:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Eine Kette ist nicht stärker als ihr schwächstes Glied SAP-Sicherheitsrisiken richtig managen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
SAP ist einer der Marktführer für Informationsmanagement, dessen weltbekannte Produkte über 400 Millionen Menschen weltweit nutzen. Beeindruckende 77 Prozent des weltweiten Transaktionsumsatzes berühren irgendein SAP-System. Allerdings stellen die wachsenden Sicherheitsrisiken bei der SAP-Anbindung viele Unternehmen vor noch nie dagewesene Herausforderungen.
Selbst nach mehr als 20 Jahren in der SAP-Welt sind die letzten Jahre für mich aufgrund des phänomenalen Anstiegs der dort entdeckten Schwachstellen absolut bemerkenswert. Es ist nur zu leicht, die heutigen Risiken auf eher seltene Vorfälle wie die berüchtigten CVE-2020-6287 zu reduzieren, die im Jahr 2020 von Onapsis Research Labs entdeckt wurde. Besser bekannt als SAP RECON-Schwachstelle (Remotely Exploitable Code On NetWeaver), tauchte diese Schwachstelle als erste mit einem CVSS-Score von 10 auf, aber sie ist ziemlich sicher bei weitem nicht die letzte.
Die CVE-Zahlen haben sich im Jahr 2020 gegenüber dem Vorjahr fast verdoppelt und sind auf dem besten Weg, diesen Rekordwert im Jahr 2021 wieder zu übertreffen. Ja, es besteht ein erheblicher Unterschied zwischen dem Schweregrad dieser Sicherheitslücken. Sie reichen von einem geringen und akzeptablen Risiko bis hin zu einer massiven Auswirkung, die sensible Unternehmensdaten betreffen kann. Daher ist die Frage nicht mehr so sehr, ob oder wann der nächste RECON passieren wird, sondern was Sie tun können, um die Folgen für Ihr Unternehmen abzumildern oder zu minimieren.
All-in-Ansatz
Unternehmenssicherheit ist nur so stark wie ihr schwächstes Glied. Daher müssen nicht nur die CIOs ihre ERP-Insel aufgeben, sondern auch die CISOs. Die wachsenden Risiken erfordern eine noch stärkere Integration der SAP-Sicherheitmaßnahmen in die unternehmensweite Sicherheitsstrategie.
Unsichere Netzwerkzugänge ermöglichen Verbindungen von nicht vertrauenswürdigen Quellen, die einen unbefugten Zugriff auf wertvolle Daten ermöglichen. Man kann sich nur schwer vorstellen, wie viele NetWeaver-Applikationsserver offensichtlich Netzwerkzugriffe aus dem Internet zulassen. Wäre einer davon ein SAP Solution Manager, könnten sich die potenziellen Risiken ins Undenkbare steigern.
Security-by-default und Hardening von Altsystemen
Glücklicherweise bietet der Übergang zu S/4HANA für SAP-Landschaften auch die Chancen zum Übergang zu Security-by-Default. Für die älteren Systeme, für die Sicherheit leider noch nicht in dem Maße der Standard war, schafft zusätzliche Systemhärtung eine sichere Umgebung. Darüber hinaus kann die Systemhärtung weiter helfen, wenn ein Unternehmen beispielsweise in regulierten Umgebungen wie GxP oder SOX arbeitet. Dort gibt es in der Regel weit mehr als Security-by-Default zu beachten, um die vorgeschriebenen Standards zu erfüllen.
SAP HotNews und SAP Security Notes
Die SAP Security Notes und SAP HotNews sind für SAP-Kunden der Ausgangspunkt für jegliches Schwachstellen- oder Patch-Management. Sie sind auch Teil des SAP Product Security Response Space, in dem SAP seine Antworten auf CVEs vorstellt. Unternehmen müssen sich nicht nur auf die Antworten von SAP verlassen, sondern sollten auch direkt die CVE Details des Herstellers SAP abfragen oder den RSS-Feed-Link nutzen. SAP HotNews enthalten alle SAP-Sicherheitshinweise mit einem CVSS-Score von 9 oder höher.
Der knifflige Teil besteht jedoch darin, zu überprüfen, wo die in den SAP-Hinweisen beschriebenen Korrekturen angewendet werden müssen. Je nach Komplexität der SAP-Landschaft kann das einfach bis schwierig sein.
Regelmäßige Sicherheitsaudits und Change Management
Regelmäßige Sicherheitsaudits sind eine wichtige Säule in jeder Cybersecurity-Strategie eines Unternehmens, um den Status der Sicherheitsmaßnahmen zu verifizieren. Der Ausgangspunkt jeder Sicherheitsstrategie ist die Erkennung und Bewertung von Schwachstellen. Dann wird sichergestellt, dass diese Risiken proaktiv angegangen werden, damit das Unternehmen den potenziellen Auswirkungen immer einen Schritt voraus ist. Darüber hinaus prüft ein Audit den Nachweis, dass die vorgeschriebenen Richtlinien erfolgreich angewendet werden. Und das ist bei SAP-Anwendungen nicht anders.
Zusätzlich ist die Nachverfolgung von Systemänderungen eines der wichtigsten Elemente des Prozesses. Meistens sind menschliche Fehler die Ursache für Sicherheitsvorfälle. Solange wir menschliche Eingriffe bei der Durchführung von Systemänderungen, der Planung, Verfolgung, Genehmigung und Überprüfung der Änderungen nicht auf das notwendige Minimum einschränken, wird es zu Fehlern kommen.
Zuverlässige Wachsamkeit
Ein zuverlässiger und robuster Überwachungsprozess ist das Herzstück einer jeden Sicherheitsstrategie in Unternehmen. Es ist unerlässlich, die potenziellen Risiken und die angewandten Sicherheitsmaßnahmen streng zu überwachen. Allerdings zeichnet sich bei dem Thema Monitoring in den letzten Jahren ein leicht bedenklicher Trend ab, bei dem sich Überwachung in erster Linie auf die Anwendungs-Performance konzentriert.
Wenn es um die Sicherheit geht, ist die Überwachung von Performance nur wenig hilfreich. Kritischen Fragen, wie “sind die Standardpasswörter für die Systembenutzer konfiguriert”, “werden Systemänderungen in produktiven ABAP-Clients verhindert”, “ist das Audit-Log korrekt konfiguriert”, “laufen Zertifikate bald ab” brauchen eine den Sicherheitsanforderungen angepasste Alternative zur Unterstützung des SAP-Betriebs.
Diese Überprüfungen befreien Unternehmen zwar nicht vollständig von den Sicherheitsrisiken, aber sie können dazu beitragen, dass Schwachstellen nicht so einfach ausgenutzt werden und helfen, deren Auswirkungen zu begrenzen.
Und ja, diese Schwachstellen sollten häufiger während der Softwareentwicklung und beim Testen vor der Implementierung entdeckt werden. Aber wann wird eine Schwachstelle eine solche? Schon wenn sie im Code vorhanden ist, oder wird sie erst zum Leben erweckt, wenn die Software in einer bestimmten Umgebung läuft?
Wie auch immer die Antwort lautet: Unternehmen sind einem größeren Risiko ausgesetzt als je zuvor. Und selbst wenn ein Unternehmen einen Fehler in SAP NetWeaver nicht beheben kann, kann es dennoch genug tun, um diese Risiken zu mindern. Und damit zu verhindern, dass SAP-Sicherheitslücken aktiv ausgenutzt werden.
Über den Autor: Heiko Mannherz ist Chief Innovation Officer bei Avantra.
(ID:47711102)
:quality(80)/p7i.vogel.de/wcms/ee/8f/ee8f7027f19813b2551d625f6bc35432/0107560832.jpeg "Angesichts der Drohkulisse schnell ansteigender Cyberangriffe kommt kein Unternehmen darum herum, seine SAP-Landschaft so weit wie möglich abzusichern. (Bild: yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/1b/131be7ae3d29144229fda8a30a1ee19d/0112824714.jpeg "Angriffe auf Remote Function Calls gefährden ungeschützte SAP-Systeme: Patches und Rekonfiguration helfen. (Bild: frei lizenziert: Myriams-Fotos)")