Suchen

Handlungsbedarf Gefühlte SAP-Sicherheit ist eine reale Gefahr

| Redakteur: Stephan Augsten

Gefühlte Sicherheit ist trügerisch und gefährlich. Das gilt auch und besonders für die SAP-Sicherheit. Fünf typische Aussagen zur Sicherheit von SAP-Systemen belegen eine zu große Sorglosigkeit bei den IT-Security-Verantwortlichen.

Firmen zum Thema

Um die Sicherheit von SAP-Umgebungen zu gewährleisten, ist eine genaue Trennung von Aufgaben und Verantwortlichkeiten unabdingbar.
Um die Sicherheit von SAP-Umgebungen zu gewährleisten, ist eine genaue Trennung von Aufgaben und Verantwortlichkeiten unabdingbar.
(Bild: Archiv)

Trotz permanenter Anstrengungen seitens SAP besteht hinsichtlich der Sicherheit der Unternehmenssoftware weiter Handlungsbedarf. Viele IT-Verantwortliche in Unternehmen übersehen neu entstehende Gefahren oder unterschätzen den Aufwand, ihre SAP-Landschaften und Geschäftsprozesse abzusichern.

Häufig fehlen ihnen aber auch die nötigen Ressourcen, meinen die Sicherheitsexperten von Onapsis. Die SAP-Spezialisten warnen daher vor den fünf verbreitetsten Mythen und Schutzbehauptungen rund um die Sicherheit von SAP-Umgebungen, die sie in Gesprächen mit IT-Verantwortlichen in Unternehmen häufig hören:

Mythos 1: „Wir patchen regelmäßig unsere SAP-Systeme“

IT-Abteilungen in Unternehmen sind einen großen Teil ihrer Zeit damit beschäftigt, neue SAP-Patches zu implementieren. Wer aber sicherheitsrelevante Patches ohne eine vorherige Analyse der bestehenden Infrastruktur und der eigenen Geschäftsabläufe einspielt, schafft oft neue Risiken für den Ablauf der Geschäftsprozesse.

Noch dazu ist vielen IT-Verantwortlichen ist nicht bewusst, dass zwischen dem Auftreten einer neuen SAP-spezifischen Bedrohung und der Implementierung eines dafür entwickelten Patches im Schnitt rund 18 Monate vergehen. Innerhalb dieses Zeitfensters ist das Firmennetz potenziell gefährdet.

Mythos 2: „Auf unsere SAP-Plattform kann man nur intern zugreifen.“

Es gibt kein rein internes Netzwerk mehr. Fast jede IT-Infrastruktur verfügt mittlerweile über Zugänge, über die externe Anwender auf die Plattformen und Geschäftsprozesse zugreifen können. Viele SAP-Systeme sind beispielsweise über Web-Anwendungen, SAP HANA oder SAP Mobile, aber auch über SAP-Umgebungen, die in der Cloud eingerichtet werden, an das Internet angebunden.

Dass ein Zugang über eine App auch den Zugang zu allen SAP-Instanzen bedeuten kann, ist vielen Anwendern und IT-Verantwortlichen nicht bewusst. Über gezielte Spear-Phishing-Attacken auf einzelne Mitarbeiter verschaffen sich Hacker die dafür notwendigen Zugangsdaten.

Auch Zulieferer haben Zugang auf die SAP-Plattform. Diese können sie missbrauchen oder sie können durch Dritte für Angriffe missbraucht werden. Nicht zu vergessen sind auch die eigenen Mitarbeiter, die mobile Anbindungen etwa für ihre eigenen Zwecke nutzen können. Auch Kundenportale eignen sich als Einfallstor.

(ID:43571621)