
Durch die wachsende Cyberkriminalität sind auch die SAP-Systeme bedroht, aber längst nicht alle Unternehmen haben bereits ausreichende und effektive Sicherheitsvorkehrungen getroffen. Die Herausforderung besteht vor allem in der Risikobewertung und der Priorisierung von Maßnahmen.
Die Gefahr durch Cyberkriminalität für Unternehmen wächst, auch kleinere Unternehmen sind zunehmend betroffen. Die Angriffe werden gezielter und professioneller. Langfristig geplant, bleiben sie oft über längere Zeit unentdeckt. Gleichzeitig sind moderne, hybride IT-Strukturen mit oft mehreren Cloudlösungen aufwändiger zu schützen. Somit steigen die Anforderungen an die IT-Sicherheit. Eine besondere Herausforderung besteht dabei für SAP-Anwender. Die weit verbreitete, proprietäre ERP-Kernlösung mit ihren zahlreichen Modulen und Ergänzungen ist ebenso angreifbar wie die anderen IT-Systeme und bildet innerhalb der IT-Infrastruktur eine eigene Welt – mit ungeheuren Mengen an Quellcodes in SAP’s proprietärer Programmiersprache, betreut durch Spezialisten. Die Zusammenarbeit und der Austausch zwischen SAP-Experten und IT-Verantwortlichen läuft aber noch längst nicht in allen Organisationen optimal. Das kann dazu führen, dass weder SAP-Spezialisten noch IT-Sicherheitsexperten den Schutz der unternehmenseigenen SAP-Landschaft wirklich im Blick haben. Während SAP-Verantwortliche ihren Fokus vor allem auf die korrekte Vergabe von Rollen und Berechtigungen legen, ist den zuständigen Managern für IT-Sicherheit oft nicht bewusst, wie komplex und entsprechend gefährdet SAP-Landschaften sind.
Ein Angriff auf SAP-Systeme bedroht die Kernfunktionen des Unternehmens
Eine enge Zusammenarbeit und ein übergreifendes Konzept sind aber gerade im Bereich der Cybersecurity dringend geboten, schließlich sind es die am meisten schutzwürdigen Daten, die im ERP-System hinterlegt sind: Kundendaten, Produkt- und Materialdaten bis hin zu Rezepturen, Produktionsplänen, Logistikdaten und immer öfter IoT-Anbindungen. Ein Angriff in diesen Bereichen trifft Unternehmen ins Mark. Es drohen Produktionsausfälle, das Abgreifen von IP und Know-How, Datenverluste mit entsprechenden Folgen wie Schadensersatzforderungen und Imageschäden.
Mit professionell und systematisch geplanten Angriffen rechnen
Mit welchen Angriffen muss gerechnet werden und wie können sich Unternehmen schützen? „Kunden berichten von sehr gezielten Angriffen, die offenbar auf längere Sicht geplant waren und in mehreren Etappen stattfinden“, erläutert Stefan Rühle, Vorstandsvorsitzender bei The Digital Workforce Group.
Das entspricht generell dem Muster moderner Cyberangriffe. Konkret bedeutet das: Zunächst werden mögliche Ziele erfasst, virtuelle Karten und Übersichten erstellt mit Vermerken, wo die Server stehen und welche Systeme und Versionen installiert sind. Werden dann Sicherheitslücken in bestimmten Systemen bekannt (oder selbst entdeckt), sind sofort auch die Ziele klar. Oft werden dann sogenannte Rootkits eingeschleust, die zunächst unbemerkt bleiben sollen, damit die Angreifer die internen Systeme ausforschen können. Erst später, evtl. sogar erst nachdem die ursprüngliche Sicherheitslücke bereits behoben ist, erfolgt dann der eigentliche Angriff. Auch die Möglichkeit, über Software von (kompromittierten) Drittanbietern Malware einzuschleusen, gilt es zu berücksichtigen, ebenso wie die Unterwanderung von Lieferanten- und Kundennetzwerken. Auf Grund der hohen Komplexität gibt es eine ganze Reihe von Einfallstoren in SAP Systeme. Standardpasswörter, schlecht abgesicherte gefährliche Dienste, zu weitreichende Berechtigungen und fehlende Sicherheits-Patches machen SAP Systeme häufig zu einer leichten Beute. „Angriffe können dabei in vermeintlich unwichtigen – und daher schlechter gesicherten – Systemen beginnen, sich dann aber über SAP-interne Verbindungen auf andere, kritische Systeme ausweiten“ erläutert Rühle. Penetrationstests sind also auch in Bezug auf SAP-Systeme unverzichtbar.
Die Herausforderung: Risiken evaluieren
In der Praxis ist es für IT-Sicherheitsverantwortliche in den Unternehmen aber oft nicht leicht, die Risiken zu bewerten und die wirkungsvollsten Maßnahmen zu finden. Nicht selten wird zum Beispiel der komplette Custom Code mittels Codescanner untersucht. Das dauert sehr lange und liefert jede Menge Ergebnisse, vor allem auch falsch Positive. Die gefundenen Fehler werden dann mit hohem Ressourcenaufwand verifiziert und ggf. berichtigt. Doch tatsächlich stellen Fehler im eigenen Programmiercode meist ein geringeres Risiko dar, weil sie nicht öffentlich bekannt sind. Dagegen lassen sich aus den Patches, die SAP jeden Monat veröffentlicht, in kürzester Zeit Rückschlüsse ziehen auf die Sicherheitslücken, die damit behoben werden sollen. Professionelle Hacker, die sich im Vorfeld schon einen Überblick verschafft haben, welche SAP-Systeme und Releases wo im Einsatz sind, können diese Informationen für gezielte Angriffe auf gleich mehrere betroffene Unternehmen nutzen. Angesichts dieses Risikos ist es unabdingbar, wichtige Sicherheitspatches schnellstens ins System einzuspielen.
Sicherheitsbudget optimal nutzen
Budget und Ressourcen für IT-Security sind begrenzt und eine 100-prozentige Sicherheit wird es nie geben. Die Aufgabe besteht also darin, das verfügbare Budget so einzusetzen, dass die größten und gefährlichsten Schäden verhindert werden. Dazu müssen zunächst die einzelnen Bedrohungen eingeschätzt werden: Datenintegrität, Datenverlust, Systemverfügbarkeit – wo droht der größte Schaden, aber auch: Wie wahrscheinlich sind bestimmte Angriffsszenarien in dem jeweiligen Bereich? Diese Analyse braucht etwas Zeit, in der Regel können die internen Experten aufgrund ihrer Branchen- und Unternehmenskenntnis die einzelnen Punkte aber gut einschätzen. Schwerer fällt der Vergleich der Risiken untereinander, da hier jeweils auch unterschiedliche Verfahren zur Bewertung herangezogen werden. Was ist für das Unternehmen gefährlicher – eine Schwachstelle mit CVSS 8.7 oder zwei Schwachstellen die mit High/Very High bewertet sind? Wurde bei der Bewertung auch berücksichtigt, welches SAP System betroffen ist? Unternehmen können aber auch auf die Expertise externer Security-Dienstleister zurückgreifen. So hat zum Beispiel CAIBERP eine Bewertungsmatrix entwickelt, die eine Harmonisierung und Gesamtbetrachtung aller Risiken in der gesamten SAP Landschaft ermöglicht und eine zentrale Übersicht der kritischsten Risiken liefert. Auf Basis dieser Bewertung können dann die Maßnahmen zum Schutz vor Cyberkriminalität mit der richtigen Priorität umgesetzt werden.
Die Erfolgsfaktoren für die Cyber-Sicherheit der SAP-Systeme lassen sich also wie folgt zusammenfassen:
- Bewusstsein für die Sicherheitsbedrohungen der SAP-Systeme
- Enge Zusammenarbeit zwischen IT-Sicherheitsverantwortlichen und SAP-Spezialisten
- Sorgfältige Risikoanalyse und -evaluierung
- Priorisierung der Sicherheitsmaßnahmen.
Autor: Andreas Wiegenstein, CAIBERP/ The Digital Workforce Group
Weitere Informationen: www.thedigitalworkforcegroup.com
Empfehlung der Redaktion:
Code Security in SAP ERP Systemen – Empfehlungen und Erfahrungen aus Kundenprojekten
https://www.all-about-security.de/podcast/code-security-in-sap-erp-systemen-empfehlungen-und-erfahrungen-aus-kundenprojekten/
Code Security in SAP ERP Systemen – Aus dem Nähkästchen geplaudert
https://www.all-about-security.de/podcast/code-security-in-sap-erp-systemen-aus-dem-naehkaestchen-geplaudert/
Code Security in SAP ERP Systemen – Einführung
https://www.all-about-security.de/podcast/code-security-in-sap-erp-systemen-einfuehrung/
Fachartikel

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen

Attraktivität von MSP-Geschäftsmodellen gegenüber Investoren gezielt steigern

Schlüsselfaktoren für das Engagement im Bereich Managed Detection and Response (MDR)

Setzen Sie die Datensicherheit Ihres Unternehmens nicht aufs Spiel
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen

TXOne Networks und Frost & Sullivan veröffentlichen Jahresbericht 2022 über aktuelle Cyberbedrohungen im OT-Bereich

Fast die Hälfte aller Organisationen im Gesundheitswesen von Datensicherheitsverletzungen betroffen

Ransomware-Gruppe LockBit steckt am häufigsten hinter der illegalen Veröffentlichung gestohlener Daten
Unter4Ohren

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit

PwC Deutschland – Corporate Security Benchmarking Survey
