Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

DSAG-Technologietage 2018
20.02.18 - 21.02.18
In Stuttgart

Sourcing von Application Management Services
21.02.18 - 21.02.18
In Frankfurt

Next Generation SharePoint
22.02.18 - 22.02.18
In München

Myth vs RealityFünf typische Aussagen belegen eine noch zu große Sorglosigkeit bei den IT-Security-Verantwortlichen. Gefahr für unternehmenswichtige Anwendungen und Prozesse.

Gefühlte Sicherheit ist häufig der erste Schritt in die reale Gefahr. Das gilt auch für das Feld der SAP-Sicherheit: Trotz permanenter Anstrengungen des Software-Herstellers besteht hier weiter Handlungsbedarf. Viele IT-Verantwortliche in Unternehmen übersehen neu entstehende Gefahren oder unterschätzen den Aufwand, ihre SAP-Landschaften und Geschäftsprozesse abzusichern. Häufig fehlen ihnen aber auch die nötigen Ressourcen. Zudem wiegen sich viele Beteiligte in vermeintlicher Sicherheit.

Die Experten von Onapsis, dem global agierenden Experten für die Sicherheit geschäftswichtiger Anwendungen, warnen daher vor den fünf am weitesten verbreiteten Mythen und Schutzbehauptungen rund um die Sicherheit von SAP-Umgebungen, die sie in Gesprächen mit IT-Verantwortlichen in Unternehmen häufig hören:

Mythos 1: „Wir patchen regelmäßig unsere SAP-Systeme“

IT-Abteilungen in Unternehmen sind einen großen Teil ihrer Zeit damit beschäftigt, neue SAP-Patches zu implementieren. Viele kommen dieser Aufgabe kaum nach, weil die Installation sehr vieler Updates mit hohem Aufwand verbunden ist. Die meisten dieser Aktualisierungen sind allerdings nicht sicherheitsrelevant, sondern verbessern die Funktionalität des Systems und beseitigen technische Probleme. Wer sicherheitsrelevante Patches ohne eine vorherige Analyse der bestehenden Infrastruktur und der eigenen Geschäftsabläufe einspielt, schafft oft neue Risiken für den Ablauf der Geschäftsprozesse. Vielen IT-Verantwortlichen ist nicht bewusst, dass zwischen dem Auftreten einer neuen SAP-spezifischen Bedrohung und der Implementierung eines dafür entwickelten Patches im Schnitt rund 18 Monate vergehen – ein enorm langes Zeitfenster, in dem das Unternehmensnetzwerk potenziell gefährdet ist. Das haben Analysen von Onapsis ergeben.

Mythos 2: „Auf unsere SAP-Plattform kann man nur intern zugreifen.“

Es gibt kein rein internes Netzwerk mehr. Fast jede IT-Infrastruktur verfügt mittlerweile über Zugänge, über die externe Anwender auf die Plattformen und Geschäftsprozesse zugreifen können. Viele SAP-Systeme sind beispielsweise über Web-Anwendungen, SAP HANA oder SAP Mobile, aber auch über SAP-Umgebungen, die in der Cloud eingerichtet werden, an das Internet angebunden. Dass ein Zugang über eine App auch den Zugang zu allen SAP-Instanzen bedeuten kann, ist vielen Anwendern und IT-Verantwortlichen nicht bewusst. Über gezielte Spear-Phishing-Attacken auf einzelne Mitarbeiter verschaffen sich Hacker die dafür notwendigen Zugangsdaten. Auch Zulieferer haben Zugang auf die SAP-Plattform. Diese können sie missbrauchen oder sie können durch Dritte für Angriffe missbraucht werden. Nicht zu vergessen sind auch die eigenen Mitarbeiter, die mobile Anbindungen etwa für ihre eigenen Zwecke nutzen können. Auch Kundenportale eignen sich als Einfallstor.

Mythos 3: „Unser SAP-Sicherheits-Team kümmert sich um die Gefahren.“

Viele Teams fokussieren sich in Sachen Sicherheit vor allem auf den klassischen Segregation-of-Duties-Ansatz. Dieser regelt vermeintlich alle Aspekte der Sicherheit durch die Kontrolle von Nutzerrollen und Autorisierungen. Das ist sinnvoll, sorgt aber nicht für vollständige Sicherheit. Denn viele Angriffe zielen auf den Transaktions-Layer ab und hebeln den SoD-Ansatz aus. Vielen Verantwortlichen in den Fachabteilungen fehlen die Fähigkeiten, Hilfsmittel und Ressourcen, um Sicherheitslücken auf dem Transaktions-Layer zu beheben und Angriffe auf dieser Ebene abzuwehren.

Zudem sind die Zuständigkeiten in Sachen SAP-Sicherheit oft schlecht verteilt. Nicht wenige CISOs beauftragen hierfür IT-Sicherheitsadministratoren, die keinen Überblick und Einblick in die SAP-Plattform haben. Bisweilen weisen sich Fachabteilungen, IT-Administratoren und CISOs die Verantwortungen gegenseitig zu. Fortschrittliche Unternehmen haben die Kompetenzen hingegen mittlerweile klar geregelt und technische Ressourcen bereitgestellt, damit jeder seine Aufgaben auch erledigen kann. Hier haben viele Organisationen noch Handlungsbedarf.

Mythos 4: „Das können nur hochkompetente Angreifer!“

Diese Aussage greift zu kurz, denn es gibt diese Angreifer durchaus. Die technischen Fähigkeiten unlauterer Wettbewerber, verärgerter Mitarbeiter, Hacktivisten oder fremder Staaten dürfen Unternehmen in ihrer technischen Kompetenz nicht unterschätzen. Und selbst talentierte Skript-Skiddies finden mittlerweile im Internet genug Informationen und Anleitungen für Angriffe auf SAP-Systeme.

Mythos 5: „Wir werden auf SAP HANA migrieren, und damit sind wir sicher.“

SAP HANA wird nicht alle Probleme lösen. Je weiter sich die Plattform verbreitert, umso attraktiver wird sie für Angreifer. Der Softwarehersteller ist sich der Problematik bewusst und reagiert. 2014 nahm die Zahl der Sicherheitspatches für SAP HANA gegenüber dem Vorjahr um 450 Prozent zu. 82 Prozent der Patches wurden als „high priority“ eingeschätzt.

„Die Ergebnisse unserer Penetration-Tests zur Überprüfung der SAP-Sicherheit, die wir im Auftrag unserer Kunden durchführen, sprechen eine deutliche Sprache: Die Mehrzahl der Systeme weist enorme Sicherheitslücken auf“, erklärt Gerhard Unger, Vice President EMEA/APAC bei Onapsis. „Auch HANA wird diese Problematik nicht lösen. Das kann man auch von keiner Plattform verlangen. Wichtig ist neben der umfassenden Unterstützung durch den Software-Hersteller und klassischen Sicherheitsansätzen wie SOD und GRC vor allem die grundlegende Überprüfung der Risiken auf der Transaktionsebene – sei es SAP Netweaver oder SAP HANA. Lösungen, die automatisch und schnell SAP-Instanzen auf ihre Schwachstellen überprüfen, in Echtzeit Angriffe entdecken und automatisch IT-Abteilungen zu Abwehrmaßnahmen anhalten sowie auffälliges Anwenderverhalten überwachen, bleiben weiter unentbehrlich.“

www.onapsis.com

GRID LIST
Tb W190 H80 Crop Int 9d740e38cf32ac54829d35b81051d48d

Hacker sollen vor Quantentechnologie kapitulieren

Netzwerke, an denen sich Hacker todsicher die Zähne ausbeißen, sind nach einer neuen…
Tb W190 H80 Crop Int 33e73b25261b4f94d72c7793df32609a

Android-Trojaner stiehlt vertrauliche Daten von WhatsApp und Co.

Doctor Web entdeckte im Dezember einen Android-Trojaner, der Nachrichten und Bilder…
Tb W190 H80 Crop Int 8534c86a60d191365cb50a48df651c55

Hackerangriff auf Behörde, um Kryptogeld zu gewinnen

Wie jetzt bekannt wurde, ist das Landesamt für Besoldung und Versorgung Baden-Württemberg…
Tb W190 H80 Crop Int 294d4a259098ca5503fcaff9c2313cc7

Gute IT-Security - Vorsätze für das neue Jahr

Das neue Jahr ist wenige Tage alt und trotzdem haben Cyberkriminelle bereits tausende…
Tb W190 H80 Crop Int 412b12439a8b3e2b4660f00a51585909

IT-Security im Finanzbereich – diese drei Themen bestimmen 2018

Ein turbulentes Jahr liegt hinter der IT-Finanzbranche. Hackerangriffe wurden…
Vogel fängt Wurm

Die Rückkehr des Wurms

Vectra erwartet vermehrt Angriffe mit Würmern, Datendiebstahl in der Cloud und einen…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security