SAP Cloud Security Excellence. SAP Cloud Security Excellence. Ein Strategiepapier erstellt im Auftrag von TREND MICRO Deutschland GmbH

Transkript

1 SAP Cloud Security Excellence Ein Strategiepapier erstellt im Auftrag von TREND MICRO Deutschland GmbH Januar 2014

2 Executive Summary Durch die zunehmende Vernetzung und Digitalisierung der Geschäftsprozesse verändert sich der Charakter der IT- und insbesondere der SAP-Landschaften vom geschlossenen System hin zu hybriden IT-Umgebungen. Diese Veränderungen bringen gänzlich neue Bedrohungsszenarien mit sich, auf die Anwenderunternehmen im Rahmen Ihrer Security-Strategie reagieren müssen. Nicht nur Großunternehmen, sondern auch der Mittelstand gerät immer stärker ins Visier von Cyberkriminellen. Gleichzeitig werden die Angriffe ausgeklügelter und betreffen immer häufiger auch die Produktions- und Logistiksysteme (High-Level-Incidents) von Unternehmen. Ein integriertes Security Management für SAP-Umgebungen, das Firewall, Intrusion Detection und Schutz vor Malware mit einem einheitlichen Reporting kombiniert, wird zukünftig immer wichtiger. SAP stärkt derzeit den Schutz seiner Anwender durch die Integration und Zertifizierung von Security-Lösungen für die SAP Netweaver-Plattform. So bietet die Version 2.0 der SAP Viren-Scan-Schnittstelle (VSI) die Möglichkeit, umfangreiche Security Services für SAP-Umgebungen bereitzustellen und einheitlich zu administrieren. Trend Micro zählt mit der Deep Security-Produktfamilie zu den ersten zertifizierten Anbietern, die SAP-Anwendern auf Linux-basierten IT- und Cloud-Umgebungen diesen integrierten Schutz bereitstellen können. Crisp Research

3 Inhaltsverzeichnis 3 SAP Cloud Security Design 5 SAP-Betrieb SAP Security in der Cloud 10 SAP Cloud Security Design 12 SAP und Trend Micro 13 SAP Security 14 Ausblick 15 Über Trend Micro 16 Autoren 17 Über CRISP Research 18 Copyright Crisp Research

4 SAP Cloud Security Design: Strategien, Konzepte & Services SAP-Systeme be finden sich im Wandel von isolierten Um gebungen hin zu vernetzten Plattformen Dietmar Lummitsch Leiter IT-Prozesse und -Systeme, Jungheinrich AG SAP Systeme sind in vielen großen und mittelständischen Unternehmen das informationstechnische Rückgrat der Unternehmensprozesse. Egal ob Finanz- und Rechnungswesen, Lieferantenmanagement oder Produktionssteuerung die Daten der SAP Systeme sind hochsensibel und somit unternehmenskritisch und bedürfen daher eines besonderen Schutzes. Diesen Schutz zu garantieren stellte sich für viele IT-Leiter bislang als weitgehend einfach dar, waren die SAP Systeme doch im Back-End der Unternehmens-IT versteckt und nur bedingt mit der Außenwelt vernetzt. Doch der Wandel hin zu komplett digitalisierten Kundenbeziehungen und Geschäftsprozessen, verlangt eine viel stärkere Öffnung und Vernetzung der SAP Systeme mit einer großen Vielfalt Cloud-basierter und mobiler Anwendungen. Um Kunden und Partnern eine optimale Digital Customer Experience zu bieten, werden viele Geschäftsprozesse mittlerweile als leichtgewichtige, nutzerfreundliche Apps bzw. Cloud Services zur Verfügung gestellt, die nicht nur an Terminals und PCs auf dem abgesicherten Firmengelände, sondern überall per Tablet, Notebook und Smartphone genutzt werden. Der Zugriff auf kritische SAP-Unternehmensdaten erfolgt somit nicht mehr nur in kontrollierbaren Umgebungen und bietet damit deutlich mehr Angriffsfläche als in den vergangenen Jahren. Denn Vernetzungs- und Verletzungsgrad liegen in der schönen neuen Cloud-Welt eng beieinander. Der Betrieb von SAP-basierten Anwendungen wird zukünftig ein deutlich größeres Risk Exposure aufweisen. Auch SAP selbst vollzieht seit über 2 Jahren einen ernsthaften Wandel und macht seine Technologieplattformen und Software-Lösungen cloud-ready, um seinen Kunden technologisch den Weg ins Digital Business zu ebnen. So wurden nicht nur neue Cloud-Plattformen (z.b. SAP HANA Cloud) und eine Vielzahl von On-Demand-Diensten (z.b. Financials, HCM) entwickelt, sondern das SAP-Portfolio über eine Reihe von Akquisitionen deutlich erweitert (Success- Factors, Hybris, Ariba). Die neuen Cloud-Lösungen werden Crisp Research

5 nun im Rahmen einer großangelegten Integrations-Offensive mit den SAP-Kerntechnologien verbunden. Am Ende der Reise entstehen hybride SAP-Architekturen, die aus einer Vielzahl an flexibel kombinierbaren Lösungen und Betriebskonzepten bestehen von On-Premise-Infrastrukturen bis hin zu Public Cloud Diensten. BEISPIEL Zunehmende Komplexität hybrider SAP Cloud Strukturen HIGH QUELLE: CRISP Research crisp-research.com Websites ecommerce, Social Commerce Mobile Commerce, Couponing NUMBER OF APPLICATIONS Customer Support Portal Database ERP Procurement Online-Marketing Mobile Services Social Media Mobile Campaigning Intranet HR-Applications CRM Customer Engagement & Customer Loyalty Sales Force Automation LOW (Managed) PRIVATE CLOUD MANAGED CLOUD SaaS, PUBLIC CLOUD INTERNAL TYPE OF ACCESS EXTERNAL Doch die neu gewonnene Flexibilität und Vielfalt in Entwicklung, Bereitstellung und Betrieb der SAP-basierten Anwendungen hat eine Kehrseite einen deutlich höheren Komplexitätsgrad. Dieser erschwert die Absicherung der mobilen und virtualisierten Anwendungen und macht das klassische Security Management zu einer schwierigen und kostspieligen Aufgabe. Ohne die Automation und Virtualisierung des Security Managements werden sich komplexe SAP-Umgebungen zukünftig nur schwer absichern lassen. Crisp Research

6 SAP-Betrieb 2014 Neue Modelle und Strategien Der Betrieb von SAP Systemen hat sich in den letzten 24 Monaten deutlich gewandelt. Gleiches gilt für Entwicklung und Testing neuer SAP Anwendungen. Folgende Trends spielen auch in den kommenden Jahren eine zentrale Rolle: 01. Unix-Linux-Migration 02. Virtualisierung 03. Cloud Computing 01. Unix-Linux-Migration Auch wenn viele Anwenderunternehmen in den letzten 5 Jahren schon einen großen Teil ihrer ehemals auf RISC/ Itanium-Architekturen betriebenen SAP Systeme migriert haben, ist der Wechsel auf Linux-Systeme immer noch ein wichtiges Thema. So entfallen auch in 2014 noch mehr als 15% der OS-Budgets auf Unix. Im Vergleich zu Linux und Microsoft wird Unix, trotz einiger technischer Vorteile, zu einer Kostenfalle. Die Administrations- und Maintenance-Kosten werden sich mittel- und langfristig wohl nur noch schwer rechtfertigen lassen. Crisp Research geht davon aus, dass rund 25% der heutigen installierten Basis an Unix-Systemen binnen 24 Monaten im Rahmen von Konsolidierungsprojekten verschwinden bzw. auf Linux und Microsoft Windows portiert werden. Andererseits müssen sich die verbleibenden Unix-Anwender fragen, wie sie zukünftig für ein integriertes Sicherheitsmanagement ihrer SAP-Landschaften sorgen wollen. 02. Virtualisierung Zudem verstärkt sich der Trend zur Virtualisierung der Server-, Storage- und Netzwerk-Infrastrukturen, die zum Betrieb von SAP Systemen eingesetzt werden. Nach Einschätzung von Crisp Research werden in Deutschland erst rund 45% der SAP-Systeme auf virtualisierten Infrastrukturen betrieben. Dies bietet entsprechend Luft nach oben. Gerade mittelständische Unternehmen stehen vielfach noch vor dem Generationswechsel auf virtualisierte Infrastrukturen bzw. Cloud-Plattformen. Crisp Research

7 Derzeit wird allerdings von vielen IT-Entscheidern der Aufwand und die Komplexität des Sicherheitsmanagements im Hinblick auf die Administration der virtuellen Maschinen (VM) bzw. Maschinen-Pools unterschätzt. So erfolgen Sicherheits-Updates und Patches häufig noch per Hand pro einzelne VM und können nur unzureichend automatisiert werden. Dies birgt nicht nur Sicherheits- und Compliance-Risiken, sondern kann die TCO einer virtualisierten Betriebsumgebung nachhaltig negativ beeinflussen. Der Trend zum Cloud Computing erfordert ein angepasstes Security- Management der SAP-Systeme Dietmar Lummitsch Leiter IT-Prozesse und -Systeme, Jungheinrich AG 03. Cloud Computing Das Zauberwort der letzten Jahre hat auch vor dem Betrieb von SAP Systemen nicht Halt gemacht, auch wenn diese unternehmenskritischen Workloads sicherlich zu den Nachzüglern beim großen Cloud-Hype zählen und das zu Recht. Denn die Anforderungen hinsichtlich Verfügbarkeit, Stabilität, Skalierbarkeit und Sicherheit konnten lange Zeit nicht vollständig sichergestellt werden. Mittlerweile existiert aber eine Vielzahl an Service Providern, die den Anwendern entsprechende Cloud-Umgebungen im Managed-, Managed Private oder hybriden Betriebskonzepten bereitstellen und auch flexibel abrechnen können. Dies wird seitens der Anwender geschätzt und Crisp Research geht davon aus, dass in 2014 rund 35% des Vertragsvolumens im SAP-Hosting in Deutschland auf entsprechend flexible Cloud-Modelle entfallen wird. ÜBERSICHT Cloud-Betriebskonzepte MANANGED CLOUD/ CLOUD HOSTING Managed Service, Shared Infrastructure bei Provider, Enterprise-grade SLA MANANGED PRIVATE CLOUD Managed Service, Dedicated Infrastructure bei Provider, Enterprise-grade SLA HYBRID CLOUD PUBLIC CLOUD Self Service, Un-managed, Shared Infrastructure bei Provider, Pay-as-you-go, standartisierte SLA PRIVATE CLOUD Aufbau und Betrieb von individueller Cloud-Infrastruktur im eigenen RZ bzw. Colocation QUELLE: CRISP Research crisp-research.com Crisp Research

8 Hinzu kommt, dass die Unternehmen für an ihr SAP angedockte Webapplikationen, wie z.b. ecommerce-shops, mobile Apps oder Portale, auch Public Cloud-Plattformen wie Amazon AWS nutzen. Der Betrieb von SAP Systemen differenziert sich immer weiter aus. Es entstehen neue Betriebsoptionen, die zudem miteinander kombiniert werden können. Die Entwicklung und das Testing neuer SAP Anwendungen erfolgt mittlerweile - zumindest in Teilen - auf sogenannten IaaS- bzw. PaaS-Plattformen. So werden beispielsweise Rechenressourcen auf der Amazon AWS-Plattform genutzt, die nach Verbrauch abgerechnet und in Kürze provisioniert und de-provisioniert werden können. Daher ist es essentiell, das interne Security Management auf diese neuen Betriebs- und Development-Modelle abzustimmen und anzupassen. Crisp Research

9 SAP Security in der Cloud Risiken und Angriffsvektoren Es muss festgestellt werden, dass sich die Bedrohungslage für viele mittelständische und große Unternehmen in Deutschland innerhalb der letzten 24 Monate wiederum deutlich verändert hat. Rekrutierte sich die Mehrheit der Angriffe auf Firmennetzwerke bis vor kurzem noch hauptsächlich aus dem Umfeld passionierter Hacker ohne Hintergrund in der organisierten Kriminalität, so scheint sich das Verhältnis derzeit umzukehren. Das größte Wachstum verzeichnen derzeit gezielte Angriffe von Cyberkriminellen. Die Attraktivität bzw. die Verwundbarkeit der Ziele (Unternehmen, Behörden etc.) sowie die einfache Verfügbarkeit von Schad- und Spähsoftware machen es den Kriminellen leicht, aus ihren Angriffen Profit zu schlagen. Der Kapitaleinsatz und die notwendige IT-Infrastruktur sind gemessen am potenziellen Gewinn überschaubar. Der florierende illegale Handel mit geklauten Nutzerdaten, Kreditkartennummern oder Patentinformationen im Internet steigert die Attraktivität für derartigen Cyber-Raub weiter. Klar ist, dass die Gefahr ins Visier von Cyberkriminellen zu geraten, nicht mehr nur Internet-Firmen und DAX-Konzerne betrifft. Auch immer mehr mittelständische Unternehmen werden zum Ziel ausgeklügelter Attacken, die neben den IT-Netzwerken auch die Produktions- und Logistiksysteme ( High-Le- TYPOLOGY of Attacks on Enterprise-IT Multi-Vector TOMORROW ATTACK VECTOR TODAY Single-Vector LOW LEVEL OF INCIDENCE HIGH QUELLE: CRISP Research crisp-research.com Crisp Research

10 vel Incidents ) betreffen. Nach Einschätzungen von Crisp Research vollzieht sich somit nicht nur ein Wandel von Low-Level zu den High Level Incidents. Auch nutzen die Angreifer nicht mehr nur singuläre Angriffswege, sondern kombinieren verschiedene Technologien und Taktiken zu sogenannten Multi-Vektor -Angriffen. So werden beispielsweise DDoS-Attacken mit SQL-Injections kombiniert. Hinzu kommt das zielgerichtete Ausspähen der Opfer und die Ausnutzung des bislang schwächsten Glieds der Kette dem Faktor Mensch. So werden selbst erfahrenen Anwendern über Social Engineering-Verfahren Nutzerdaten und Passwörter entlockt. Nicht nur die Anzahl, sondern auch die Re levanz der Angriffe auf die IT-Netze ist sprunghaft gestiegen Neben zielgerichteten Angriffen spielen aber auch die standardisierten Angriffe über Malware immer noch eine große Rolle. Durch die Consumerization der IT und die weit verbreitete Nutzung von Social Media, werden nicht nur Content und Wissen, sondern vielfach auch Schad-Software und Spähprogramme mit Kollegen und Unternehmenspartnern geteilt. Da Anwender gerade bei Dokumenten und Dateien aus dem firmeneigenen SAP System ein hohes Vertrauen in die Integrität der Daten haben, können sich hier Viren und Malware sehr schnell verbreiten. Durch den mobilen Zugriff auf SAP Datenbestände entstehen in vielen Unternehmen weitere Sicherheitsrisiken.Denn nur wenn gewährleistet ist, dass keine schadhaften Apps oder Man-in-the-Middle -Attacken auf dem mobilen Endgerät ausgeführt werden können, lassen sich ungerechtfertigte Zugriffe auf die Unternehmensdaten garantieren. Abschließend muss konstatiert werden, dass die neue mobile Cloud-Welt deutliche Vorteile für den Nutzer darstellt und sich über die Integration von SAP Systemen mit den mobilen Anwendungen eine neue Flexibilität erreichen lässt. Diese korrespondiert allerdings mit einem gleichgroßen Sicherheitsrisiko Vernetzungsgrad ist auch hier gleich Verletzungsgrad. Da SAP Systeme die Lebensader vieler Unternehmen sind, stellen diese auch eines der primären Ziele für Cyberkriminelle dar. Die Absicherung der SAP Systeme kommt in Zeiten cloud-basierter Betriebskonzepte höchste Aufmerksamkeit zu. Crisp Research

11 SAP Cloud Security Design Strategien, Konzepte & Services Um komplexe virtualisierte bzw. cloud-basierte SAP Systeme sicher und gemäß den unternehmenseigenen Compliance-Regeln zu betreiben, sind verschiedene Strategien, Konzepte und Security Services nötig. Die wichtigsten Aspekte einer einheitlichen und effizienten SAP Cloud Security Policy sind aus Perspektive von Crisp Research folgende: 01. Analyse und Priorisierung 02. Abdeckung aller Betriebskonzepte 03. Integration verschiedener Security-Services 04. Automation des Security Management 01. Analyse und Priorisierung Um den Bedrohungen von morgen zu begegnen, müssen Unternehmen in erster Linie mehr in die Analyse ihrer unternehmensindividuellen Sicherheitssituation investieren. Vielfach werden Sicherheitsstrategien nach standardisierten Verfahren und entlang bestimmter Produktbereiche (Firewall, Content Security, Virenschutz etc.) entworfen und implementiert. Dies wird in Zeiten zielgerichteter Angriffe auf einzelne Branchen und Unternehmen den potenziellen Bedrohungen nicht gerecht. Zudem müssen sich Unternehmen von dem Gedanken verabschieden über mehrere Jahre hinweg ohne jegliche Vorfälle davon zu kommen. Daher ist es essentiell eine klare Priorisierung der zu schützenden Applikationen, Daten oder Nutzergruppen durchzuführen und die zur Verfügung stehenden Skills und Budgets entsprechend einzusetzen. Den SAP Systemen sollte ein entsprechend hohes Schutzniveau zukommen, da sie einerseits die wertvollsten Daten des Unternehmens und andererseits neue Angriffsflächen durch die stärkere Vernetzung bieten (vgl. oben). Crisp Research

12 02. Abdeckung aller Betriebskonzepte ( Hybrid Security ) Da SAP Systeme heute und zukünftig nicht mehr nur auf einem zentralen System im eigenen Rechenzentrum betrieben werden, muss der Schutz der Systeme einheitlich über alle physischen, virtuellen und cloud-basierten Infrastrukturen hinweg gewährleistet sein. Dies gilt für die eigens betriebenen und administrierten Systeme sowie gleichwohl die ausgelagerten oder angeschlossenen Plattformen von Cloud Service Providern oder Hosting Partnern. Entwickeln sich die Betriebskonzepte hin zu hybriden Szenarien müssen auch die Security-Lösungen hybrid ausgelegt sein und dürfen nicht an den Grenzen einer Plattform oder Architektur halt machen. Nur mit einem einheitlichen, integrierten Management-Ansatz werden einzelne Security- Services zu einem umfassenden Schutz 03. Integration verschiedener Security Services Um die SAP Systeme umfassend zu schützen gilt es zudem, die verschiedenen Security Services in einem einheitlichen Ansatz zu managen. Nun wenn die Lösungen die beispielsweise gegen Denial-of-Service-Attacken, Cross-Site-Scripting, SQL-Injections oder Malware schützen sollen, aufeinander abgestimmt sind, lassen sich kombinierte bzw. Multi-Vektor -Angriffe erfolgreich abwehren. 04. Automation des Security Managements Ein weiterer wichtiger Aspekt ist die Automatisierung der Sicherheitsprozesse. Und hier gibt es in vielen Unternehmen noch einiges zu tun. Denn bislang lassen sich z.b. die Updates der Firewalls auf den einzelnen VM nur in den wenigsten Fällen automatisiert durchführen. Das manuelle Updaten und Patchen von einzelnen VMs oder VM-Pools kann nicht nur zu Sicherheitsrisiken führen, sondern erhöht den Administrationsaufwand für die virtualisierten Betriebsumgebungen der SAP Systeme deutlich. Die Absicherung virtualisierter Umgebungen kann nur bei automatisierten Security Prozessen garantiert werden. Gerade wenn VMs im Rahmen komplexer Cloud-Umgebungen von einer auf die andere Plattform verschoben werden, kommt es in der Praxis häufig dazu, dass die VMs nicht auf dem aktuellen Sicherheitsstand sind. Crisp Research

13 SAP und Trend Micro Partnerschaft schafft Sicherheit Um die Sicherheit und Integrität von kritischen Unternehmensdaten seinen Kunden zu gewährleisten und seine Technologie-Plattformen und Software-Lösungen zu schützen, setzt SAP seit vielen Jahren auf enge Partnerschaften mit führenden Security Anbietern. Trend Micro ist von SAP für die Integration seiner Sicherheitslösung in SAP Netweaver zertifiziert SuSe enterprise Linux 11, Service pack 1, 64 Bit SuSe Linux enterprise Server for SAP Applications, 64 Bit Red Hat enterprise Linux 6.3 (32 und 64 Bit) Trend Micro Deep Security - SAP Certified auf Basis der VSI 2.0 Trend Micro zählt zu diesen Partnern und gilt im Umfeld integrierter Sicherheitslösungen für komplexe Cloud-Umgebungen als einer der innovativsten Technologie-Anbieter. Erst kürzlich wurde Trend Micro als einer der ersten Security-Anbieter von der SAP für die Integration seiner Sicherheitslösung Deep Security in SAP Netweaver für die Version 2.0 der SAP Viren-Scan-Schnittstelle ( SAP Certified Integration with SAP NetWeaver ) zertifiziert. Die Integration von Deep Security in SAP-Systeme hat zwei Stoßrichtungen. So geht es einerseits um die Absicherung der Betriebsinfrastruktur. In diesem Kontext sichert Deep Security via Firewall und Integritätsüberwachung die Hosts, auf denen SAP NetWeaver bzw. unterstützende Funktionen (z.b. wie Datenbanken), ablaufen ab. Andererseits bietet Deep Security 9 einen umfangreichen Malware-Schutz für die SAP-NetWeaver-Plattform. Über das SAP Virus Scan Interface (VSI), durchsucht und analysiert Deep Security alle Arten von Inhalten und Dokumenten, einschließlich eingebetteter Grafiken und aktivem Content (wie z.b. Javascript), um schadhafte Inhalte zu identifizieren und zu isolieren. Auf diese Weise werden Nutzer und Plattform vor Schadinhalten geschützt. Zudem erfolgt ein einheitliches Reporting für die Administratoren, das einfache Anpassungen der Richtlinien ( Welche Dokumententypen sind zulässig? ) ermöglicht und über das Netweaver-VSI auch in den SAP-Systemen zur Verfügung steht. Derzeit ist die Lösung für den Betrieb von Linux-basierten SAP-Systemen optimiert und unterstützt die links gelisteten Plattformen. Crisp Research

14 SAP Security Best Practices Es kann konstatiert werden, dass Trend Micro und SAP durch die Integration von Netweaver und Deep Security (Version 9) einen großen Schritt in Richtung integriertes Security Management für hybride IT- und Cloud-Umgebungen auf Linux-Basis gemacht haben. Anwender, die ihre SAP Systeme in virtualisierten und Cloud-Umgebungen betreiben, haben nun die Chance, einen Großteil ihrer Security-Prozesse zu vereinheitlichen und zudem ihre SAP Systeme noch gegen neue Bedrohungen, wie z.b. Cross-Site-Scripting, zu schützen. Als Best Practice darf in diesem Kontext der hohe Integrations- und Zentralisierungsgrad der Security Management-Prozesse gelten. So können Anwender die Administrations- und Reporting-Kosten (Stichwort Compliance ) bei der Absicherung ihrer SAP-Systeme deutlich reduzieren, da nicht unterschiedliche Sicherheitsprodukte verschiedener Hersteller nebeneinander gemanaged und integriert werden müssen. Insbesondere die Vereinheitlichung des Alert-Managements und des Reportings in einer zentralen Konsole erleichtert den Security-Verantwortlichen die Arbeit und schafft die notwendige Übersicht zu den vielfältigen Bedrohungsszenarien. Auch kann so den regulatorischen Anforderungen entsprochen werden und die eigenen Sicherheitsprozesse sind compliant mit beispielsweise PCI DSS 2.0, HIPAA, FISMA/ NIST oder SSAE-16. Crisp Research

15 Ausblick Der Umbruch der Wirtschaft hin zur digitalen Ökonomie und die damit einhergehende Vernetzung und Digitalisierung werden in den kommenden Jahren zu den größten Herausforderungen für CIOs und IT-Entscheider. In Zukunft wird die Verzahnung mit Cloud-Systemen aller Art sprunghaft zunehmen und dies wird vor allem die SAP-Systeme betreffen, die als Back-End die relevanten Daten bereitstellen müssen. Der Absicherung dieser hybriden SAP-Umgebungen kommt höchste Priorität zu. Um angesichts der Vielfalt und der Kritikalität der Bedrohungen ein angemessenes Schutzniveau bieten zu können und die Risiken adäquat zu managen, müssen die IT-Sicherheitsdisziplinen (Firewall, Intrusion Prevention, Integritätsüberwachung und Malware-Schutz) zukünftig stärker miteinander verzahnt und automatisiert werden. Hinzu kommt, dass die klassischen IT-Sicherheitsprodukte den Anforderungen der virtualisierten Computing-Welt angepasst werden. So stellt die Sicherung und das Patching virtueller Maschinen immer noch eine große Herausforderung für viele IT-Administratoren dar. Emergency-Patches außerhalb der normalen Patch-Zyklen können bei SAP-Systemen sehr viel Aufwand und Kosten verursachen von den potenziellen Risiken im Zeitraum bis zum voll ausgeführten Patch ganz zu schweigen. Für SAP-Anwender wäre es sicherlich attraktiv, wenn zukünftig auch eine Integration von Deep Security und Netweaver Plattform auf Microsoft-OS möglich wäre, da doch immerhin fast ein Drittel der SAP-Systeme auf Microsoft-Plattformen betrieben. Gleiches gilt für die Anwender von Unix-basierten SAP-Systemen, die derzeit ebenfalls noch keine integrierten Sicherheitskonzepte fahren können. Crisp Research

16 Über Trend Micro Als weltweit führender Anbieter im Bereich Cloud-Sicherheit entwickelt Trend Micro Lösungen für eine Welt, in der Unternehmen und Privatanwender digitale Daten sicher austauschen können. Mit über 25 Jahren Erfahrung liefert Trend Micro ausgezeichnete Sicherheit, die auf die Anforderungen von Kunden zugeschnitten ist, neue Bedrohungen schneller abwehrt und Daten zuverlässig schützt in physischen, virtualisierten und cloud- basierten Umgebungen. Weitere informationen finden Sie unter: Crisp Research

17 Autoren Dr. Carlo Velten Managing Director Steve Janata Managing Director & Senior Analyst Seit über 15 Jahren berät Carlo Velten als IT-Analyst namhafte Technologie-unternehmen in Marketing- und Strategiefragen. Seine Schwerpunktthemen sind Cloud Strategy & Economics, Data Center Innovation und Digital Business Transformation. Zuvor leitete er 8 Jahre lang gemeinsam mit Steve Janata bei der Experton Group die Cloud Computing & Innovation Practice und war Initiator des Cloud Vendor Benchmark. Davor war Carlo Velten verantwortlicher Senior Analyst bei der TechConsult und dort für die Themen Open Source und Web Computing verantwortlich. Dr. Carlo Velten ist Jurymitglied bei den Best-in-Cloud- Awards und engagiert sich im Branchenverband BIT- KOM. Als Key-Note-Speaker und Moderator tritt er seit vielen Jahren auf Konferenzen und Events auf. Er schreibt als Contributing Editor auf Computerwoche.de und unterstützt als Business Angel junge Startups. Zudem ist er politisch als Vorstand des Managerkreises der Friedrich Ebert Stiftung aktiv. Steve leitet die Research-Projekte zu den Themenbereichen Cloud Computing, Digital Customer Experience und Mobility. Er berät und unterstützt IT-Anwender und -Anbieter auf dem Weg in die Digitale Ökonomie. Vor seiner Tätigkeit bei Crisp Research war Steve als Senior Advisor und Practice Lead Cloud Computing & Innovation bei Experton Group tätig. Er verfügt über 15 Jahre Berufserfahrung als Analyst und Strategieberater in der IT-Branche. Im Rahmen seiner Beratungsmandate war Steve u.a. für Firmen wie IBM, Microsoft, T-Systems und Telefonica tätig. Steve Janata ist Autor zahlreicher Studien und Fachartikel. Als Experte für die Themen Cloud, Channel und Digitale Wirtschaft ist er ein gefragter Sprecher und Moderator auf Konferenzen und Events. Darüber hinaus ist Herr Janata Vorstandsmitglied des Managerkreises Rhein/Main der Friedrich Ebert Stiftung. Crisp Research

18 Über CRISP Research Crisp Research ist ein europäisches IT-Research- und Beratungsunternehmen. Mit einem Team erfahrener Analysten, Berater und Software-Entwickler bewertet Crisp Research aktuelle und kommende Technologie- und Markttrends. Crisp Research unterstützt IT-Anbieter in Strategie-, Contentmarketing- und Vertriebsfragen. Cloud Computing und Digital Business Transformation sind die Themenschwerpunkte von Crisp Research. Wir verfügen in unseren Crisp Labs über ein internes Software-Developer Team und testen aktuelle Cloud Services und Produkte unter Live-Bedingungen. Weißenburgstraße 10 D Kassel TEL FAX MAIL WEB crisp-research.com TWITTER twitter.com/crisp_research Crisp Research

19 Copyright Alle Rechte an den vorliegenden Inhalten liegen bei Crisp Research. Die Daten und Informationen bleiben Eigentum von Crisp Research. Vervielfältigungen, auch auszugsweise, bedürfen der schriftlichen Genehmigung von Crisp Research. Weißenburgstraße 10 D Kassel TEL FAX MAIL WEB crisp-research.com TWITTER twitter.com/crisp_research Crisp Research