Sicherheit von SAP-Systemen ist nicht nur „Einstellungssache“

Gezielte Spionage-Attacken auf SAP verhindern

Seite: 2/5

Firma zum Thema

Scheinangriff ist die beste Verteidigung

Wie können sich Unternehmen vor APT-Attacken schützen? Das Problem ist, dass sich insbesondere westliche Unternehmen kaum wirksam zu schützen wissen, da sie einen ungleichen Kampf führen.

Auf der einen Seite sitzen die Hacker, die mit staatlicher Unterstützung und Infrastruktur strategisch-zielgerichtet angreifen. Auf der anderen Seite die Opfer, die sich dann oft auch nur mit staatlicher Hilfe zur Wehr setzen können, nachdem sie einen Angriff überhaupt erst festgestellt haben – oftmals zu spät.

Bildergalerie

Anders ausgedrückt: Die einen spielen auf Angriff, die anderen lediglich auf Schadensbegrenzung. Das ist keine Taktik, schon erst recht keine zur Verteidigung von fortschrittlichen Angriffstechniken wie einer APT-Attacke. Der beste Weg, eine wirksame Verteidigung aufzubauen, ist daher selbst anzugreifen – und zwar sich selbst.

Erfolgreicher SAP-Hack in einer halben Stunde

Ein Großteil der unternehmenskritischen Informationen wird in ERP-Systemen wie SAP verwaltet. Daher sind solche Systeme oft das Ziel von Cyber-Attacken. Sie bergen die relevanten Daten über die Organisation, Mitarbeiter, Produkte, Lieferanten, Kunden, Prozesse und Finanzen des Unternehmens.

„Einen wirksamen Schutz vor Spionagetätigkeiten durch fortschrittliche Angriffsmethoden bietet daher nur ein holistischer Ansatz zur Gewährleistung der Sicherheit von SAP-Systemen“, weiß Andreas Wiegenstein von der Firma Virtual Forge zu berichten. Sein Unternehmen befasst sich seit über zehn Jahren mit der Sicherheitsforschung für SAP-Anwendungen und -Systeme.

Viele der durch externe Sicherheitsforscher gemeldeten und behobenen Sicherheitslücken im SAP-Code gehen seitdem auf die Arbeit von Wiegenstein und seine Kollegen zurück. Ein holistischer Ansatz meint dabei, die SAP-Sicherheit landschaftsübergreifend auf den Prüfstand zu stellen und die verschiedenen Anwendungsoberflächen und -arten sowie alle angeschlossenen Systeme an eine SAP-Landschaft zu berücksichtigen.

Tweet von @CodeProfiler zum Penetration Testing für SAP-Systeme.
Tweet von @CodeProfiler zum Penetration Testing für SAP-Systeme.
(Bild: Jannis Blume)
Warum das so wichtig ist, teilte Wiegenstein alias @CodeProfiler in einem kaum einhundert Zeichen umfassenden Kommentar am Rande der diesjährigen TROOPERS-Konferenz auf Twitter mit: Es dauert keine 30 Minuten, bis ein SAP-System durch einen Penetration Test geknackt und die vollständige Kontrolle über das System erlangt wird.

(ID:42658220)