Information und Bildungsarbeit von und für die SAP-Community

Was passiert in der Cloud?

Immer mehr Unternehmen nutzen Cloud-Infrastrukturen, doch sie sind nicht die Einzigen. Die Raffinesse von Angriffen auf die Software-Lieferkette hat zugenommen.
Lothar Geuenich, Check Point Software Technologies
27. Februar 2023
avatar

Open-Source ist die IT-Achillesferse der Software-Lieferkette

Vom SolarWinds-Angriff auf die Software-Lieferkette bis hin zur aufgedeckten Apache-Log4j-Schwachstelle: Bedrohungsakteure zielen vermehrt auf kritische Schwachstellen sowohl bei Cloud-Anbietern als auch in der Lieferkette. Unternehmen sind jedoch zunehmend auf Cloud-Computing-Plattformen angewiesen: 35 Prozent aller Firmen lassen mehr als 50 Prozent ihrer Workloads auf Microsoft Azure, AWS und Google Cloud laufen. Das Problem: Viele von ihnen haben Schwierigkeiten, ihre Infrastrukturen über mehrere Cloud-Plattformen hinweg abzusichern. Gleichzeitig müssen sie den Fachkräftemangel bewältigen und obendrein ist die Zahl der Cloud-Sicherheitsvorfälle im Vergleich zum Vorjahr um zehn Prozent gestiegen. Denn auch Cyberkriminelle haben ihre Lieferketten-Angriffe in die Cloud verlagert.

NotPetya

Derzeit geht das größte Risiko für die Lieferkette von Unternehmen von Open-Source-Software aus. Die Open-Source-Gemeinschaft stellt viele Module und Pakete zur Verfügung, die auf der ganzen Welt eingesetzt werden, auch von Unternehmen innerhalb der Lieferkette. Das Problem mit einer Open-Source-Software ist jedoch, dass sie von Natur aus unsicher ist. Das liegt daran, dass sie von Einzelpersonen geschrieben wird, denen teils das Fachwissen oder das Budget fehlt, um sie abzusichern.

Dadurch entsteht eine Lücke in der Sicherheitsarchitektur, denn importierte Open-Source-Pakete können Abhängigkeiten aufweisen, die der IT schlicht nicht bekannt sind. Genau das ist mit NotPetya passiert: NotPetya ist eine Weiterentwicklung einer Malware-Kette, die es geschafft hat, Systeme auf der ganzen Welt zu infiltrieren, indem sie sich auf weitverbreitete Open-Source-Buchhaltungssoftware stützte. Dadurch verbreitete sie sich wie ein Lauffeuer und verursachte Chaos in der Ukraine sowie in mehreren großen Ländern, darunter Großbritannien, Frankreich, Deutschland, Russland und die USA. Die Allgegenwärtigkeit von Open-Source-Software und -Code bedeutet, dass es für Unternehmen schwierig sein kann, herauszufinden, ob sie oder ihre Lieferanten für Angriffe anfällig sind. Dies macht Lieferketten zu einem attraktiven Ziel für Cyberkriminelle, weil sie wissen, dass sie durch das Eindringen in ein System schnell auf viele weitere zugreifen können.

DevSecOps

Alle Cloud-Plattformen weisen Schwachstellen auf, egal für welchen Anbieter man sich entscheidet. IT-Verantwortliche können Nachforschungen anstellen und auf die besten Experten der Branche zurückgreifen, aber sie können die vollumfängliche Sicherheit der Plattform des gewählten Anbieters nicht kontrollieren. Unternehmen können dennoch folgende Aspekte beherzigen, um sich zu schützen: Unternehmen neigen dazu, Sicherheitsvorkehrungen als einen einzigen Schutz-Kontrollpunkt aufzubauen, und Angreifer werden versuchen, diesen zu umgehen. Eine Sicherheitsimplementierung, die davon ausgeht, dass die erste Ebene versagen könnte, und mehrere Ebenen durchsetzt, hat eine größere Chance, einen ausgeklügelten Cyberangriff zu überstehen. Damit die virtuellen Türen zu ihrem Netzwerk fest verschlossen bleiben, sollten Unternehmen DevSecOps automatisieren. Das stellt sicher, dass Sicherheitsmaßnahmen in Echtzeit und in Übereinstimmung mit anderen Geschäftszielen durchgeführt werden können.

avatar
Lothar Geuenich, Check Point Software Technologies

Lothar Geuenich ist VP Central Europe bei Check Point Software Technologies


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren. Alle Informationen zum Event finden Sie hier:

SAP Competence Center Summit 2024

Veranstaltungsort

Eventraum, FourSide Hotel Salzburg,
Am Messezentrum 2,
A-5020 Salzburg

Veranstaltungsdatum

5. und 6. Juni 2024

Reguläres Ticket:

€ 590 exkl. USt.

Veranstaltungsort

Eventraum, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Veranstaltungsdatum

28. und 29. Februar 2024

Tickets

Regular Ticket
EUR 590 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2024, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.