Zentraler Schutz vor Cyberattacken

Im vergangenen Frühjahr warnten das Büro für Cybersicherheit und Digitale Infrastruktur (CISA) des US-Heimatschutzministeriums und die Sicherheitsfirma Onapsis vor erhöhten Risiken durch Attacken auf bekannte Fehlkonfigurationen in SAP-Anwendungen: „Viele SAP-Systeme sind in Gefahr.“

Grund war die Veröffentlichung eines Exploit-Baukastens namens 10KBLAZE, der Schadsoftware bereitstellt und es Hackern damit sehr leicht macht, die entsprechenden Systeme zu kompromittieren. Weltweit sollen neun von zehn SAP-Installationen mit zusammen über 50.000 Kunden betroffen sein.

In der SAP-Welt eher noch ein Novum, sind solche Angriffsbaukästen für Oracle-Schwachstellen schon länger in öffentlichen Foren verfügbar – und nicht minder gefährlich. So bilden die marktführenden SAP- und Oracle-Systeme bei den meisten Unternehmen das Herzstück von Digitalisierung, Cloud-Migrationen und IoT-Initiativen.

Werden sie zum Ziel von Cyberattacken, kann dies für ein Unternehmen sehr folgenreich sein – ob ein Angriff nun in Spionage-, Sabotage- oder Betrugsabsicht erfolgt. Gelingt es Cyberkriminellen nämlich, auf ganze Datenbestände zuzugreifen, um diese zu kopieren, zu ändern oder zu löschen, drohen hohe wirtschaftliche Schäden.

Zudem leidet die Reputation und das Vertrauen von Kunden schwindet. Gesteigert wird dieser Druck durch immer strengere regulatorische Anforderungen wie die EU-DSGVO, die Datenschutzverstöße mit hohen Bußgeldern ahndet.

Sicherheitslücken in drei Bereichen

Um solche Cybergefahren für ERP-Systeme wirksam abzuwehren, empfiehlt sich der Einsatz ganzheitlicher Sicherheitswerkzeuge. So wurden im SAP-Bereich drei Bereiche identifiziert, die maßgeblich für Sicherheitslücken verantwortlich sind: System­einstellungen, kundeneigener Code und das Einspielen von Transporten.

Mit umfassenden Analysewerkzeugen ist es möglich, die SAP-Systemkonfigurationen automatisiert zu prüfen, mögliche Fehler sofort zu beseitigen sowie erneute Konfigurationsfehler zu vermeiden („Audit automatisieren“). Zugleich können die kundeneigenen Code-Zeilen automatisch auf Schwachstellen in Sicherheit, Com­pliance und Qualität geprüft und diese bereinigt werden.

Durch die Analyse von SAP-Transportaufträgen („Change Assurance“) lässt sich schließlich verhindern, dass mit den Updates und Neuentwicklungen sowie den Anwendungen von Drittanbietern schädliche Inhalte in die SAP-Systeme eingespielt und Spionen oder Datendieben Tür und Tor geöffnet werden.

Wer seine ERP-Umgebung wirksam vor Angreifern schützen will, sollte also auf jeden Fall auf eine integrierte Lösung zur automatischen Erkennung, Behebung und Vermeidung sämtlicher identifizierter Cybersicherheits- und Compliance-Risiken setzen.

Da die meisten Unternehmen äußerst heterogene Systemlandschaften mit Hunderten, wenn nicht sogar Tausenden Anwendungen betreiben, sollte eine solche ERP-Sicherheitsplattform zudem herstellerübergreifend einsetzbar sein.

Dabei sollte ein Fokus auf den Anwendungen von SAP und Oracle liegen, da diese beiden Hersteller mit weltweit rund 437.000 und 430.000 Kunden als Marktführer für Unternehmenssoftware gelten, ob on-premises oder – immer häufiger – cloudbasiert.

Mit einem herstellerübergreifenden Ansatz ist gewährleistet, dass nicht mehrere Security-Tools eingesetzt werden müssen und sich der Installations- und Betriebsaufwand für ERP-Sicherheit in einem geringstmöglichen Rahmen bewegt.

Dies gilt auch für den Einsatz der Security-Plattform bei digitalen Transformationsprojekten und bei Migrationen vorhandener ERP-Systeme in die Cloud oder zu neuen Softwaregenerationen derselben Anbieter, wie zum Beispiel bei der bei vielen Kunden anstehenden Migration nach SAP S/4 Hana.

Best Practices

Gute ERP-Plattformen für Sicherheit und Compliance zeichnen sich zudem dadurch aus, dass sie auf Best-Practice-Vorgaben basieren: darunter die Sicherheitsrichtlinien der einzelnen Softwarehersteller und Nutzergruppen, zum Beispiel der DSAG- Prüfleitfaden, sowie die Empfehlungen zum BSI-Grundschutz.

Mit bewährtem Sicherheits-Know-how ausgestattet, bieten Sicherheitsplattformen den Unternehmen einen umfassenden Schutz vor Cyberattacken. Dieser Schutz ist ein absolutes Muss angesichts der steigenden Anzahl der IT-Attacken und der horrenden Schäden, die diese jedes Jahr verursachen.

Nach einer Studie des Branchenverbands Bitkom entstand den Industrieunternehmen in Deutschland allein in den Jahren 2017 und 2018 ein Gesamtschaden von 43,4 Milliarden Euro. Nach der Übernahme von Virtual Forge kann Onapsis den Kunden eine zen­trale ERP-Plattform für Security und Compliance zur Verfügung stellen, die von allen Zielgruppen gleichermaßen genutzt werden kann – auch über SAP und Oracle hi­naus.