Datensicherheit

SAP-Schwachstellen bleiben oft ein Jahr unentdeckt

| Redakteur: Stephan Augsten

Kaum einer hält es für möglich, eine SAP-Schwachstelle innerhalb einer Woche aufzudecken, geschweige denn sofort.
Kaum einer hält es für möglich, eine SAP-Schwachstelle innerhalb einer Woche aufzudecken, geschweige denn sofort. (Bild: Archiv)

SAP-Plattformen werden in der Führungsetage von Unternehmen zwar durchaus als geschäftskritisch wahrgenommen. Trotzdem unterschätze die Geschäftsführung die mit unsicheren SAP-Anwendungen einhergehenden Risiken, meinen 63 Prozent der bei einer Studie des Ponemon-Instituts befragten IT-Spezialisten.

Im Auftrag von Onapsis hat das Ponemon-Institut die Studie „Uncovering the Risk of SAP Cyber Breaches“ erstellt. Diese beschäftigt sich mit den Risiken von Malware-Einbrüchen und anderen Sicherheitsvorfällen in SAP-Umgebungen sowie mit dem Risikobewusstsein in Unternehmen.

Mehr als die Hälfte der Befragten, genauer gesagt 56 Prozent, hält einen Datenverlust aufgrund unsicherer SAP-Applikationen für möglich. Dieselbe Gruppe gibt an, dass ihre SAP-Plattform innerhalb der vergangenen 24 Monate durchschnittlich zweimal angegriffen wurde. 75 Prozent der Antwortenden schätzen, dass bei SAP-Plattformen im Allgemeinen sehr wahrscheinlich (33 Prozent) oder wahrscheinlich (42 Prozent) eine oder mehrere Malware-Infektionen vorliegen.

Mit Blick auf potenzielle Datenlecks bezweifeln die Befragten fast ausnahmslos, dass sich eine Schwachstelle in der SAP-Plattform sofort oder innerhalb einer Woche aufgespüren lässt. 78 Prozent geben an, dass eine SAP-Schwachstelle selbst nach einem Jahr noch nicht entdeckt wurde.

Auf die Frage hin, wer für die Sicherheit in SAP-Sicherheit verantwortlich sei, nehmen viele Studienteilnehmer den Hersteller in die Pflicht: 54 Prozent der Befragten meinen, SAP müsse die Integrität seiner Applikationen und Plattformen sicherstellen, und nicht der Kunde selbst.

Ein Viertel der Befragten gab vor diesem Hintergrund sogar an, dass ihr Arbeitgeber keinen Hauptverantwortlichen für SAP-Sicherheit benannt habe. In 21 Prozent der Unternehmen übernimmt diese Aufgabe das IT-Infrastrukturteam, 19 Prozent unterhalten ein spezielles SAP-Security-Team. Bei 18 Prozent der Studienteilnehmer kümmert sich das Team für Informationssicherheit auch um SAP Security.

Doch wer wird letzten Endes verantwortlich gemacht, wenn ein Datenleck auftritt, bei dem das SAP-System involviert ist? 30 Prozent der Teilnehmer, die auf diese Frage geantwortet haben, lasten dies niemandem an. 26 Prozent halten den CIO für hauptverantwortlich, 18 Prozent den CISO.

Interessant ist auch die Einschätzung, wie sich das Internet der Dinge (IoT) und andere neue Technologien auf die SAP-Sicherheit auswirken werden. 59 Prozent der Antwortenden glauben, dass neue Technologien und Trends wie Cloud, Mobile, Big Data und das Internet der Dinge die Angriffsfläche ihrer SAP-Anwendungen vergrößern werden.

Der vollständige Bericht „Uncovering the Risk of SAP Cyber Breaches“ findet sich auf der Webseite von Onapsis.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43901336 / Datenbanken)