SAP: Ganzheitliches Sicherheits-Management. SAP hat als schnell wachsende, globale Unternehmensgruppe hohe Anforderungen an Prozesse mit steuerndem Charakter, zu denen das Sicherheits-Management durchaus zählt. Sie müssen sprunghaftem Wachstum und schwindenden Informationsgrenzen im Umfeld eines globalen Konzerns gerecht werden – eine enorme Herausforderung für das Sicherheits-Management, das die Autoren in ihrem zweiteiligen Beitrag vorstellen.

Rund 75.000 Rechner und 600 Millionen E-Mails pro Jahr stellen heute den IT-Bereich bei SAP vor Herausforderungen. In Support und Consulting werden Kundendaten höchster Sensibilität gehandhabt; die Softwareentwicklung als Kernbereich arbeitet mit der Zukunft der rund 37.000 Mitarbeiter. Die Zahl der Outsourcing-Partner steigt, mehrere tausend Partner bieten Leistungen für den Konzern oder seine Kunden an. Viele haben Mitarbeiter innerhalb der Gebäude des Unternehmens oder nutzen seine IT-Infrastruktur. Standorte in Indien, China oder Südamerika (er)wachsen beständig. Von einem ernstzunehmenden Perimeter um das Firmennetzwerk spricht heute bei SAP niemand mehr, eher von einem umfassenden "Ökosystem".

Nicht vergessen darf man Herausforderungen, welche durch die vielfach gelobte Unternehmenskultur entstehen: Offen, schlicht, flache Hierarchien, hohe Eigenverantwortung und Kommunikation ohne Grenzen bilden den Rahmen, der das Untenehmen zum Erfolg führte. Aus Sicht des Informationsschutzes gilt es, daraus resultierenden potentiellen Gefahren zu begegnen – und die Kultur zu schützen und zu nutzen.

Governance

Beim Stichwort Sicherheits-Management geht es um Planung, Steuerung und Kontrolle aller sicherheitsrelevanten Belange. Kein Wunder, dass jede Unternehmenskultur seine Ausprägung maßgeblich beeinflusst. Bei SAP will es nicht Aufpasser sein sondern Ratgeber, nicht zeigefingerhebender Mahner sondern geschäftspolitisch versiert abwägender Sachverständiger. Dazu gehört auch, hohe Eigenverantwortung in den Fachbereichen und Standorten zu belassen. Von zentraler Seite werden globale Definitionen und Kommunikationsrichtlinien vorgegeben.

Außerdem werden von hier programmatische Impulse und Beratungsleistungen im Bedarfsfall erwartet. Letztlich dienen zentrale Strukturen als finale Eskalationsstelle. Richtungsweisende Impulse liefert das "Security Steering Committee", das obersten Gremium in Sicherheitsfragen. Es definiert den übergeordneten Prozess zum Sicherheits-Management und ist Entscheidungsträger für die Festlegung aller grundlegenden Anforderungen, insbesondere der Security Policy. Außerdem bewilligt und überwacht es Schlüsselprojekte. 

Weitreichende Verantwortung übergab es an den CSO und seine Abteilung "Corporate Security". Der CSO ist für alle Sicherheitsbelange zuständig und berichtet direkt an den Vorstand. Gegenüber dem SSC fungiert er mit seinem Team als Berater, legt den aktuellen Sicherheitsstatus dar, schlägt Projekte vor und dient als primärer Kontakt bei Zwischenfällen und Krisen. Daraus entsteht aus Sicht des Unternehmens eine umfassende organisierende und strategische Ausrichtung der Abteilung. Das wird auch an der Vision deutlich, welche sie sich gab: „Bei SAP ist Sicherheit ein Bestandteil von allem, was wir tun." Der Leitspruch beschreibt die Aufgabe vollständig, beinhaltet allerdings keine konkrete Handlungsanweisung.

Die Aufgabe eines sich ausschließlich um Informationssicherheit kümmernden Ciso ist in die Rolle des CSO eingegliedert. Gleichwohl gibt es eine Abteilung innerhalb von SAP IT, welche sich mit Qualitäts- und Sicherheitsbelangen beschäftigt. Sie arbeitet eher operativ und taktisch.

Ähnlich sieht die Verteilung zum Gebäudeschutz und zur physischen Sicherheit aus. In der Walldorfer Zentrale, dem immer noch größten Standort, gibt es zur Behandlung hier angesiedelter Themen den Bereich "Security Engineering". Der Abgleich von Strategie und Bedarf, Anspruch und Umsetzung geschieht über mehrere virtuelle Teams. Zwei seitens Corporate Security organisierte Gruppen behandeln globale Themen: Zunächst ist ein Gremium zu nennen, in das Vertreter aus allen Geschäftsbereichen entsandt werden. Es befindet bspw. über Änderungen der Security Policy und hat Mitspracherecht bei strategischen Entscheidungen. Monatliche Treffen stellen die wichtigste Basis zum Informationsaustausch zwischen den Geschäftsbereichen dar.

Orthogonal ist eine dezentrale Struktur aus Vertretern der Standorte aufgebaut. In der Regel handelt es sich dabei um die lokal verantwortlichen "Security Officer". Die Rolle wird an großen Standorten hauptamtlich, an Kleineren von entsprechend ausgebildeten Mitarbeitern als Nebenaufgabe wahrgenommen. Die Aufgabe ist schnell erklärt und dennoch umfangreich: Sicherstellung der Umsetzung der Security Policy am jeweiligen Standort.

Die Mitglieder der Gremien stimmen sich regelmäßig in regionalen und globalen Treffen ab. Sie verbleiben in ihren jeweiligen Berichtslinien, die Gremienarbeit geschieht als Teil der Zielvereinbarung. Diese Kombination aus direkter und "dotted line"-Verantwortung hat sich aus Sicht des Sicherheits-Management bewährt. Sie verhindert, dass Strategien sich vom realen Bedarf verabschieden und fördert die operative Umsetzung. Ein gutes Beispiel für die Zusammenarbeit aller Gruppen liefert das Stichwort Zertifizierungen. SAP IT ist gemäß ISO/IEC 27001:2005 zertifiziert.

Security Management bei SAP

Das über Engagement Models initiierte Sicherstellen der führenden Fachkompetenz aller Beteiligten stellt den ersten Prozessteil zum Sicherheits- Management der SAP dar. Der nächste Schritt liegt in der Festlegung des Sicherheits- und Schutzbedarfs. Grundsätzlich erscheint es sinnvoll, über die gesamte Wertschöpfungskette des Unternehmens das gleiche Sicherheitsniveau zu fordern (Nicht umsonst etabliert sich das Schlagwort von der "Supply Chain Security"). Organisatorisch muss man dabei zwischen konzerninternen Vorgaben und Richtlinien für externe Dienstleistungspartner unterscheiden.

Mit Blick nach innen geschah die Festlegung grundlegender Sicherheitsanforderungen in Form einer global einheitlichen Security Policy. Auf ihren Inhalt soll an dieser Stelle nicht näher eingegangen werden. Als Grundlage bei der Erstellung der Policy dienten die üblichen Standards; Erweiterungen aufgrund der spezifischen SAP Geschäftsfelder wurden mit Vertretern der Unternehmensbereiche besprochen.

Erwähnenswert ist, dass die eigentliche "Security Policy" nur ein kurzes Dokument ist welches generische und strategische Ziele der Unternehmens-Sicherheit beschreibt. Sie stellt die Spitze eines Regelwerks aus Sicherheitsstandards und lokal gültigen Verfahren dar, das einen deutlich größeren Tiefgang hat. Trotzdem wird der gesamte Katalog umgangssprachlich als "Security Policy" bezeichnet.

So gut eine Security Policy innerhalb eines Unternehmens den Schutzbedarf zu definieren vermag, nach außen hat sie nur eingeschränkte Wirkung. In Zeiten neuer Outsourcing-Partner und immer tiefer verwobener Daten-Beziehungen müssen auch hier Spielregeln festgelegt werden. Idealerweise gehören sicherheitsrelevante Regeln in alle Partnerverträge, leider zeigt die Realität jedoch ein anderes Bild. Welcher Vertrag – z. B. über Marketing-Kampagnen – regelt Anforderungen an die Verfügbarkeit der Virenscanner des Service Providers? SAP löst diesen Anspruch durch "Security Service Level Agreements"(SSLA’s). Sie werden als Vertragsanhang an alle Partner gegeben, welche sensible Daten handhaben.

Das Sicherheits-Management hat weiterhin die Aufgabe der Ermittlung des Sicherheitsstatus. Dazu zählt auch – und das ist meist die schwerste Aufgabe- die geeignete Darstellung des aktuellen Status gegenüber dem Management. Sicherheitsberichte sollten sich nicht damit zufrieden geben anzuprangern, dass Virenscanner veraltet sind oder Türen zu oft unverschlossen bleiben. Vielmehr geht es darum Fragen zu beantworten wie die folgende:

• Wo gibt es nicht akzeptierbare Risiken auf Geschäftsprozesse? 
• Welche Maßnahmen müssen verbessert werden, damit die Risiken akzeptabel werden? 
• Unter der Prämisse eines fixen Budgets: An welchen Stellen setzte ich dies ein, um möglichst große Risikominderung zu erreichen? 
• Wie hoch ist das sicherheitsbezogene Risiko in €, wie entwickelte es sich zeitlich und welchen Trend kann man ablesen? 

Nun kann man schlecht den Administrator eines Virenscanners nach dem Einfluss seiner Arbeit auf den Vertriebsprozess befragen. Sehr wohl kann er aber die Wirksamkeit des Virenschutzes einschätzen. Genau hier setzt eine Methodik an, welche von SAP erfolgreich umgesetzt wurde. Sie zielt darauf ab, aus dem Status von Maßnahmen auf ein quantifizierbares Risiko für verschiedenste schützenswerte Güter zu schließen.

Dazu wird mit Hilfe bekannter Bedrohungen eine Liste "atomarer" Risiken erzeugt. Ein solches atomares Risiko sagt aus, wie hoch der voraussichtliche Verlust sein wird, weil eine Bedrohung in einem Land in einer Geschäftseinheit auf eine Klasse von Gütern wirkt. Güter sind nicht nur Gebäude und PCs, sondern z.B. auch Informationen, die Produktivität oder der Markenname; das höchstwertige Gut sind die Mitarbeiter.

Die Abbildung der atomaren Risiken umfasst bei SAP derzeit rund 90.000 Einträge. Interessant wird dieser Ansatz durch Betrachtung der Maßnamen, welche die atomaren Risiken vermindern. Dies sind Sicherheits-"Controls", deren Status regelmäßig von etwa einhundert Mitarbeitern abgefragt wird. Die Maßnahme Virenschutz vermindert also die Wirkung verschiedener virenartiger Bedrohungen. Diese wiederum haben Einfluss z. B. auf Daten und die Produktivität des Unternehmens. Den zweiten und abschließenden Teil dieses Beitrags lesen Sie in GIT-Sicherheit 7/2007.

KONTAKT

Prof. Dr. Sachar Paulus und Guido Wagner
Fachhochschule Brandenburg,
Brandenburg an der Havel
Fachbereich Wirtschaft/Studiengang
Security Management
Tel.: 03381/355226
stokarvo@fh-brandenburg.de
www.fh-brandenburg.de/fbw/security-management