Essential Guide

SAP HANA: Die In-Memory-Lösung von SAP verstehen und nutzen

Eine umfassende Auswahl von Artikeln, Videos und mehr, die von unseren Redakteuren gewählt wurden.

Cyberkriminelle zielen häufiger auf SAP HANA und Oracle E-Business Suite

Immer mehr Enterprise-Anwendungen sind das Ziel von Cyberangriffen. Der Security-Anbieter Onapsis hat die häufigsten Angriffsmethoden evaluiert.

Eine wachsende Anzahl von Enterprise-Anwendungen ist das Ziel von Cyberangriffen. Zu diesem Ergebnis kommen die Research Labs des Security-Anbieters Onapsis. Als Ursache nennt das Unternehmen neben einer fehlerhaften Konfiguration beim Einsatz von SAP HANA und den Webanwendungen der Oracle E-Business Suite auch Schwachstellen der JD Edwards-Protokolle (JDE).

Nach Angaben von Onapsis sind rund 95 Prozent aller SAP-Systeme ein potenzielles Ziel von Cyberangriffen. Grund hierfür sind Fehlkonfigurationen durch Anwender und nicht installierte Patches. Beispielsweise könnten sich Hacker ohne Benutzername und Passwort Zugriff auf Prozesse sowie geschäftskritische Daten verschaffen.

„Die Zahl der vom Anbieter selbst oder von externen Forschern entdeckten Schwachstellen in allen ERP-Umgebungen steigt“, sagt Juan Pablo Perez-Etchegoyen, Chief Technology Officer von Onapsis. „Auch SAP HANA schafft hier keine Abhilfe. Die Echtzeit-Plattform SAP HANA verschlimmert die Situation sogar noch. Die Zahl neuer Sicherheitspatches, die speziell diese Plattform betreffen, hat 2014 im Vergleich zum Vorjahr um 450 Prozent zugenommen.“

Viele der Angriffe könnten nicht nur durch SAP-Experten erfolgen. Cyberattacken auf den Transaktions-Layer von SAP HANA kann nach Angabe von Onapsis jeder ausführen, der über Grundkenntnisse in Sachen IT-Sicherheit und Netzwerke verfügt.

Der Schaden durch Angriffe auf SAP-, Oracle- oder andere Enterprise-Systeme ist enorm. So schätzt das Center for Strategic and International Studies (CSIS) den weltweiten Schaden, der durch Betrug, Industriespionage und Sabotage verursacht wird, auf rund 445 Milliarden US-Dollar für 2014.

Mehr zum Thema Anwendungssicherheit:

So nutzen Sie den Patch-Assistenten der Oracle E-Business Suite (EBS).

Den Patch-Assistenten der Oracle E-Business Suite einsetzen.

Onapsis Research Labs: Mehr kritische Schwachstellen in SAP-Umgebungen.

SAP-Sicherheitsplattform: Onapsis Security Platform (OSP) vorgestellt.

In Deutschland schätzt der Sicherheitsdienstleister Corporate & Trust den Schaden durch Industriespionage im gleichen Jahr auf 11,8 Milliarden Euro. Die Studie zur Industriespionage 2014 ergab außerdem, dass ein Großteil der betroffenen Firmen einen Schaden zwischen 10.000 und 100.000 Euro hatten. Lediglich 3,6 Prozent der befragten Firmen haben sich gegen spezielle Cyberangriffe versichert.

Häufige Angriffsmethoden auf SAP- und Oracle-Systeme

Für Geschäftsanwendungen hat das Research Lab von Onapsis drei häufige Angriffsmethoden auf SAP- und HANA-Systeme, Webapplikationen der Oracle E-Business Suite und JD Edwards-Protokolle evaluiert:

  • SAP- und SAP-HANA-Systeme: Die häufigsten Schwachstellen ergeben sich bei den untersuchten SAP-Systemen vor allem durch fehlerhafte Konfigurationen sowie nicht installierte Patches. Cyberkriminelle nutzen zum Beispiel schwache Sicherheitseinstellungen in Qualitätssicherungs- und Entwicklungssystemen aus. Sind Hacker einmal im System, bewegen sie sich mithilfe von Pivoting zu den Produktivinstanzen. Auch SAP HANA ist regelmäßig das Ziel von Attacken. Installieren Unternehmen beispielsweise nicht den Patch gegen Buffer-Overflow-Angriffe, kann das System durch Denial-of-Service-Attacken (DoS) ausgehebelt werden.
  • Webanwendungen der Oracle E-Business Suite: Über die Suite sind Partner, Kunden und Mitarbeiter in verschiedene Unternehmensprozesse über das Internet eingebunden. Durch den Missbrauch einer unsicheren Konfiguration oder fehlende Patches können Hacker über Konten mit einer Standardautorisierung Zugriff auf das Kernsystem und geschäftskritische Informationen erhalten.
  • JD Edwards-Protokolle (JDE): Viele Systeme kommunizieren über offene APIs mit JDE. Cyberkriminelle können dabei Schwachstellen in den proprietären Protokollen ausnutzen und ohne Authentifizierung das gesamte System angreifen, Daten auslesen oder manipulieren.

Mögliche Schwachstellen lassen sich laut Onapsis in der Regel unkompliziert bekämpfen. Unternehmen sollten immer die neuesten verfügbaren Security-Patches installieren, die Konfiguration ihrer Systeme regelmäßig auf Fehler untersuchen und Anwendungen implementieren, welche die Enterprise-Anwendungen kontinuierlich überwachen.

 

Folgen Sie SearchEnterpriseSoftware.de auch auf Twitter, Google+ und Facebook!

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Essential Guide

SAP HANA: Die In-Memory-Lösung von SAP verstehen und nutzen

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchDataCenter.de

Close