Die Zuständigkeit für SAP-Sicherheit befindet sich oft im Niemandsland

Zwei Drittel der Befragten einer Studie zur SAP-Sicherheit haben bereits einen Systemeinbruch festgestellt. Mariano Nunez erläutert die Konsequenzen.

Das Ponemon Institute hat eine Studie zum Stand der Sicherheit von SAP-Systeme veröffentlicht. Die Ergebnisse wurden...

in dem Report „Uncovering the Risk of SAP Cyber Breaches“ präsentiert, der vom Sicherheitsanbieter Onapsis in Auftrag gegeben wurde. Wir sprachen mit Mariano Nunez, CEO und Mitbegründer von Onapsis, über die Ergebnisse der Studie, welchen Risiken SAP-Systeme aktuell ausgesetzt sind und welche Konsequenzen sich daraus ergeben.

Wie hoch ist das tatsächliche Risiko für Unternehmen, dass ihre SAP-Systeme Ziel eines Cyberangriffs werden?

Mariano Nunez: 65 Prozent der befragten IT-Entscheider gaben an, dass in den letzten zwei Jahren mindestens einmal in die SAP-Plattform ihres Unternehmens eingedrungen wurde. Nach Aussagen der Teilnehmer unterschätzen aber die C-Level-Entscheider die Risiken für die individuellen SAP-Konfigurationen in Unternehmen und Organisationen: Offenbar erfassen sie nur unzureichend die Schäden, die der Verlust von Daten oder die Unterbrechung von Geschäftsprozessen verursachen kann. Erstaunlich, denn schließlich verwalten die individuellen SAP-Implementierungen die wichtigsten Geschäftsprozesse und tatsächliche Unternehmenswerte wie zum Beispiel Kundendaten, Finanzberichte und Personalunterlagen. Die vertrauliche und unternehmenskritische Natur dieser Informationen macht diese zu einem bevorzugten Ziel für Cyberkriminelle.

Was sind die größten Risiken für ein SAP-System?

Nunez: Das hängt davon ab, wie ein Unternehmen SAP einsetzt. Werden vertrauliche Informationen in SAP-Systemen gespeichert, ist Informationsdiebstahl das höchste Risiko mit Gefahren für die Reputation und die Compliance eines Unternehmens. In anderen Fällen stellen Sabotage-Angriffe und daraus folgende Abschaltungen des Systems oder Unterbrechungen zentraler Geschäftsprozesse die größte Bedrohung dar. Solche Attacken beeinträchtigen in der Regel auch die Datenintegrität.

50% der Teilnehmer an der Ponemon-Studie glauben, dass die Attacken innerhalb der nächsten zwei Jahre zunehmen werden. Worin liegen die Gründe für diesen Anstieg?

Nunez: Zum einem verlassen SAP-Systeme durch neue Einrichtungsszenarien, wie zum Beispiel Cloud, Mobilität oder auch das Internet der Dinge, die Deckung der Firewall-geschützten Zone. Zum zweiten nehmen viele Kunden wahr, dass sie nicht über die geeigneten Lösungen verfügen, solche Angriffe zu verhindern oder zu entdecken – und die Angreifer wissen das. Zum dritten befindet sich die Zuständigkeit für SAP-Sicherheit oft im Niemandsland zwischen den Teams für Informationssicherheit und denen für SAP-Verwaltung, so dass viele Implementierungen nicht so sicher sind, wie sie sein sollten.

Angriffe auf SAP-Konfigurationen sind zudem hochrentabel: Mit einem einmalig entwickelten Exploit erzielen Angreifer enorme wirtschaftliche Skaleneffekte, weil sie die Technologie angreifen, die die Geschäftsprozesse der wichtigsten 2.000 Unternehmen weltweit steuert. Das Risiko entdeckt zu werden, bleibt gering, weil viele Unternehmen immer noch nicht über die Kompetenz, Prozesse und Technologien verfügen, um alle Angriffe zu entdecken.

Die Studie zeigt ebenfalls, dass der Effekt eines Einbruchs in eine SAP-Landschaft auf 4,5 Millionen Dollar durchschnittlich geschätzt wird. Worauf beruhen diese Zahlen?

Nunez: Dieser Durchschnittswert errechnet sich aus den Angaben alle Studienteilnehmer. Das Risiko hängt wie gesagt vom Einsatz des SAP-Systems ab. Bei der Einschätzung berücksichtigten die Teilnehmer alle direkten Ausgaben, direkte und indirekte Lohnkosten, allgemeine Unkosten und auch verlorene Geschäftsmöglichkeiten. Einige Befragte taxierten die Schadenhöhe bei 50 bis 100 Millionen Dollar. Ein Fortune-500-Teilnehmer erwähnte uns gegenüber, dass die Abschaltung seines SAP-Systems einen Schaden von bis zu 22 Millionen Euro pro Minute verursachen würde.

Was können IT-Sicherheitsexperten machen, um das Risiko möglicher Attacken auf SAP-Infrastrukturen zu senken?

Nunez: Zum einem geht es darum, die eigene SAP-Landschaft zu inventarisieren, eine Topologie der Instanzen und des Datenverkehrs zwischen den Servern aufzuzeichnen sowie die einzelnen Business-Prozesse und Informationen, die ein System verwaltet, mit ihren Wechselwirkungen zu erkennen. Unternehmen müssen dann im nächsten Schritt in der Lage sein, die Risiken ihrer jeweiligen SAP-Konfigurationen kontinuierlich zu analysieren.

Mariano Nunez, Onapsis

Dabei geht es nicht nur um die technischen Lücken, sondern auch darum, diese Lücken mit den möglichen Auswirkungen auf die Geschäftsprozesse und die Compliance des Unternehmens zu korrelieren und dabei auch die Wahrscheinlichkeit eines Angriffes zu berücksichtigen. Nur so können die Verantwortlichen Bedrohungen erkennen und die Abwehr priorisieren. Um das über den gesamten Lebenszyklus einer SAP-Infrastruktur zu ermöglichen, muss auch die Überwachung der SAP-Infrastruktur Teil des unternehmensweiten IT-Sicherheitsprozesses werden: durch eine kontinuierliche Überwachung des Systems, die Abwehr neuer Bedrohungen und die Erkennung abnormalen Verhaltens.

Mehr als die Hälfte der Studienteilnehmer sieht die Verantwortung bei SAP, wenn es um die Absicherung der Anwendungen geht. Was kann SAP machen, um Unternehmen eine sicherere Systemumgebung zu bieten?

Nunez: SAP unternimmt bereits viel. Der Softwarehersteller kooperiert seit langen – zum Beispiel auch mit unseren Experten – um die Entwicklung von Cyberangriffen besser zu verstehen und um Sicherheit auch mit Technologien herzustellen, die über den traditionellen Ansatz der Segregation of Duties hinausgehen. Wir haben SAP dabei geholfen, über 250 Schwachstellen zu entdecken und zu schließen. Fast alle dieser Änderungen wurden als SAP Security Notes an die Kunden weitergegeben. Zudem informiert SAP proaktiv und offen über die Notwendigkeit, SAP-Plattformen vor Cyberangriffen zu schützen. Meiner Meinung nach hat der Hersteller sehr viel in den Entwicklungsprozess investiert, so dass die Lösungen nun bereits beim Eintritt in den Markt sicherer sind.

Nichtsdestotrotz kann SAP, wie auch jeder andere große Softwareanbieter, nicht alle individuellen Implementierungen und Konfigurationen der Kunden sichern. Jeder Kunde konfiguriert sein System anders, ganz individuell, nach internen und externen Anforderungen und der Bereitschaft, Risiken zu tolerieren. Unabhängig vom Anbieter bringt damit jedes komplexe System sein eigenes Risiko mit sich. Das Unternehmen muss also über seine Risikotoleranz selbst entscheiden und die Informationen und Hilfestellungen des Herstellers oder eines Sicherheitspartners nutzen und so das von ihm gewünschte Sicherheitsniveau aufrecht zu erhalten.

SAP bietet mit Enterprise Threat Detection und seiner Security Suite eigene Lösungen zum Schutz und zur Abwehr von Gefahren. Wieso sollen Unternehmen noch die Dienste von Onapsis nutzen?

Nunez: Ähnlich wie bei anderen großen Softwareanbietern wie Oracle oder Microsoft, bietet das Portfolio von SAP einige eingebaute Sicherheitsfunktionen und Tools, häufig auch gebührenfrei. In der Tat scheinen sich einige dieser Dienste mit unserem Angebot patentierter Sicherheitslösungen und -dienste zu überschneiden.

Dennoch muss es genügend gute Gründe geben, wieso CISOs und CIOs in großen Unternehmen weiter auf spezielle Sicherheitsprodukte und Dienste vertrauen. So wissen viele Verantwortliche, dass wirkliche Cybersicherheit die Zusammenarbeit mit einem unabhängigen, erfahrenen Anbieter erfordert, der sich rund um die Uhr um SAP-Sicherheit kümmert und um sonst gar nichts. Die von uns entwickelten Technologien basieren zum Beispiel auf der langjährigen Kenntnis von Schwachstellen unsicherer Konfigurationen, Compliance-Risiken, Mustern zur Angriffserkennung und Heuristik. Unsere Experten versorgen daher unsere Kunden mit einem Zero-Day-Schutz, noch bevor SAP-Patches verfügbar sind. Gefragt ist ein individuell anpassbarer Schutz der SAP-Konfiguration über die ganze Landschaft hinweg – von der Vorhersage über die Prävention bis zur Entdeckung und Abwehr.

Mehr zum Thema SAP-Sicherheit:

SAP HANA SPS 11 bietet erweiterte Security- und Analytics-Funktionen.

Onapsis veröffentlich neuen Service Business Risk Illustration für SAP-Systeme.

Onapsis Research Labs: Mehr kritische Schwachstellen in SAP-Umgebungen.

Security-Tutorial für SAP: In zehn Schritte zu mehr SAP-Sicherheit.

Was SAP für die Cloud-Security tut: Zertifikate, Audits, DMZ und Co.

Folgen Sie SearchEnterpriseSoftware.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im März 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über SAP-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchDataCenter.de

Close