SAP installiert Justin Somaini als ersten Chief Security Officer

SAP hat die neu geschaffene Position des Chief Security Office (CSO) mit Justin Somaini besetzt. Wie der Walldorfer Softwarekonzern jetzt bekannt gab, füllt er diese Rolle bereits seit 1. Januar aus. Zu seinen Aufgaben zählt die Absicherung von SAPs eigenem Geschäftsbetrieb, aber auch die Umsetzung der Sicherheitsstrategie für die Software-Produkte des Unternehmens.

Justin Somaini ist SAPs erster Chief Security Officer (Bild via LinkedIn).Zuletzt war Somaini beim Cloudspeicheranbieter Box als Chief Trust Officer tätig. Davor hatte er verschiedene Management-Positionen bei Yahoo und Symantec inne. Somaini verfügt über mehr als 20 Jahre Erfahrung im IT-Sicherheitsbereich. Er ist auch als Blogger aktiv und tritt als Investor in der Sicherheitsbranche auf.

„Die neue Rolle des CSO bei SAP unterstreicht die Relevanz von Sicherheit in einer digital vernetzten Welt“, kommentiert Bernd Leukert, Vorstand für Products und Innovation bei SAP. „Mit der Ernennung von Justin Somaini konnten wir uns die Dienste eines Sicherheitsexperten sichern, dessen Wissen und Erfahrung nicht nur SAP sondern auch unseren Anwendern helfen wird.“

Somaini selbst sagte zu seiner Ernennung: „In der Vergangenheit hat IT-Sicherheit den Ruf gehabt, sehr kostspielig zu sein und dabei auch die alltäglichen Business-Prozesse zu behindern. Aber ich bin davon überzeugt, dass Sicherheit und Geschäft künftig Hand in Hand gehen werden – Hand in Hand gehen müssen. Schließlich wird Sicherheit der bestimmende Faktor in der Zukunft von Unternehmen werden.“

Da Hacker immer professioneller vorgehen, müssen Anwenderunternehmen aber auch Hersteller neben passiven Sicherungsmechanismen auch proaktiv Bedrohungen angehen und Sicherheitslücken schnellstmöglich schließen. Dafür hat SAP eine Strategie formuliert, die auf den drei Säulen Prevent, Detect und React fußt, also Verhindern, Entdecken und Reagieren.

So trifft der Anbieter nach eigenen Angaben bereits bei der Entwicklung neuer Produkte umfangreiche Sicherheitsvorkehrungen. Wie SAP-CIO Ingrid-Helen Arnold im Gespräch mit silicon.de erklärte, ist es aber nicht möglich, komplexe Lösungen wie eine Business-Suite, die über zahlreiche Schnittstellen verfügt, zu 100 Prozent gegen Angriffe abzusichern. Daher veröffentlicht auch SAP in regelmäßigen Abständen Advisories mit Sicherheitsupdates.

Für Anwender ist es wichtig, diese Sicherheitsinformationen auch umzusetzen, wie SAP an dieser Stelle noch einmal betont. In einem eigenen Bereich der SAP-HANA-Website stellt es beispielsweise Informationen zum sicheren Betrieb SAP-HANA-basierter Plattformen, Tipps für sichere Konfigurationen, Warnungen über mögliche Sicherheitsrisiken und auch Ratschläge bereit, wie sich diesen begegnen lässt. Über einen direkten Link können Anwender außerdem auf den Service Marketplace zugreifen, über den Patches und Updates zum Download angeboten werden.

Die Bekanntgabe von Somainis Rolle bei SAP fiel – vielleicht nicht ganz zufällig – mit der Veröffentlichung einer Studie des Ponemon Institute zu möglichen Angriffsrisiken bei SAP-Produkten zusammen. Bei der vom Sicherheitsanbieter Onapsis in Auftrag gegebenen Umfrage gaben 56 Prozent der befragten Unternehmen an, dass sie es für wahrscheinlich halten, aufgrund unsicherer SAP-Anwendungen Opfer eines Datenverlusts zu werden. Onapsis bietet Software zur Absicherung von SAP-Lösungen an.

Die Ponemon-Studie kommt zu dem Schluss, dass Führungskräfte das von SAP-Produkten ausgehende Risiko oft unterschäftzen und Schwierigkeiten haben, darauf zu reagieren. Von den 600 Befragten hätte keiner eine SAP-Schwachstelle sofort erkennen können. 54 Prozent sind der Ansicht, dass SAP für die Sicherheit seiner Applikationen sorgen müsse. Und 75 Prozent halten es für wahrscheinlich, dass SAP-Plattformen Malware enthalten.

Erst vor wenigen Wochen hatte SAP eine Lücke geschlossen, über die beispielsweise Ölförderanlagen angegriffen werden konnten. Ob dieses Leck tatsächlich ausgenutzt wurde, ist bislang nicht bekannt.

[mit Material von Martin Schindler, silicon.de, und Larry Dignan, ZDNet.com]