{"id":62027,"date":"2015-06-22T13:46:49","date_gmt":"2015-06-22T11:46:49","guid":{"rendered":"http:\/\/e3mag.com\/?p=62027"},"modified":"2019-08-22T13:58:02","modified_gmt":"2019-08-22T11:58:02","slug":"sicherheitsluecken-bei-95-prozent-aller-sap-systeme","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/sicherheitsluecken-bei-95-prozent-aller-sap-systeme\/","title":{"rendered":"Sicherheitsl\u00fccken bei 95 Prozent aller SAP-Systeme"},"content":{"rendered":"

SAP-Security-Spezialist Onapsis hat die drei h\u00e4ufigsten Vorgehensweisen bei Cyberattacken auf SAP-Anwendungen ermittelt. Diese Angriffsvektoren setzen geistiges Eigentum, Finanz-, Kreditkarten-, Kunden- und Lieferantendaten sowie in Datenbanken gespeicherte Informationen der weltweit gr\u00f6\u00dften Unternehmen einem hohen Risiko aus.<\/p>\n

F\u00fcr ihre Studie untersuchten die Onapsis Research Labs Hunderte von SAP-Installationen. 95 Prozent dieser SAP-Systeme wiesen Schwachstellen auf, \u00fcber die Hacker vollst\u00e4ndigen Zugriff auf die Gesch\u00e4ftsdaten und -prozesse der betroffenen Unternehmen erlangen k\u00f6nnen.<\/p>

\"Fullsize\"<\/a><\/div><\/div>\n

18 Monate, bis ein Patch implementiert ist<\/h3>\n

Dar\u00fcber hinaus haben die Forscher herausgefunden, dass es bei den meisten Unternehmen 18 Monate oder l\u00e4nger dauert, bis Patches f\u00fcr gefundene Schwachstellen implementiert werden.<\/p>\n

Allein im Jahr 2014 hat SAP 391 Sicherheitspatches ver\u00f6ffentlicht \u2013 im Durchschnitt also mehr als 30 pro Monat! Nahezu 50 Prozent dieser Patches hat SAP mit einer hohen Priorit\u00e4t eingestuft.<\/p>\n

Wer ist zust\u00e4ndig?<\/h3>\n

\u201eDas Thema SAP-Cyber-Security wird von vielen Unternehmen nicht ernsthaft genug verfolgt, da nicht gekl\u00e4rt ist, wer daf\u00fcr zust\u00e4ndig ist \u2013 das SAP-Betriebsteam oder das IT-Sicherheitsteam. Dies hat uns wirklich \u00fcberrascht\u201c<\/em><\/p>\n

sagt Mariano Nunez, CEO und Gr\u00fcnder von Onapsis.<\/p>\n

Die meisten eingespielten Patches sind nicht sicherheitsrelevant, kommen versp\u00e4tet oder \u00f6ffnen neue Schwachstellen f\u00fcr den Betrieb des SAP-Systems. Jeden Tag werden neue Datenlecks bekannt, ohne dass Chief Information Security Officers (CISOs) davon erfahren \u2013 weil ihnen die Visibility f\u00fcr ihre SAP-Anwendungen fehlt.<\/p>\n

Die drei h\u00e4ufigsten SAP-Attacken<\/h3>\n
    \n
  1. Bedrohungen von Kunden- und Kreditkarteninformationen, die den Austausch zwischen SAP-Systemen ausnutzen: Die Angriffe setzen an einem System mit niedrigen Sicherheitseinstellungen an und hangeln sich zu einem gesch\u00e4ftswichtigen System vor, indem sie fernsteuerbare Funktionsmodule im Zielsystem ausf\u00fchren.<\/li>\n
  2. Attacken auf Kunden- und Lieferantenportale: Dazu werden Backdoor-Anwender im SAP-J2EE-Benutzermanagement-Modul erzeugt. Durch das Ausnutzen einer Schwachstelle k\u00f6nnen die Hacker Zugriff auf SAP-Portale und Prozessintegrations-Plattformen sowie die damit verbundenen internen Systeme erlangen.<\/li>\n
  3. Angriffe auf Datenbanken \u00fcber propriet\u00e4re SAP-Protokolle: F\u00fcr diese Attacke werden Betriebssystembefehle mit den Rechten bestimmter Benutzer ausgef\u00fchrt und Schwachstellen im SAP RFC Gateway ausgenutzt. Der Hacker erh\u00e4lt Zugriff auf jede in der SAP-Datenbank gespeicherte Information und kann diese ver\u00e4ndern.<\/li>\n<\/ol>\n

    Fazit<\/h3>\n

    \u201eDie Echtzeit-Datenbank Hana verschlimmert die Situation sogar noch. Die Zahl neuer Sicherheitspatches, die speziell diese neue Plattform betreffen, hat um 450 Prozent zugenommen.<\/p>\n

    Hinzu kommt, dass Hana als Kernkomponente im Zentrum des SAP-\u00d6kosystems platziert ist. Daten, die in den SAP-Plattformen gespeichert werden, m\u00fcssen nun sowohl in der Cloud als auch im Unternehmen gesch\u00fctzt werden\u201c, f\u00fchrt Nunez aus.<\/p>\n

     <\/p>\n

    \n

     <\/p>\n

    Aktionsplan f\u00fcr Chief Information Security Officers (CISO)<\/h3>\n

    Unternehmen, die gesch\u00e4ftswichtige Prozesse \u00fcber L\u00f6sungen der Business Suite betreiben, sollten unbedingt die neuesten SAP-Sicherheitshinweise befolgen. Sie sollten zudem sicherstellen, dass ihre Systeme korrekt konfiguriert sind, um geltende Compliance-Anforderungen zu erf\u00fcllen und das Sicherheitsniveau zu erh\u00f6hen. Diese Aktivit\u00e4ten sollten einem Aktionsplan folgen, der SAP-Cyber-Security als Teil der Unternehmensstrategie und -Roadmap etabliert:<\/p>\n