Anzeige

SAP-Umgebung

In ERP-Systemen lagern die wertvollsten Daten eines Unternehmens. Und nicht nur das – Angreifer zielen zunehmend auf ERP-Systeme. Es sind vor allem drei Gründe, die es für Hacker lohnenswert macht, SAP-Systeme ins Visier zu nehmen.

Aus Sicht der IT Security war es keine Übertreibung 2017 ein spannendes Jahr zu nennen. Kein Wunder, angesichts von WannaCry, dem Equifax-Hack oder der Attacken auf politische Wahllämpfe. IT Security-Abteilungen haben ihr Netzwerk im Griff, sichern die Internetseite ab und versorgen alle PCs mit der neuesten Anti-Virus-Software. Aber wie gut geschützt sind die SAP-Systeme? Schließlich lagern dort die wertvollsten Daten eines Unternehmens. Und nicht nur das – Angreifer zielen zunehmend auf ERP-Systeme. Es sind vor allem drei Gründe, die es für Hacker lohnenswert macht, SAP-Systeme ins Visier zu nehmen.

3 Gründe, warum SAP-Systeme bei Hackern so beliebt sind

  1. Da ist erstens die Technologie. Ein SAP-System ist unglaublich komplex. Die SAP Business Suite besteht aus fast 400 Millionen Zeilen Code. Zum Vergleich: ein Linux-System umfasst gerade einmal gut 70 Millionen Zeilen. Diese Komplexität entsteht, weil ein SAP-System neben den Anwendungen quasi eine eigene IT-Infrastruktur bietet. Inklusive Identity-Management, Rollen und Berechtigungen und eigenen Kommunikationsprotokollen, SAP NetWeaver könnte sogar als eigenes Betriebssystem bezeichnet werden.

    Der Punkt ist: innerhalb dieser komplexen Welt gibt es zahlreiche sicherheitsrelevante Einstellungen. Diese Einstellungen richtig zu setzen, liegt in der Verantwortung jedes einzelnen Kunden. Nehmen wir ein Beispiel aus dem Jahr 2017: Equifax. Eines der Probleme, die zu dem spektakulären Verlust von 143 Millionen Daten geführt hat, war ein schwaches Passwort. Bei einer Datenbank wurde das Standardpasswort des Standardbenutzers nicht geändert. Die Kombination admin/admin ist so einfach, dass es Hackern vermutlich fast peinlich ist, dieses Leck auszunutzen - einerseits. Ein frisch installiertes SAP-System, andererseits, enthält nicht nur einen Standardbenutzer mit umfangreichen Rechten, sondern gleich mehrere. Diese herauszufinden und auf einem beliebigen SAP-System auszuprobieren, verlangt keine großen Programmierkenntnisse oder Hacking-Erfahrungen, eine zehnminütige Google-Suche genügt. Dies wiederum sind nur wenige Einstellungen von tausenden, die ein Angreifer nutzen könnte, um das SAP-System zu kapern. 
     
  2. Das zweite Problem sind die Sicherheitshinweise der SAP. Diese jeden Monat einzuspielen ist nicht immer einfach oder überhaupt machbar. Ein produktives System kann nicht, falls es der Sicherheitshinweis verlangt, ohne weiteres neu gestartet werden, um nur ein Hindernis beim Einspielen von Hinweisen zu nennen. Ein weiteres Einfallstor für Angreifer, die mit Veröffentlichung der Sicherheitshinweise natürlich die dadurch eigentlich geschlossene Lücke ebenfalls kennen.
     
  3. Kundenindividuelle Codings. Ein weiterer Grund, der es für Angreifer attraktiv macht, SAP-Systeme anzugreifen, ist eine Besonderheit, die in anderen Applikationen so nicht vorhanden ist. SAP erlaubt es, kundeneigene Applikationen zur Funktionserweiterung zu erstellen – und beinahe jeder Kunde des Softwaregiganten aus Walldorf nutzt diese Möglichkeit. So enthält ein SAP-System im Schnitt 2 Millionen Zeilen kundenindividuellen Codings. Für diesen Code ist der Kunde verantwortlich – nicht die SAP. Eine Analyse von über 370 Kundensystemen zeigt, dass innerhalb dieser 2 Millionen Zeilen Code circa eine kritische Sicherheitslücke pro 1000 Zeilen Code existiert. Anders gesagt: ein durchschnittliches SAP-System enthält um die 2000 Sicherheitslücken, von denen jede einzelne geeignet ist, das System zu kompromittieren. Die Sicherheitslücken sind dabei vielfältig.

Es gibt durchaus effektive Maßnahmen, diese SAP-Schwächen auszugleichen und die wertvollen Unternehmensdaten zu schützen. 


Lesen Sie den vollständigen Artikel von Patrick Boch, Virtual Forge GmbH, im eBook: 

eBook SAP


Innovationen helfen, das besehende Business voranzubringen. Natürlich gilt das auch für SAP-Systeme. Das eBook SAP-Innovationen stellt zukunftsweisende Lösungen aus dem SAP-Ökosystem vor.

 

SAP-Innovationen: 
Das Ökosystem bietet viele Chancen

Deutsch, 25 Seiten, PDF ca. 5,5 MB, kostenlos



Jetzt für den Newsletter anmelden und gleich das PDF herunterladen!

Wir möchten Sie im Newsletter persönlich anreden und bitten Sie, die richtige Anrede auszuwählen und Ihren Namen einzutragen




Ja, ich möchte künftig wöchentlich per Newsletter Shortnews, Fachbeiträge und Whitepaper für die Enterprise IT erhalten. Meine Einwilligung zur Registrierung kann ich jederzeit widerrufen.
Ich habe die Datenschutzbestimmungen gelesen und akzeptiere diese.

 

 

 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Public Cloud
Sep 04, 2018

SAP S/4HANA aus der Public Cloud

Mit SAP S/4HANA können Unternehmen die Chancen der Digitalisierung in Echtzeit…
Strategie-Sitzung
Aug 28, 2018

Digitalisierungsstrategien mit SAP auf dem Prüfstand

Der diesjährige DSAG-Jahreskongress der deutschsprachigen SAP-Anwendergruppe e.V. steht…
Aug 07, 2018

SAP S/4HANA: Mit Echtzeit in die Neuzeit?

In einer aktuellen internationalen IDC-Umfrage gaben mehr als zwei Drittel der befragten…

Weitere Artikel

digitales Business Team

Auch ohne IT-Ausbildung - Was einen guten SAP-Berater wirklich ausmacht

Ähnlich wie bei anderen Berufen aus der Sparte der Unternehmensberatung haben SAP-Berater top Karrierechancen und können mit überdurchschnittlichen Vergütungen rechnen. Gleichzeitig trauen sich viele Interessenten oft nicht an das Metier heran, weil sie eine…
SAP App Center

SAP App Center mit neuen Funktionen

Die SAP hat erweiterte Funktionen für das SAP App Center angekündigt, über das Kunden Partneranwendungen auf Basis von SAP-Lösungen kennenlernen, testen und kaufen können.
ERP

Implementierung von Cloud- und ERP-Lösungen

Ein Interview mit Chris Brown und Florian Gehring von Salesfive. Thema hierbei ist die Implementierung von Cloud- und ERP-Lösungen am Arbeitsplatz und die dadurch „reduzierte Fehlerwahrscheinlichkeit“.
Corona Smartphone

Mindestabstand mit Künstlicher Intelligenz sicherstellen

Am 16. April hat das Bundesarbeitsministerium neue Arbeitsschutzstandards festgelegt, die insbesondere während der Corona-Pandemie zu beachten sind. Die Wirtschaft soll schrittweise zur Vorkrisen-Leistung zurückkehren. Ein hohes Maß an Sicherheit und…
Paul Hewitt Anker Logo

Paul Hewitt verankert effiziente Prozesse in neuem ERP-System

Mit dem Anker-Armband begann der Erfolg der maritim geprägten Marke Paul Hewitt. Das weitere Wachstum des Unternehmens verlangte reibungslose Abläufe und ein handelstaugliches ERP-System.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!