SAP-Sicherheit

Vertrauensbildende Maßnahmen sind gefragt

| Autor / Redakteur: Mariano Nunez* / Stephan Augsten

In vielen Unternehmen fühlen sich IT-Verantwortliche verloren, wenn es um die SAP-Sicherheit geht.
In vielen Unternehmen fühlen sich IT-Verantwortliche verloren, wenn es um die SAP-Sicherheit geht. (Bild: Arhiv)

Die Gefährdung von SAP-Implementierungen ist reell. Aber die bekannt gewordenen Fälle stellen nur die Spitze des Eisbergs dar. Zugleich zeigen Umfragen, dass in Unternehmen die SAP-Sicherheitslage durchaus negativ eingeschätzt wird. Nur Wissen und die dafür notwendigen Ressourcen können hier Vertrauen schaffen.

Über 65 Prozent der im Rahmen der im Februar 2016 veröffentlichten Ponemon-Studie „Uncovering the Risk of SAP Cyber Breaches“ befragten Verantwortlichen in Global-2000-Unternehmen gaben an, dass im Verlauf der letzten zwei Jahre mindestens einmal in ihre SAP-Instanz im Unternehmen eingedrungen wurde.

Nach Aussagen der Teilnehmer unterschätzen 63 Prozent der C-Level-Entscheider die Risiken für die individuellen SAP-Konfigurationen in Unternehmen und Abteilungen. 76 Prozent gaben an, dass die Führungsebene in ihrem Unternehmen die geschäftskritische Bedeutung der SAP-Systeme für die Profitabilität des Unternehmens zwar verstehen, aber nur 21 Prozent trauen dem C-Level zu, die Auswirkungen von Lücken in der SAP-Sicherheit korrekt wahrzunehmen.

Gefühlte Unsicherheit

54 Prozent der Befragten befürchten, dass die Verborgenheit und die Komplexität von Angriffen auf SAP-Plattformen steigen wird. Eine berechtigte Einschätzung, die aber übersieht, dass viele Angriffe einfacher werden. Durch neue Einrichtungsszenarien wie Cloud, Mobilität oder auch das Internet der Dinge, verlassen SAP-Systeme den Schutz der Firewalls und können von außen angegriffen werden.

In der Folge fehlt das Vertrauen in die Sicherheit der eigenen SAP-Implementierungen. Nur 25 Prozent glauben, einen Zugriff auf SAP-Systeme sofort zu bemerken. Ganze 53 Prozent der Befragten sind zuversichtlich, einen Einbruch innerhalb eines Jahres festzustellen.

Den Gesamtschaden einer notwendigen Abschaltung eines SAP-Systems taxieren die Studienteilnehmer im Schnitt auf 4,5 Millionen Dollar – unter Berücksichtigung aller Kosten der Schadenbehebung sowie der entgangenen Geschäftsmöglichkeiten, also aller direkten Ausgaben, direkter und indirekter Lohnkosten, allgemeiner Unkosten und auch entgangener Geschäftschancen. Einige wenige Befragte schätzten die Schadenhöhe auf 50 bis 100 Millionen Dollar.

Hacker wissen zudem, dass Attacken auf SAP-Konfigurationen hochrentabel sind: Mit einem einmalig entwickelten Exploit erzielen Angreifer sehr hohe wirtschaftliche Skaleneffekte, weil sie die Technologie angreifen, die die Geschäftsprozesse der wichtigsten 2.000 Unternehmen weltweit steuert. Das Risiko entdeckt zu werden, bleibt gering, weil viele Unternehmen immer noch nicht über die Kompetenz, Prozesse und Technologien verfügen, um alle Angriffe zu entdecken.

Was tun – wo ansetzen?

Daher ist es notwendig, Abhilfe zu schaffen. Die Verantwortlichen müssen sich besser mit der Sicherheit ihrer SAP-Systeme befassen. Am Anfang geht es aber erstmal darum, Verantwortlichkeiten festzulegen. Hier offenbart die Ponemon-Studie eine bemerkenswerte „Verantwortungslosigkeit“.

So ist intern häufig unklar, wer für den schlechten Zustand der eigenen SAP-Sicherheit zur Verantwortung zu ziehen wäre. 21 Prozent der Befragten der Ponemon-Studie halten die IT-Infrastruktur-Teams für verantwortlich, 19 Prozent das SAP-Sicherheitsteam, 18 Prozent die allgemeine IT-Sicherheit, sechs Prozent die Audit-Teams. Und zwei Prozent denken, diese Kompetenz falle in den Bereich des Aufsichtsrats.

Als erstes steht daher für alle Stakeholder auf der Agenda, die Verantwortung zu verteilen. Wenn dieses aber fair erfolgen und die Verteilung akzeptiert werden soll, müssen die Verantwortlichen sowohl über die Ressourcen wie auch das Wissen für die kontinuierliche automatisierte Analyse und eine daraus abzuleitende kontinuierliche Abwehr verfügen.

Im Pflichtenheft stehen daher nicht nur SAP-Sicherheitsansätze und spezielle Sicherheitslösungen, sondern auch:

Wissen: Alle Beteiligten sollten die Topologie der eigenen SAP-Infrastruktur mitsamt der Entwicklungs- und Qualitätssicherungssysteme sowie die Wechselwirkungen von Daten und Anwendungen genau kennen. Ein kontinuierlicher Überblick über bestehende Sicherheitslücken fehlt in vielen Unternehmen.

Ressourcen: Viele Verantwortliche kommen nicht hinterher, Sicherheitsupdates einzuspielen, von denen viele zudem aufwändige Neukonfigurationen nach sich ziehen. Nicht wenige lassen deshalb lieber Lücken offen, anstatt eine Unterbrechung der SAP-gestützten Geschäftsprozesse durch Fehlupdates zu riskieren. So können Angreifer häufig längst per Patch schließbare Schwachstellen ausnutzen. Erst das Wissen über die Schwachstellen sowie eine präzise Anleitung, sie zu schließen, macht es möglich, effizient Lücken zu schließen.

Priorisierung: Bei der rein technischen Beschreibung einer Schwachstelle bleibt deren Auswirkung auf unternehmenskritische Geschäftsprozesse oft unklar. Dabei ermöglicht eine unsichere Konfiguration unter Umständen Betrug, Sabotage, Spionage oder auch die totale Kontrolle über ein System – auch wenn ein Hacker diese Möglichkeit nicht ausspielen will, um unerkannt zu bleiben und um das System, von dem er profitieren will, nicht zu zerstören. Oft fehlt die Priorisierung der Lücken nach diesen betriebswirtschaftlichen Kriterien. Aber nur aufgrund solcher Informationen können die Ressourcen zur Abwehr richtig eingesetzt werden.

Echtzeit-Abwehr: Wichtig ist aber auch die Blockade neuer Bedrohungen, noch bevor es zum Patch kommt. Virtuelles Patching schützt gegen externe wie interne Angriffe sofort nach ihrem Bekanntwerden. Leider liegt das Fenster der Verwundbarkeit von der Entdeckung bis zum Aufspielen von Patches nach unseren Erfahrungen im Schnitt bei 12 Monaten.

Erst so wird SAP-Sicherheit machbar und Verantwortung tragbar. Und der mögliche Erfolg hat vielleicht schon bald viele Väter.

* Mariano Nunez ist CEO und Mitbegründer von Onapsis.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44198836 / SAP-Sicherheit)