Nahezu alle kritischen Geschäftsprozesse bei Sanofi werden von SAP unterstützt; es gibt über 500 (ECC- und S/4-) Systeme in den Bereichen Finanzen, Produktion, Supply Chain, Vertrieb, HR u.v.m., die in mehreren Rechenzentren vor Ort, in der AWS Private Cloud und im externen Hosting laufen. Die technologische Bandbreite reicht von ABAP über Java bis HANA.
Innerhalb des IT-Departments kümmert sich ein kleines Expertenteam dediziert um SAP-Cybersicherheit, unterstützt die für ihre Applikationen verantwortlichen Anwender*innen durch Bereitstellen von Monitoring-Lösungen, koordiniert Fehlerbehebungen und setzt den Security-Standard für jedes SAP-Projekt fest.
Stéphane Peteytas, Head of SAP Security bei Sanofi: „Dabei mussten wir unsere Anforderungen an SAP-Security kontinuierlich neu definieren. Ziel war und ist es, die leistungsfähigste Technologie zum Schutz geschäftskritischer SAP-Anwendungen zu nutzen.“ Nach Einschätzung des Sanofi-Managers muss eine Sicherheitssoftware für SAP insbesondere Echtzeit-Überwachung zur Erkennung technisch ausgefeilter Angriffsvektoren ermöglichen. Außerdem soll sie den manuellen Aufwand durch automatisierte Abläufe und übersichtliche Dashboards reduzieren.
Ganzheitliche Lösung für die SAP-Security
Unzufrieden mit den bis dahin eingesetzten Tools, suchte das Unternehmen auf dem Security-Markt nach einer neuen ganzheitlichen Lösung, welche den stetig steigenden Bedürfnissen und Anforderungen entspricht. Nach längerem Auswahlprozess fiel die Entscheidung auf die Plattform des Ingolstädter Sicherheitsspezialisten SecurityBridge. Dieser stand vor der Herausforderung, die zahlreichen Systeme von Sanofi mit der eigenen Plattform zu verbinden und dabei die Einhaltung der strengen Datensicherheitsvorschriften der EU und der USA zu gewährleisten.
„Bei SecurityBridge haben wir alles aus einer Hand“, begründet Stéphane Peteytas die Produktwahl, „Überwachung von Sicherheit und Compliance, anpassbare Baseline-Policies, eine offene API-basierte Architektur, Dashboard/Berichterstellung, Mehrfach-Integration mit SIEM (QRadar und Splunk) und einen zentralen Überblick über fehlende Sicherheitsupdates.“ Bislang hat Sanofi mehr als 350 SAP-Systeme an die Überwachung angeschlossen, die restlichen sollen rasch folgen. Dadurch versetzt SecurityBridge den Pharmakonzern in die Lage, die derzeitigen regulatorischen Anforderungen für die SAP-Umgebung einzuhalten und ist ebenso auf künftige internationale und nationale Richtlinien (KRITIS, ISO27001-2) vorbereitet.