:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/30/3030b66cc91bdc748d53ddfa98603890/0114242796.jpeg "Der sichere Betrieb von SAP-Systemen erfordert die individuelle Absicherung des Systems und auch den sicheren Betrieb der gesamten SAP-Landschaft. (Bild: yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/9b/4b9b0e03c93f35253e7bdc638d8c1985/0114368367.jpeg ""Sichere Digitalisierung im Maschinenbau", ein Interview von Oliver Schonschek, Insider Research, mit Christoph Schambach von secunet Security Networks AG. (Bild: Vogel IT-Medien / secunet Security Networks AG / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/12/c212e1f2d8d9ec50fa8c1c40f8aecb22/0114324694.jpeg "Oft totgesagt und trotzdem quicklebendig: Passwörter sind trotz Alternativen noch immer allgegenwärtig und ein willkommenes Ziel für Cyberkriminelle. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/f1/6b/f16b94ff7c9056c68539d3beb864080f/0114259975.jpeg "CISOs verstehen menschenzentrierte Sicherheit in erster Linie als das, was man dazu auf dem Markt einkaufen kann: nämlich Awareness- und Phishing-Simulationen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
SAP-Sicherheit Vertrauensbildende Maßnahmen sind gefragt
Die Gefährdung von SAP-Implementierungen ist reell. Aber die bekannt gewordenen Fälle stellen nur die Spitze des Eisbergs dar. Zugleich zeigen Umfragen, dass in Unternehmen die SAP-Sicherheitslage durchaus negativ eingeschätzt wird. Nur Wissen und die dafür notwendigen Ressourcen können hier Vertrauen schaffen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
Über 65 Prozent der im Rahmen der im Februar 2016 veröffentlichten Ponemon-Studie „Uncovering the Risk of SAP Cyber Breaches“ befragten Verantwortlichen in Global-2000-Unternehmen gaben an, dass im Verlauf der letzten zwei Jahre mindestens einmal in ihre SAP-Instanz im Unternehmen eingedrungen wurde.
Nach Aussagen der Teilnehmer unterschätzen 63 Prozent der C-Level-Entscheider die Risiken für die individuellen SAP-Konfigurationen in Unternehmen und Abteilungen. 76 Prozent gaben an, dass die Führungsebene in ihrem Unternehmen die geschäftskritische Bedeutung der SAP-Systeme für die Profitabilität des Unternehmens zwar verstehen, aber nur 21 Prozent trauen dem C-Level zu, die Auswirkungen von Lücken in der SAP-Sicherheit korrekt wahrzunehmen.
Gefühlte Unsicherheit
54 Prozent der Befragten befürchten, dass die Verborgenheit und die Komplexität von Angriffen auf SAP-Plattformen steigen wird. Eine berechtigte Einschätzung, die aber übersieht, dass viele Angriffe einfacher werden. Durch neue Einrichtungsszenarien wie Cloud, Mobilität oder auch das Internet der Dinge, verlassen SAP-Systeme den Schutz der Firewalls und können von außen angegriffen werden.
In der Folge fehlt das Vertrauen in die Sicherheit der eigenen SAP-Implementierungen. Nur 25 Prozent glauben, einen Zugriff auf SAP-Systeme sofort zu bemerken. Ganze 53 Prozent der Befragten sind zuversichtlich, einen Einbruch innerhalb eines Jahres festzustellen.
Den Gesamtschaden einer notwendigen Abschaltung eines SAP-Systems taxieren die Studienteilnehmer im Schnitt auf 4,5 Millionen Dollar – unter Berücksichtigung aller Kosten der Schadenbehebung sowie der entgangenen Geschäftsmöglichkeiten, also aller direkten Ausgaben, direkter und indirekter Lohnkosten, allgemeiner Unkosten und auch entgangener Geschäftschancen. Einige wenige Befragte schätzten die Schadenhöhe auf 50 bis 100 Millionen Dollar.
Hacker wissen zudem, dass Attacken auf SAP-Konfigurationen hochrentabel sind: Mit einem einmalig entwickelten Exploit erzielen Angreifer sehr hohe wirtschaftliche Skaleneffekte, weil sie die Technologie angreifen, die die Geschäftsprozesse der wichtigsten 2.000 Unternehmen weltweit steuert. Das Risiko entdeckt zu werden, bleibt gering, weil viele Unternehmen immer noch nicht über die Kompetenz, Prozesse und Technologien verfügen, um alle Angriffe zu entdecken.
Was tun – wo ansetzen?
Daher ist es notwendig, Abhilfe zu schaffen. Die Verantwortlichen müssen sich besser mit der Sicherheit ihrer SAP-Systeme befassen. Am Anfang geht es aber erstmal darum, Verantwortlichkeiten festzulegen. Hier offenbart die Ponemon-Studie eine bemerkenswerte „Verantwortungslosigkeit“.
So ist intern häufig unklar, wer für den schlechten Zustand der eigenen SAP-Sicherheit zur Verantwortung zu ziehen wäre. 21 Prozent der Befragten der Ponemon-Studie halten die IT-Infrastruktur-Teams für verantwortlich, 19 Prozent das SAP-Sicherheitsteam, 18 Prozent die allgemeine IT-Sicherheit, sechs Prozent die Audit-Teams. Und zwei Prozent denken, diese Kompetenz falle in den Bereich des Aufsichtsrats.
Als erstes steht daher für alle Stakeholder auf der Agenda, die Verantwortung zu verteilen. Wenn dieses aber fair erfolgen und die Verteilung akzeptiert werden soll, müssen die Verantwortlichen sowohl über die Ressourcen wie auch das Wissen für die kontinuierliche automatisierte Analyse und eine daraus abzuleitende kontinuierliche Abwehr verfügen.
Im Pflichtenheft stehen daher nicht nur SAP-Sicherheitsansätze und spezielle Sicherheitslösungen, sondern auch:
Wissen: Alle Beteiligten sollten die Topologie der eigenen SAP-Infrastruktur mitsamt der Entwicklungs- und Qualitätssicherungssysteme sowie die Wechselwirkungen von Daten und Anwendungen genau kennen. Ein kontinuierlicher Überblick über bestehende Sicherheitslücken fehlt in vielen Unternehmen.
Ressourcen: Viele Verantwortliche kommen nicht hinterher, Sicherheitsupdates einzuspielen, von denen viele zudem aufwändige Neukonfigurationen nach sich ziehen. Nicht wenige lassen deshalb lieber Lücken offen, anstatt eine Unterbrechung der SAP-gestützten Geschäftsprozesse durch Fehlupdates zu riskieren. So können Angreifer häufig längst per Patch schließbare Schwachstellen ausnutzen. Erst das Wissen über die Schwachstellen sowie eine präzise Anleitung, sie zu schließen, macht es möglich, effizient Lücken zu schließen.
Priorisierung: Bei der rein technischen Beschreibung einer Schwachstelle bleibt deren Auswirkung auf unternehmenskritische Geschäftsprozesse oft unklar. Dabei ermöglicht eine unsichere Konfiguration unter Umständen Betrug, Sabotage, Spionage oder auch die totale Kontrolle über ein System – auch wenn ein Hacker diese Möglichkeit nicht ausspielen will, um unerkannt zu bleiben und um das System, von dem er profitieren will, nicht zu zerstören. Oft fehlt die Priorisierung der Lücken nach diesen betriebswirtschaftlichen Kriterien. Aber nur aufgrund solcher Informationen können die Ressourcen zur Abwehr richtig eingesetzt werden.
Echtzeit-Abwehr: Wichtig ist aber auch die Blockade neuer Bedrohungen, noch bevor es zum Patch kommt. Virtuelles Patching schützt gegen externe wie interne Angriffe sofort nach ihrem Bekanntwerden. Leider liegt das Fenster der Verwundbarkeit von der Entdeckung bis zum Aufspielen von Patches nach unseren Erfahrungen im Schnitt bei 12 Monaten.
Erst so wird SAP-Sicherheit machbar und Verantwortung tragbar. Und der mögliche Erfolg hat vielleicht schon bald viele Väter.
* Mariano Nunez ist CEO und Mitbegründer von Onapsis.
(ID:44198836)
:quality(80)/p7i.vogel.de/wcms/57/6e/576e92a747d7bc199a9b5065d94999b5/0106901146.jpeg "Endpoints benötigen ein möglichst hohes Sicherheitsniveau, doch Unternehmen tun sich oft schwer damit. (Bild: © – ArtemisDiana – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1915600/1915607/original.jpg "Cyberangriffe: Laut einer Umfrage von IDC sind deutsche Unternehmen zu wenig geschützt. (TheDigitalArtist )")