Information und Bildungsarbeit von und für die SAP-Community

Zentraler Schutz vor Cyberattacken

ERP-Sicherheit zählt zu den wichtigsten Erfolgsfaktoren in Unternehmen – ob SAP, Oracle oder andere Geschäftssoftware im Einsatz ist. Um die kritischen Systeme vor Angriffen zu schützen, sollten Kunden umfassende Security-Plattformen nutzen.
Dr. Markus Schumacher, Onapsis
20. März 2020
[shutterstock: 650552203, Gearstd]
avatar

Im vergangenen Frühjahr warnten das Büro für Cybersicherheit und Digitale Infrastruktur (CISA) des US-Heimatschutzministeriums und die Sicherheitsfirma Onapsis vor erhöhten Risiken durch Attacken auf bekannte Fehlkonfigurationen in SAP-Anwendungen: „Viele SAP-Systeme sind in Gefahr.“

Grund war die Veröffentlichung eines Exploit-Baukastens namens 10KBLAZE, der Schadsoftware bereitstellt und es Hackern damit sehr leicht macht, die entsprechenden Systeme zu kompromittieren. Weltweit sollen neun von zehn SAP-Installationen mit zusammen über 50.000 Kunden betroffen sein.

In der SAP-Welt eher noch ein Novum, sind solche Angriffsbaukästen für Oracle-Schwachstellen schon länger in öffentlichen Foren verfügbar – und nicht minder gefährlich. So bilden die marktführenden SAP- und Oracle-Systeme bei den meisten Unternehmen das Herzstück von Digitalisierung, Cloud-Migrationen und IoT-Initiativen.

Werden sie zum Ziel von Cyberattacken, kann dies für ein Unternehmen sehr folgenreich sein – ob ein Angriff nun in Spionage-, Sabotage- oder Betrugsabsicht erfolgt. Gelingt es Cyberkriminellen nämlich, auf ganze Datenbestände zuzugreifen, um diese zu kopieren, zu ändern oder zu löschen, drohen hohe wirtschaftliche Schäden.

Zudem leidet die Reputation und das Vertrauen von Kunden schwindet. Gesteigert wird dieser Druck durch immer strengere regulatorische Anforderungen wie die EU-DSGVO, die Datenschutzverstöße mit hohen Bußgeldern ahndet.

Sicherheitslücken in drei Bereichen

Um solche Cybergefahren für ERP-Systeme wirksam abzuwehren, empfiehlt sich der Einsatz ganzheitlicher Sicherheitswerkzeuge. So wurden im SAP-Bereich drei Bereiche identifiziert, die maßgeblich für Sicherheitslücken verantwortlich sind: System­einstellungen, kundeneigener Code und das Einspielen von Transporten.

Mit umfassenden Analysewerkzeugen ist es möglich, die SAP-Systemkonfigurationen automatisiert zu prüfen, mögliche Fehler sofort zu beseitigen sowie erneute Konfigurationsfehler zu vermeiden („Audit automatisieren“). Zugleich können die kundeneigenen Code-Zeilen automatisch auf Schwachstellen in Sicherheit, Com­pliance und Qualität geprüft und diese bereinigt werden.

Durch die Analyse von SAP-Transportaufträgen („Change Assurance“) lässt sich schließlich verhindern, dass mit den Updates und Neuentwicklungen sowie den Anwendungen von Drittanbietern schädliche Inhalte in die SAP-Systeme eingespielt und Spionen oder Datendieben Tür und Tor geöffnet werden.

Schumacher Markus

Wer seine ERP-Umgebung wirksam vor Angreifern schützen will, sollte also auf jeden Fall auf eine integrierte Lösung zur automatischen Erkennung, Behebung und Vermeidung sämtlicher identifizierter Cybersicherheits- und Compliance-Risiken setzen.

Da die meisten Unternehmen äußerst heterogene Systemlandschaften mit Hunderten, wenn nicht sogar Tausenden Anwendungen betreiben, sollte eine solche ERP-Sicherheitsplattform zudem herstellerübergreifend einsetzbar sein.

Dabei sollte ein Fokus auf den Anwendungen von SAP und Oracle liegen, da diese beiden Hersteller mit weltweit rund 437.000 und 430.000 Kunden als Marktführer für Unternehmenssoftware gelten, ob on-premises oder – immer häufiger – cloudbasiert.

Mit einem herstellerübergreifenden Ansatz ist gewährleistet, dass nicht mehrere Security-Tools eingesetzt werden müssen und sich der Installations- und Betriebsaufwand für ERP-Sicherheit in einem geringstmöglichen Rahmen bewegt.

Dies gilt auch für den Einsatz der Security-Plattform bei digitalen Transformationsprojekten und bei Migrationen vorhandener ERP-Systeme in die Cloud oder zu neuen Softwaregenerationen derselben Anbieter, wie zum Beispiel bei der bei vielen Kunden anstehenden Migration nach SAP S/4 Hana.

Best Practices

Gute ERP-Plattformen für Sicherheit und Compliance zeichnen sich zudem dadurch aus, dass sie auf Best-Practice-Vorgaben basieren: darunter die Sicherheitsrichtlinien der einzelnen Softwarehersteller und Nutzergruppen, zum Beispiel der DSAG- Prüfleitfaden, sowie die Empfehlungen zum BSI-Grundschutz.

Mit bewährtem Sicherheits-Know-how ausgestattet, bieten Sicherheitsplattformen den Unternehmen einen umfassenden Schutz vor Cyberattacken. Dieser Schutz ist ein absolutes Muss angesichts der steigenden Anzahl der IT-Attacken und der horrenden Schäden, die diese jedes Jahr verursachen.

Nach einer Studie des Branchenverbands Bitkom entstand den Industrieunternehmen in Deutschland allein in den Jahren 2017 und 2018 ein Gesamtschaden von 43,4 Milliarden Euro. Nach der Übernahme von Virtual Forge kann Onapsis den Kunden eine zen­trale ERP-Plattform für Security und Compliance zur Verfügung stellen, die von allen Zielgruppen gleichermaßen genutzt werden kann – auch über SAP und Oracle hi­naus.

avatar
Dr. Markus Schumacher, Onapsis

Dr. Markus Schumacher ist General Manager Europe bei Onapsis


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.