Warum SAP-Systeme dringend mehr Cybersicherheit brauchen

Allein Ransomware-Vorfälle haben sich seit 2021 verfünffacht, ähnlich hoch ist die Zunahme von Dark-Web-Chats über SAP-Schwachstellen. Kein Wunder, mit über 400.000 Kunden, die fast 90 Prozent des Welthandelsvolumen vereinen, sind SAP-Landschaften ein profitables Ziel für finanziell motivierte Exploits. Hier werden die „Kronjuwelen“ der Unternehmensdaten verwaltet, unter anderem Konstruktionspläne und Rezepturen, vertrauliche Finanzergebnisse und Preisstrategien, Kreditkartendaten und personenbezogene HR-Daten. SAP weiß alles, und ohne SAP geht meist gar nichts. Egal, ob die Angreifer auf Know-how-Diebstahl, Finanzmanipulation, Handel mit gestohlenen Daten oder Lösegeld aus sind: Sicherheitslecks in SAP-Systemen können Unternehmen ins Mark treffen. 

Trotzdem ist das SAP-System in vielen Unternehmen nach wie vor ein Blind Spot auf der IT-Security-Landkarte. Warum werden die Risiken der ERP-Sicherheit so massiv unterschätzt?

Cyberattacken treffen nur die Big Player. Nein! Laut der „Studie Wirtschaftsschutz 2023“ des Digitalverbands Bitkom waren im letzten Jahr rund drei Viertel aller deutschen Unternehmen Opfer von Cyberkriminalität. Die Angreifer organisieren sich in Allianzen, rollen ihre „Services“ breiter aus und nehmen systematisch auch kleine und mittelständische Unternehmen ins Visier – mit hoher Spezialisierung und verfeinerten Methoden. Die kriminellen Taktiken werden immer professioneller, sodass es im Durchschnitt rund ein halbes Jahr dauert, bis ein Vorfall entdeckt und bereinigt wird – sehr viel Zeit für die Angreifer, um Daten zu stehlen, Systeme zu manipulieren und Spuren zu verwischen.

Testate und Audits reichen aus: Nein! Weder das Wirtschaftsprüfer-Testat noch Security Audits können alle Schwachstellen identifizieren und künftige Sicherheitslücken antizipieren. Neue gesetzliche Regularien, wie die Ende 2024 anstehende Umsetzung der NIS2-Richtlinie, leisten zwar einen wichtigen Beitrag, um das Sicherheitslevel EU-weit auf einem hohen Niveau zu harmonisieren. Doch selbst die Erfüllung aller gesetzlichen Pflichten darf Unternehmen nicht in trügerischer Sicherheit wiegen. ERP-Systeme sind komplex und aufgrund ihrer Integration in eine vernetzte IT-Landschaft schwierig zu schützen – mit jeder Schnittstelle steigt die Zahl potenzieller Einfallstore. Auch die Verlagerung von ERP-Workloads in die Cloud definiert Sicherheitsstandards neu. Fakt ist: Cyberattacken lassen sich nicht gänzlich vermeiden. Es gilt, die Cybercrime-Trends im Blick zu behalten, Bedrohungen in individuelle Sicherheitskonzepte zu übersetzen und für den Ernstfall eine hohe Reaktionsgeschwindigkeit sicherzustellen. 

Angreifer kommen von außen: Jein! Laut Data Breach Investigations Report sind für rund ein Fünftel aller Sicherheitsvorfälle Insider verantwortlich – nicht immer mit kriminellen Absichten, sondern häufig aufgrund von Fahrlässigkeit und fehlendem Risikobewusstsein. Mit der Demokratisierung von KI wird diese Flanke in den nächsten Jahren noch verwundbarer werden. Bereits heute lassen sich mittels KI-Übersetzungstools Phishing-Mails innerhalb von Sekunden auf muttersprachlichem Niveau lokalisieren, und KI-gestützte Sprachgeneratoren erzeugen aus Sprach-Schnipseln täuschend echte Deepfakes für CEO-Fraud-Anrufe. 

Laut einer Umfrage in der SAP-Community halten 45 Prozent der deutschen Unternehmen ihre SAP-Systeme für nicht ausreichend geschützt und nur 10 Prozent fühlen sich sehr gut vorbereitet, um bei einem Angriff geschäftsfähig bleiben zu können. Rund ein Viertel hat das Thema IT-Security noch gar nicht auf der Agenda. Dabei braucht es für einen soliden Basisschutz vor allem den konsequenten Einsatz der längst verfügbaren technologischen Ressourcen.

Zeitnahe Patches und Updates: Ein verbindliches Update-Management ist unerlässlich, um Sicherheitslücken in On-prem-Systemen schnell zu schließen. SAP hat in die Nutzerfreundlichkeit der Systemarchitektur investiert, sodass sich Security Patches von SAP S/4 Hana deutlich einfacher ausrollen lassen.

Hier zum Partner-Eintrag: