Information und Bildungsarbeit von und für die SAP-Community

Warum SAP-Systeme dringend mehr Cybersicherheit brauchen

Auswertungen zur Cyberkriminalität lassen die Alarmglocken schrillen. Die Bedrohungslage für ERP verschärft sich. Im Jahr 2023 erreichte laut einer Studie die Zahl der Cyberattacken auf SAP-Landschaften einen neuen Höchststand.
Philipp Latini, Sivis
7. Juni 2024
avatar

Allein Ransomware-Vorfälle haben sich seit 2021 verfünffacht, ähnlich hoch ist die Zunahme von Dark-Web-Chats über SAP-Schwachstellen. Kein Wunder, mit über 400.000 Kunden, die fast 90 Prozent des Welthandelsvolumen vereinen, sind SAP-Landschaften ein profitables Ziel für finanziell motivierte Exploits. Hier werden die „Kronjuwelen“ der Unternehmensdaten verwaltet, unter anderem Konstruktionspläne und Rezepturen, vertrauliche Finanzergebnisse und Preisstrategien, Kreditkartendaten und personenbezogene HR-Daten. SAP weiß alles, und ohne SAP geht meist gar nichts. Egal, ob die Angreifer auf Know-how-Diebstahl, Finanzmanipulation, Handel mit gestohlenen Daten oder Lösegeld aus sind: Sicherheitslecks in SAP-Systemen können Unternehmen ins Mark treffen. 

Trotzdem ist das SAP-System in vielen Unternehmen nach wie vor ein Blind Spot auf der IT-Security-Landkarte. Warum werden die Risiken der ERP-Sicherheit so massiv unterschätzt?

Cyberattacken treffen nur die Big Player. Nein! Laut der „Studie Wirtschaftsschutz 2023“ des Digitalverbands Bitkom waren im letzten Jahr rund drei Viertel aller deutschen Unternehmen Opfer von Cyberkriminalität. Die Angreifer organisieren sich in Allianzen, rollen ihre „Services“ breiter aus und nehmen systematisch auch kleine und mittelständische Unternehmen ins Visier – mit hoher Spezialisierung und verfeinerten Methoden. Die kriminellen Taktiken werden immer professioneller, sodass es im Durchschnitt rund ein halbes Jahr dauert, bis ein Vorfall entdeckt und bereinigt wird – sehr viel Zeit für die Angreifer, um Daten zu stehlen, Systeme zu manipulieren und Spuren zu verwischen.

Testate und Audits reichen aus: Nein! Weder das Wirtschaftsprüfer-Testat noch Security Audits können alle Schwachstellen identifizieren und künftige Sicherheitslücken antizipieren. Neue gesetzliche Regularien, wie die Ende 2024 anstehende Umsetzung der NIS2-Richtlinie, leisten zwar einen wichtigen Beitrag, um das Sicherheitslevel EU-weit auf einem hohen Niveau zu harmonisieren. Doch selbst die Erfüllung aller gesetzlichen Pflichten darf Unternehmen nicht in trügerischer Sicherheit wiegen. ERP-Systeme sind komplex und aufgrund ihrer Integration in eine vernetzte IT-Landschaft schwierig zu schützen – mit jeder Schnittstelle steigt die Zahl potenzieller Einfallstore. Auch die Verlagerung von ERP-Workloads in die Cloud definiert Sicherheitsstandards neu. Fakt ist: Cyberattacken lassen sich nicht gänzlich vermeiden. Es gilt, die Cybercrime-Trends im Blick zu behalten, Bedrohungen in individuelle Sicherheitskonzepte zu übersetzen und für den Ernstfall eine hohe Reaktionsgeschwindigkeit sicherzustellen. 

Angreifer kommen von außen: Jein! Laut Data Breach Investigations Report sind für rund ein Fünftel aller Sicherheitsvorfälle Insider verantwortlich – nicht immer mit kriminellen Absichten, sondern häufig aufgrund von Fahrlässigkeit und fehlendem Risikobewusstsein. Mit der Demokratisierung von KI wird diese Flanke in den nächsten Jahren noch verwundbarer werden. Bereits heute lassen sich mittels KI-Übersetzungstools Phishing-Mails innerhalb von Sekunden auf muttersprachlichem Niveau lokalisieren, und KI-gestützte Sprachgeneratoren erzeugen aus Sprach-Schnipseln täuschend echte Deepfakes für CEO-Fraud-Anrufe. 

Laut einer Umfrage in der SAP-Community halten 45 Prozent der deutschen Unternehmen ihre SAP-Systeme für nicht ausreichend geschützt und nur 10 Prozent fühlen sich sehr gut vorbereitet, um bei einem Angriff geschäftsfähig bleiben zu können. Rund ein Viertel hat das Thema IT-Security noch gar nicht auf der Agenda. Dabei braucht es für einen soliden Basisschutz vor allem den konsequenten Einsatz der längst verfügbaren technologischen Ressourcen.

Zeitnahe Patches und Updates: Ein verbindliches Update-Management ist unerlässlich, um Sicherheitslücken in On-prem-Systemen schnell zu schließen. SAP hat in die Nutzerfreundlichkeit der Systemarchitektur investiert, sodass sich Security Patches von SAP S/4 Hana deutlich einfacher ausrollen lassen.

Hier zum Partner-Eintrag:

avatar
Philipp Latini, Sivis

Philipp Latini ist Geschäftsführer bei Sivis. Das Unternehmen ist auf Software für Berechtigungsmanagement, Benutzerverwaltung und Compliance spezialisiert. Bevor Philipp Latini 2020 die Position als CEO übernahm, war der IT-System-Kaufmann zunächst als Sales Manager und Head of Consulting bei Sivis tätig.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren. Alle Informationen zum Event finden Sie hier:

SAP Competence Center Summit 2024

Veranstaltungsort

Eventraum, FourSide Hotel Salzburg,
Am Messezentrum 2,
A-5020 Salzburg

Veranstaltungsdatum

5. und 6. Juni 2024

Reguläres Ticket:

€ 590 exkl. USt.

Veranstaltungsort

Eventraum, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Veranstaltungsdatum

28. und 29. Februar 2024

Tickets

Regular Ticket
EUR 590 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2024, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.