:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Eine Kette ist nicht stärker als ihr schwächstes Glied SAP-Sicherheitsrisiken richtig managen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
SAP ist einer der Marktführer für Informationsmanagement, dessen weltbekannte Produkte über 400 Millionen Menschen weltweit nutzen. Beeindruckende 77 Prozent des weltweiten Transaktionsumsatzes berühren irgendein SAP-System. Allerdings stellen die wachsenden Sicherheitsrisiken bei der SAP-Anbindung viele Unternehmen vor noch nie dagewesene Herausforderungen.
Selbst nach mehr als 20 Jahren in der SAP-Welt sind die letzten Jahre für mich aufgrund des phänomenalen Anstiegs der dort entdeckten Schwachstellen absolut bemerkenswert. Es ist nur zu leicht, die heutigen Risiken auf eher seltene Vorfälle wie die berüchtigten CVE-2020-6287 zu reduzieren, die im Jahr 2020 von Onapsis Research Labs entdeckt wurde. Besser bekannt als SAP RECON-Schwachstelle (Remotely Exploitable Code On NetWeaver), tauchte diese Schwachstelle als erste mit einem CVSS-Score von 10 auf, aber sie ist ziemlich sicher bei weitem nicht die letzte.
Die CVE-Zahlen haben sich im Jahr 2020 gegenüber dem Vorjahr fast verdoppelt und sind auf dem besten Weg, diesen Rekordwert im Jahr 2021 wieder zu übertreffen. Ja, es besteht ein erheblicher Unterschied zwischen dem Schweregrad dieser Sicherheitslücken. Sie reichen von einem geringen und akzeptablen Risiko bis hin zu einer massiven Auswirkung, die sensible Unternehmensdaten betreffen kann. Daher ist die Frage nicht mehr so sehr, ob oder wann der nächste RECON passieren wird, sondern was Sie tun können, um die Folgen für Ihr Unternehmen abzumildern oder zu minimieren.
All-in-Ansatz
Unternehmenssicherheit ist nur so stark wie ihr schwächstes Glied. Daher müssen nicht nur die CIOs ihre ERP-Insel aufgeben, sondern auch die CISOs. Die wachsenden Risiken erfordern eine noch stärkere Integration der SAP-Sicherheitmaßnahmen in die unternehmensweite Sicherheitsstrategie.
Unsichere Netzwerkzugänge ermöglichen Verbindungen von nicht vertrauenswürdigen Quellen, die einen unbefugten Zugriff auf wertvolle Daten ermöglichen. Man kann sich nur schwer vorstellen, wie viele NetWeaver-Applikationsserver offensichtlich Netzwerkzugriffe aus dem Internet zulassen. Wäre einer davon ein SAP Solution Manager, könnten sich die potenziellen Risiken ins Undenkbare steigern.
Security-by-default und Hardening von Altsystemen
Glücklicherweise bietet der Übergang zu S/4HANA für SAP-Landschaften auch die Chancen zum Übergang zu Security-by-Default. Für die älteren Systeme, für die Sicherheit leider noch nicht in dem Maße der Standard war, schafft zusätzliche Systemhärtung eine sichere Umgebung. Darüber hinaus kann die Systemhärtung weiter helfen, wenn ein Unternehmen beispielsweise in regulierten Umgebungen wie GxP oder SOX arbeitet. Dort gibt es in der Regel weit mehr als Security-by-Default zu beachten, um die vorgeschriebenen Standards zu erfüllen.
SAP HotNews und SAP Security Notes
Die SAP Security Notes und SAP HotNews sind für SAP-Kunden der Ausgangspunkt für jegliches Schwachstellen- oder Patch-Management. Sie sind auch Teil des SAP Product Security Response Space, in dem SAP seine Antworten auf CVEs vorstellt. Unternehmen müssen sich nicht nur auf die Antworten von SAP verlassen, sondern sollten auch direkt die CVE Details des Herstellers SAP abfragen oder den RSS-Feed-Link nutzen. SAP HotNews enthalten alle SAP-Sicherheitshinweise mit einem CVSS-Score von 9 oder höher.
Der knifflige Teil besteht jedoch darin, zu überprüfen, wo die in den SAP-Hinweisen beschriebenen Korrekturen angewendet werden müssen. Je nach Komplexität der SAP-Landschaft kann das einfach bis schwierig sein.
Regelmäßige Sicherheitsaudits und Change Management
Regelmäßige Sicherheitsaudits sind eine wichtige Säule in jeder Cybersecurity-Strategie eines Unternehmens, um den Status der Sicherheitsmaßnahmen zu verifizieren. Der Ausgangspunkt jeder Sicherheitsstrategie ist die Erkennung und Bewertung von Schwachstellen. Dann wird sichergestellt, dass diese Risiken proaktiv angegangen werden, damit das Unternehmen den potenziellen Auswirkungen immer einen Schritt voraus ist. Darüber hinaus prüft ein Audit den Nachweis, dass die vorgeschriebenen Richtlinien erfolgreich angewendet werden. Und das ist bei SAP-Anwendungen nicht anders.
Zusätzlich ist die Nachverfolgung von Systemänderungen eines der wichtigsten Elemente des Prozesses. Meistens sind menschliche Fehler die Ursache für Sicherheitsvorfälle. Solange wir menschliche Eingriffe bei der Durchführung von Systemänderungen, der Planung, Verfolgung, Genehmigung und Überprüfung der Änderungen nicht auf das notwendige Minimum einschränken, wird es zu Fehlern kommen.
Zuverlässige Wachsamkeit
Ein zuverlässiger und robuster Überwachungsprozess ist das Herzstück einer jeden Sicherheitsstrategie in Unternehmen. Es ist unerlässlich, die potenziellen Risiken und die angewandten Sicherheitsmaßnahmen streng zu überwachen. Allerdings zeichnet sich bei dem Thema Monitoring in den letzten Jahren ein leicht bedenklicher Trend ab, bei dem sich Überwachung in erster Linie auf die Anwendungs-Performance konzentriert.
Wenn es um die Sicherheit geht, ist die Überwachung von Performance nur wenig hilfreich. Kritischen Fragen, wie “sind die Standardpasswörter für die Systembenutzer konfiguriert”, “werden Systemänderungen in produktiven ABAP-Clients verhindert”, “ist das Audit-Log korrekt konfiguriert”, “laufen Zertifikate bald ab” brauchen eine den Sicherheitsanforderungen angepasste Alternative zur Unterstützung des SAP-Betriebs.
Diese Überprüfungen befreien Unternehmen zwar nicht vollständig von den Sicherheitsrisiken, aber sie können dazu beitragen, dass Schwachstellen nicht so einfach ausgenutzt werden und helfen, deren Auswirkungen zu begrenzen.
Und ja, diese Schwachstellen sollten häufiger während der Softwareentwicklung und beim Testen vor der Implementierung entdeckt werden. Aber wann wird eine Schwachstelle eine solche? Schon wenn sie im Code vorhanden ist, oder wird sie erst zum Leben erweckt, wenn die Software in einer bestimmten Umgebung läuft?
Wie auch immer die Antwort lautet: Unternehmen sind einem größeren Risiko ausgesetzt als je zuvor. Und selbst wenn ein Unternehmen einen Fehler in SAP NetWeaver nicht beheben kann, kann es dennoch genug tun, um diese Risiken zu mindern. Und damit zu verhindern, dass SAP-Sicherheitslücken aktiv ausgenutzt werden.
Über den Autor: Heiko Mannherz ist Chief Innovation Officer bei Avantra.
(ID:47711102)
:quality(80)/images.vogel.de/vogelonline/bdb/1937600/1937629/original.jpg "Wenn Cyberkriminelle ungepatchte Schwachstellen finden, können sie mit Ransomware den SAP-Systemen vieler Unternehmen empfindlichen Schaden zufügen. (yingyaipumi - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1947900/1947910/original.jpg "Admins müssen ungepatchte MS-Sicherheitsrisiken kennen, damit sie auf andere Weise entschärft werden können, bevor Cyberkriminelle sie ausnutzen. (oz - stock.adobe.com)")