorschriften zum Datenschutz und zur Privatsphäre werden strikt eingehalten.

Die Daten eines Unternehmens sollen nur in einer Cloud in Deutschland gespeichert werden? Unternehmen können wählen und vertraglich festlegen, in welchem Rechenzentrum der SAP ihre Daten verarbeitet und gesichert werden sollen.

Unabhängige Prüfung der SAP Cloud Security

Im Bereich der externen Prüfung und Zertifizierung erfüllt SAP heute verschiedenste Branchenstandards und Compliance-Anforderungen.

So lässt SAP alle Richtlinien und Massnahmen im Bereich Security und Datenschutz regelmässig von unabhängiger Seite prüfen. Die Sicherheitsmassnahmen werden dann entsprechend zertifiziert und bestätigt, zum Beispiel durch ISO-Zertifizierungen oder Belege nach SOC1 Type II und SOC2 Type II.

Darüber hinaus hat die British Standards Institution (BSI) die Prozesse der SAP in Bezug auf den Datenschutz und den Schutz der Privatsphäre zertifiziert. Die Zertifizierung belegt, dass SAP die geltenden und strengen Anforderungen der General Data Protection Regulation (GDPR) in der EU erfüllt.

Mehrfach gesichert – die SAP Netzwerke

Eine massgebliche Rolle spielt auch das Thema Netzwerksicherheit, wenn es um die SAP Cloud Security, die SAP Business Technology Platform Security und den Schutz der Daten geht. Die Netzwerke der SAP sind dabei so aufwendig geschützt, dass Eindringlinge sich keinen unbefugten Zugang verschaffen können.

Die Daten und die Software in der Cloud sind dazu von mehreren „Schichten“ aus Zugangskontrollen, Überwachungsfunktionen und Firewalls umgeben, die ständig aktiv sind. Für das höchstmögliche Schutzniveau – zum Beispiel gegenüber einem illegalen Zugriff – sorgen hier bei SAP unter anderem:

• eine Web Dispatcher Farm (die das Netzwerk vor der Aussenwelt verbirgt),
• Multi-Faktor-Authentifizierungen (mehrstufige Verfahren zur Identifizierung von Nutzern),
• ein Intrusion Detection System (das das Netzwerk laufend auf Angriffe und widerrechtliche Zugriffe überprüft),
• mehrere Internetverbindungen (die die Auswirkungen von verteilten Netzwerkangriffen minimieren) und
• Proxy-Server mit einer Inhaltsfilterung (zwischengeschaltete Rechner als Kommunikationsschnittstelle).

Beim Datenverkehr selbst setzt SAP auf die Verschlüsselungstechnologie HTTPS. Diese Standardkomponente aktueller Webbrowser und Clients verhindert, dass Unbefugte den Netzwerkverkehr abfangen können.

Auch der laufende Betrieb der SAP S/4HANA Cloud wird permanent gesichert und überwacht, zum Beispiel durch ein entsprechendes Virenschutz- und Malware-Management.

Zu den Massnahmen der SAP im Bereich Sicherheit gehört darüber hinaus ein umfassendes Bedrohungs- und Schwachstellenmanagement. Es umfasst zum Beispiel ein Security Patch Management oder das automatische Scannen der Systeme auf Schwachstellen.

Verdächtiges Verhalten im Blick des Security Monitoring Center

Hinzu kommen regelmässige Penetrationstests (Sicherheitstests, die auf den Werkzeugen und Methoden von Angreifern beruhen und damit unbefugte Zugriffe verhindern helfen) und ein rund um die Uhr besetztes Security Monitoring Center.

Das Security Monitoring Center – ein Team aus Sicherheitsexperten der SAP – bewertet und analysiert laufend alle Aktivitäten im zentralen Protokollsystem. Beobachten die Fachleute ein verdächtiges Verhalten, alarmieren sie sofort eine spezielle Task-Force, die entsprechende Verteidigungsmassnahmen einleitet, etwa durch das Sperren von Zugängen von angreifenden Benutzern.

Weitere Informationen im SAP Trust Center

Im SAP Trust Center hat SAP alle Informationen zur SAP Cloud Security zusammengestellt: von den verschiedenen Massnahmen zu Datenschutz und Datensicherheit bis zu Compliance, Audits und Kontrollen sowie der Verfügbarkeit der weltweiten Cloud-Services (und möglicher Ausfälle).