Wenn Unternehmen ihre Aufbau- und Ablauforganisation detailliert in einer Software abbilden, kann das die Effizienz steigern. Doch das digitalisierte Wissen ist gefährdet, vor allem wenn sich die Industrie eines ganzen Landes vernetzt. Daher ist es wichtig, die „digitalen Nervenbahnen“ von SAP in Deutschland „sauber“ zu halten.
Laut der Suchmaschine ShodanHQ sind viele SAP-Anwendungen deutscher Unternehmen übers Internet erreichbar.
(Bild: ShodanHQ)
Im vergangenen November machte ein Trojaner namens „Shiz“ auf sich aufmerksam: Im Gegensatz zu seinem bisherigen Verhalten bedrohte die neue Variante des Schädlings nicht einfach nur Windows-Systeme, sondern hielt Ausschau nach SAP-Installationen.
Die Malware-Autoren könnten aus Shiz tatsächlich Gold gemacht haben: Mindestens 3000 SAP-Systeme sollen mit dem Internet verbunden sein, meldete die Internetzeitung TheRegister unter Berufung auf das Beratungsunternehmen Rapid7.
Ein Angriff auf SAP wäre laut Christian Kirsch, Marketing Manager bei Rapid7, nicht verwunderlich. Immerhin enthielten die Walldorfer ERP-Systeme auch Finanz-, Kunden-, Mitarbeiter und Produktionsdaten der anwendenden Unternehmen. Dessen sollten sich „248.500 Kunden in 188 Ländern“ bewusst sein, so Kirsch.
Virtuelle Daten haben einen reellen Gegenwert
Letztlich sind alle Daten von Wert für die Schattenwirtschaft – jede Information, jedes Passwort, jede PIN und jede Zugangsberechtigung bringt Bares: Das Geburtsdatum einer Person ist Kriminellen drei US-Dollar, Kreditkartendaten 1,50 Dollar und der Mädchenname einer Frau sechs Dollar wert. Eine ganze Krankenakte kostet schon 50 Dollar.
Den Grund dafür sieht die Sicherheitsfirma RSA unter anderem darin, dass die Krankenakte eine Vielzahl von Informationen (wie Adresse, Bank- und Krankenversicherten und Krankenhistorie) enthielte. Diese könnten nicht nur missbraucht, sondern auch dazu benutzt werden, um den Patienten zu erpressen.
RSA stuft hier insbesondere Besserverdienende als gefährdet ein. Der Wert einer Mitarbeiterdatenbank lässt sich etwa so kalkulieren: „∑ Datensätze * ∑ Datenfelder * Durchschnittsbetrag in Euro“.
Aufklappen für Details zu Ihrer Einwilligung
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
:quality(80)/images.vogel.de/vogelonline/bdb/1899700/1899778/original.jpg "Die Lehrpläne von Security-Awareness-Trainings sollten auf die konkreten Anforderungen der verschiedenen Mitarbeitergruppen im Unternehmen zugeschnitten sein.")
:quality(80)/images.vogel.de/vogelonline/bdb/1899800/1899806/original.jpg "EDR-Systeme nutzen künstliche Intelligenz und Machine Learning um auffällige Verhaltensweisen der Endgeräte zu identifizieren und dadurch Malware und Angriffe zu erkennen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1899400/1899487/original.jpg "Kommen WAFs ergänzend zu bereits vorhandenen Sicherheitsmaßnahmen zum Einsatz, bieten sie zusätzlichen Schutz und gestatten beispielsweise das simultane Schließen von Sicherheitslücken für mehrere Anwendungen gleichzeitig.")
:quality(80)/p7i.vogel.de/wcms/01/f3/01f302eaafc753318d309b1623c07136/99551979.jpeg "99551979")
:quality(80)/p7i.vogel.de/wcms/85/1e/851ed8c0bf5d8aad1871c37b98416ec9/0105187656.jpeg "0105187656")
:quality(80)/p7i.vogel.de/wcms/52/52/5252c0813c8de73cee05339a2ba98912/0105297145.jpeg "0105297145")
:quality(80)/p7i.vogel.de/wcms/b8/21/b821ec97f55dbfc2adeb5ec5ea5a97dc/0105241589.jpeg "0105241589")
:quality(80)/p7i.vogel.de/wcms/da/e3/dae352cf5f041b05485f23af1a6c572c/0105300196.jpeg "0105300196")
:quality(80)/p7i.vogel.de/wcms/be/ac/beac323e21f148f5ed723cfa4e5d7960/0104312903.jpeg "0104312903")
:quality(80)/p7i.vogel.de/wcms/ad/83/ad8339081df4d90ae1de4d7dba64b1d4/0105298281.jpeg "0105298281")
:quality(80)/p7i.vogel.de/wcms/8f/75/8f75ab236d23d01b6320bff5cbdb51a2/0105296017.jpeg "0105296017")
:quality(80)/p7i.vogel.de/wcms/39/b5/39b5f7fa127b1e64b1ab5df91d8a2f40/0105520980.jpeg "0105520980")
:quality(80)/p7i.vogel.de/wcms/60/0a/600afd7cc10f31f750bba215ad1bf5d2/0104981175.jpeg "0104981175")
:quality(80)/p7i.vogel.de/wcms/13/f9/13f9bfb0f8187d159bb513b4d09cf469/0104886347.jpeg "0104886347")
:quality(80)/p7i.vogel.de/wcms/6a/b4/6ab40c8384e683df271ec61850594248/0105247447.jpeg "0105247447")
:quality(80)/p7i.vogel.de/wcms/eb/20/eb20664995797cb5c4717af400813abb/0105253079.jpeg "0105253079")
:quality(80)/p7i.vogel.de/wcms/1b/00/1b0024aa78349d908dd281f3c357fba4/0105084078.jpeg "0105084078")
:quality(80)/p7i.vogel.de/wcms/8d/26/8d26701cf83b8e8ea94954cf9b6bcc07/0105252820.jpeg "0105252820")
:quality(80)/p7i.vogel.de/wcms/4a/e2/4ae2041bac8c433b6bed2bf78ce0c9ed/0105244661.jpeg "0105244661")
:quality(80)/p7i.vogel.de/wcms/c1/a4/c1a4d35fd9a451f1201477ea64898dfe/0105239184.jpeg "0105239184")
:quality(80)/p7i.vogel.de/wcms/e9/c8/e9c85878721a0341f227a7fa841bcea3/0105529996.jpeg "0105529996")
:quality(80)/p7i.vogel.de/wcms/33/43/33437f68a738910d7cae2fb4f9f1ec96/0105299289.jpeg "0105299289")
:quality(80)/p7i.vogel.de/wcms/96/ba/96ba3e4a913ec537c25445bac83d4d22/0104312956.jpeg "0104312956")
:quality(80)/p7i.vogel.de/wcms/86/5b/865b607805e874f2192cb286d90e4ddd/0105243756.jpeg "0105243756")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig.")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig.")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133100/133199/65.png "fujitsu.png")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png")
:quality(80)/images.vogel.de/vogelonline/bdb/673700/673797/original.jpg "Glaubt man der speziellen Suchmaschine ShodanHQ, so sind viele SAP-Anwendungen deutscher Unternehmen übers Internet erreichbar. Jeder Anwender sollte sich bewusst sein, dass dadurch Risiken entstehen können.")
:quality(80)/images.vogel.de/vogelonline/bdb/673700/673798/original.jpg "Deutschland wird bei den Web-fähigen SAP-Installationen nur von den USA übertroffen, stellt aber mehr solcher Systeme wie eine ganze Reihe anderer Europäischer Staaten zusammen – etwa Großbritannien, Holland, Italien, Schweiz und Frankreich. Die USA und Deutschland sind daher besonders auf die Sicherheit von SAP angewiesen.")
:quality(80)/images.vogel.de/vogelonline/bdb/673700/673799/original.jpg "… der SAP NetWeaver J2EE, der SAP NetWeaver ABAP und der SAP Web Application Server.")
:quality(80)/images.vogel.de/vogelonline/bdb/673800/673800/original.jpg "Im Januar 2013 wurden zum ersten Mal mehr Fehler von externen Wissenschaftlern als von SAP selbst gefunden – fast 70 Prozent der Schwächen wurden vor einem Jahr von Virtual Forge und seinen Wettbewerbern entdeckt. Im September 2013 wurden fast vier von fünf Löchern von Externen entdeckt.")
:quality(80)/images.vogel.de/vogelonline/bdb/1836900/1836993/original.jpg "Finanzchefs müssen ihrer Rolle als oberste Risikomanager gerecht werden und die Abwehr von Cyberangriffen zur Chefsache machen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1901800/1901824/original.jpg "Ohne Ordnung in SAP-Strukturen laufen Unternehmen Gefahr, Opfer von Betrugsversuchen zu werden, die Produktivsysteme zu beschädigen oder Audits nicht zu bestehen.")