Handlungsbedarf

Gefühlte SAP-Sicherheit ist eine reale Gefahr

| Redakteur: Stephan Augsten

Um die Sicherheit von SAP-Umgebungen zu gewährleisten, ist eine genaue Trennung von Aufgaben und Verantwortlichkeiten unabdingbar.
Um die Sicherheit von SAP-Umgebungen zu gewährleisten, ist eine genaue Trennung von Aufgaben und Verantwortlichkeiten unabdingbar. (Bild: Archiv)

Gefühlte Sicherheit ist trügerisch und gefährlich. Das gilt auch und besonders für die SAP-Sicherheit. Fünf typische Aussagen zur Sicherheit von SAP-Systemen belegen eine zu große Sorglosigkeit bei den IT-Security-Verantwortlichen.

Trotz permanenter Anstrengungen seitens SAP besteht hinsichtlich der Sicherheit der Unternehmenssoftware weiter Handlungsbedarf. Viele IT-Verantwortliche in Unternehmen übersehen neu entstehende Gefahren oder unterschätzen den Aufwand, ihre SAP-Landschaften und Geschäftsprozesse abzusichern.

Häufig fehlen ihnen aber auch die nötigen Ressourcen, meinen die Sicherheitsexperten von Onapsis. Die SAP-Spezialisten warnen daher vor den fünf verbreitetsten Mythen und Schutzbehauptungen rund um die Sicherheit von SAP-Umgebungen, die sie in Gesprächen mit IT-Verantwortlichen in Unternehmen häufig hören:

Mythos 1: „Wir patchen regelmäßig unsere SAP-Systeme“

IT-Abteilungen in Unternehmen sind einen großen Teil ihrer Zeit damit beschäftigt, neue SAP-Patches zu implementieren. Wer aber sicherheitsrelevante Patches ohne eine vorherige Analyse der bestehenden Infrastruktur und der eigenen Geschäftsabläufe einspielt, schafft oft neue Risiken für den Ablauf der Geschäftsprozesse.

Noch dazu ist vielen IT-Verantwortlichen ist nicht bewusst, dass zwischen dem Auftreten einer neuen SAP-spezifischen Bedrohung und der Implementierung eines dafür entwickelten Patches im Schnitt rund 18 Monate vergehen. Innerhalb dieses Zeitfensters ist das Firmennetz potenziell gefährdet.

Mythos 2: „Auf unsere SAP-Plattform kann man nur intern zugreifen.“

Es gibt kein rein internes Netzwerk mehr. Fast jede IT-Infrastruktur verfügt mittlerweile über Zugänge, über die externe Anwender auf die Plattformen und Geschäftsprozesse zugreifen können. Viele SAP-Systeme sind beispielsweise über Web-Anwendungen, SAP HANA oder SAP Mobile, aber auch über SAP-Umgebungen, die in der Cloud eingerichtet werden, an das Internet angebunden.

Dass ein Zugang über eine App auch den Zugang zu allen SAP-Instanzen bedeuten kann, ist vielen Anwendern und IT-Verantwortlichen nicht bewusst. Über gezielte Spear-Phishing-Attacken auf einzelne Mitarbeiter verschaffen sich Hacker die dafür notwendigen Zugangsdaten.

Auch Zulieferer haben Zugang auf die SAP-Plattform. Diese können sie missbrauchen oder sie können durch Dritte für Angriffe missbraucht werden. Nicht zu vergessen sind auch die eigenen Mitarbeiter, die mobile Anbindungen etwa für ihre eigenen Zwecke nutzen können. Auch Kundenportale eignen sich als Einfallstor.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43571621 / Datenbanken)