Information et éducation par et pour la communauté SAP
Gestion informatique, Mag 23-05

Hacker gegen die Wand laufen lassen

Fertigungslinien sind unverzichtbare Bestandteile komplexer Lieferketten. Sind diese gestört, kann das die Existenz der betroffenen Firmen gefährden. Was können Unternehmen tun, damit Hacker bei OT „gegen die Wand laufen“?
Andreas Nolte, Arvato Systems GmbH
7 juin 2023
Contenu :
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Wenn Cyberkriminelle SAP-Systeme oder Operational Technology (OT) angreifen

Als omnipräsenter Backbone ist SAP vielerorts für einen reibungslosen Geschäftsablauf notwendig. Gleiches gilt für die Betriebstechnologie. Es liegt also im ureigensten Interesse von Unternehmen, ihre SAP- und OT-Systemlandschaft bestmöglich zu schützen. Doch in der Praxis tun sich meist Lücken auf. Im Mai 2021 haben Hacker Colonial Pipelines als kritische Infrastruktur in den USA angegriffen. Als Folge der Ransomware-Attacke war die Benzinversorgung in einigen Bundesstaaten eingeschränkt. Etwa zeitgleich war ein weiterer Angriff in Florida bekannt geworden. Angreifer sind über eine RDP-Schwachstelle (Remote Desktop Protocol) auf einem Windows-Gerät in die Systeme einer Kläranlage eingedrungen, um sie zu manipulieren. Insbesondere im Versorgungsbereich nehmen Attacken schnell eine neue Dimension an: OT-Ransomware exfiltriert und verschlüsselt Daten nicht nur, sie kann die Kontrolle über kritische Systeme übernehmen. Natürlich sind sich Unternehmen der permanenten Gefahr bewusst. Deshalb beschäftigen sie sich mit Cyber Security und setzen dafür meist die folgenden Expertengruppen ein.

Manager und Nerds

Compliance Manager sorgen dafür, dass Unternehmen sicherheitsrelevante Vorgaben, wie etwa jene des Bundesamts für Sicherheit in der Informationstechnik (BSI), und internationale Standards wie die Norm ISO/IEC 27001 einhalten; Security-Experten sind dafür verantwortlich, cloudbasierte IT-Lösungen in Zeiten von Big Data und künstlicher Intelligenz wirkungsvoll abzusichern; und Hacker-Nerds kennen die neuesten Angriffstechniken und denken darum in Sachen Security einen Schritt weiter.

Doch dieser Dreifach-Ansatz greift oft zu kurz. Denn es reicht nicht aus, wenn sich Expertengruppen losgelöst von allen anderen Prozessen und Teams im Unternehmen auf einer eher theoretischen Ebene mit dem Thema Cyber Security befassen. Vielmehr geht es darum, wie sich das eigene Geschäft effektiv absichern lässt. Um dieses Ziel zu erreichen, müssen Unternehmen SAP- und OT-Sicherheit als Geschäftsprozess verstehen, der alle relevanten Personengruppen im Unternehmen einbezieht. Nur so lassen sich aus der theoretischen (oder strategischen) Sichtweise geeignete praktische Maßnahmen – wie etwa die passende Security-Technologie einzusetzen – ableiten. 

SAP- und OT-Security

Wird Cyber Security als kritischer Geschäftsprozess verstanden, dann ist dieser Ablauf mit Bedacht zu modellieren, mit Metriken zu steuern, mit Tools zu überwachen und kontinuierlich zu optimieren. Ebenso braucht es ein definiertes Risikomanagement, bei dem der Praxisbezug im Vordergrund steht. Hängt etwa der Geschäftserfolg eines Maschinenbauunternehmens maßgeblich davon ab, dass seine Gabelstapler immer funktionstüchtig sind, achtet es darauf, dass immer genügend Schmierstoff vorhanden ist, es hält alle Wartungstermine ein und stellt ausreichend Ersatzfahrzeuge bereit. Genauso sollten Unternehmen in puncto IT-Security stets auf alle Eventualitäten vorbereitet sein.

Interdisziplinäre Security

Um OT- und SAP-Sicherheit langfristig zu gewährleisten, gilt es, Abteilungsgrenzen zu überwinden im Sinne einer prozessorientierten Denkweise und Organisation. Insbesondere müssen Management, IT und Produktion zu einem interdisziplinären Austausch finden. Denn manchmal fehlt dem Management die genaue Vorstellung davon, wie wichtig SAP- und OT-Sicherheit für einen reibungslosen Geschäftsbetrieb sind. Die IT-Abteilung kann dabei helfen, dieses Verständnis zu vermitteln. Ganz besonders wichtig ist die Perspektive der Blue Collar Worker, der Mitarbeitenden in der Produktion. Denn diese wissen ganz genau, wie sich ein möglicher Stillstand von Maschine A auf Fertigungslinie B auswirkt.

Neben einem strategischen Verständnis von der Relevanz der OT- und SAP-Sicherheit sowie einem fachbereichsübergreifenden Dialog braucht es leistungsstarke Security-Lösungen. In den vergangenen Jahren hat sich die Technologie wesentlich weiterentwickelt: von der Netzwerkanalyse über die systemübergreifende Detection bis hin zur Plattform-Sicherheit.

Noch vor einiger Zeit war es üblich, das Netzwerk zu analysieren und Log-Dateien mit einem SIEM-System (Security Information and Event Management) zu korrelieren, um Hinweise auf mögliche Bedrohungen zu erhalten – eine reine Detection-Maßnahme. Zwar lässt sich aus den Korrelationsergebnissen eine zielgerichtete Response ableiten, aber nicht direkt umsetzen. Da die Datenübertragung heute meist verschlüsselt erfolgt, sind alleinige Netzwerkanalysen nicht mehr State of the Art.

Um sensorische Daten aus unterschiedlichen Quellen zu verarbeiten, haben sich mit Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR) zwei neue Methoden etabliert. Mit einem EDR-Tool lassen sich Ereignisse, wie etwa eine Nutzeranmeldung, das Öffnen einer Datei und aufgebaute Netzwerkverbindungen, auf Endgeräten wie PCs, Notebooks, Tablets und Smartphones aufzeichnen. Darüber hinaus erlaubt XDR, Daten über mehrere Angriffsvektoren hinweg, wie etwa E-Mails, Identitäten, Geräte, Server, Cloud-Workloads und Netzwerke, automatisch zu erfassen und zu verknüpfen.

Wenn immer mehr Daten und Systeme in der Cloud liegen, ist es nur logisch, wirkungsvolle Security-Maßnahmen direkt dort umzusetzen. Dabei haben sich die Plattform-Lösungen der etablierten Hyperscaler bewährt. Insbesondere Microsoft bietet eine vollumfängliche Security-Produktpalette mit einer Vielzahl an vorgefertigten Komponenten, die sich einfach in Betrieb nehmen und für individuelle Unternehmenszwecke bedarfsgerecht konfigurieren lassen: vom Schutz der Anwender (PCs, Identitäten und E-Mails) über die Absicherung verschiedener Betriebsszenarien (eigene Server, On-Premises im Rechenzentrum sowie Azure-, Google- oder AWS-Cloud) bis hin zu speziellen Anwendungsfällen wie OT- und SAP-Sicherheit. Hinzu kommt, dass solche Plattformen sehr viel effizienter zu integrieren sind als Einzellösungen.

Plattform-Sicherheit

Wenn man bedenkt, wie komplex so manche SAP-Landschaft ist und wie abhängig Produktions- und Versorgungsunternehmen von ihrer Betriebstechnologie sind, ist Plattform-Sicherheit ein wirkungsvoller Ansatz. Heutzutage ist Lateral Movement eine wesentliche Schlüsseltaktik von Advanced Persistent Threats (APTs): Hacker dringen zum Beispiel über eine Phishing-Attacke in eine kritische IT-Infrastruktur ein und verschaffen sich mithilfe der abgegriffenen Daten immer mehr Berechtigungen, indem sie ein System nach dem anderen kompromittieren oder infizieren. So könnten Angreifer etwa über ein Modem in der Produktionshalle Zugriff auf die Enterprise-IT erhalten und Festplatten verschlüsseln – was Firmen besonders hart treffen würde: nämlich bei ihren gewinnbringenden Kernprozessen.

Unternehmen haben also keine andere Wahl, als die Sensorik systemübergreifend zu verknüpfen und Alerts rund um die Uhr zu überwachen. Alternativ können sie die Managed Detection & Response Services eines spezialisierten Cyber Security Defense Center (CSDC) beziehen. Im Zentrum steht das Microsoft Threat Monitoring for SAP. Über einen Sensor lassen sich Daten aus komplexen SAP-Landschaften konsolidieren, sodass sie im Cloud-nativen SIEM-System Microsoft Sentinel für die weitere Verarbeitung bereitstehen. Nachdem der Sensor mit verschiedenen SAP-Log-Quellen verbunden ist, erfasst er alle Daten, die über eine API zwecks Korrelation und Auswertung in Sentinel fließen. Erkennt das Tool eine Bedrohung, generiert es entsprechende Alerts. Dabei bilden standardisierte Regeln die Grundlage für (teil)automatisierte SOAR-Prozesse (Security Orchestration, Automation and Response): Geht ein Alarm ein, erfolgt eine KI-basierte Analyse der erfassten Ereignisdaten. Je nach Art des Angriffs setzen sich dann vorab definierte Response-Maßnahmen in Gang.

SAP und OT zuverlässig schützen

Cybercrime ist für Kriminelle ein lukratives Business, dessen Folgen weit über wirtschaftliche Aspekte für betroffene Firmen hinausgehen können. Gerade im Bereich kritischer Infrastrukturen können sich Angriffe zur ernsthaften Bedrohung entwickeln. Und auf diese reale Bedrohung müssen Unternehmen besser vorbereitet sein. Dafür muss sich zum einen die Unternehmenskultur ändern: Es darf keine Gräben zwischen den Abteilungen geben, es braucht eine interdisziplinäre Zusammenarbeit. Zum anderen sind insbesondere KRITIS wie Wasser- und Elektrizitätswerke gefordert, den praktischen Geschäftsbezug ihrer IT sowie OT zu verinnerlichen und notwendige Schutzziele nicht nur abzuleiten, sondern auch umzusetzen. Nicht zuletzt für versorgungsrelevante Systeme und Infrastrukturen gilt: Es ist möglich, sie gut zu schützen. Doch dafür ist es notwendig, Cyber Security als Geschäftsprozess zu verstehen und konsequent umzusetzen.

Die 3 Ebenen der OT-Sicherheit

Brownfield-IT: In einer Fabrik mit alten Maschinen sind Netzwerk-analysen zumeist das einzige
probate Mittel.

Greenfield-IT: Unternehmen, die neue IT-Systeme launchen, können die erforderlichen Security-Funktionen direkt integrieren.

Enterprise-IT: In Zeiten des Internet of Things (IoT) mit intelligenten Geräten wie Konferenzbildschirmen, Aufzügen und Kaffeemaschinen sind jegliche Daten, Systeme und Geräte effektiv abzusichern.

https://e3mag.com/partners/arvato-systems-gmbh/
avatar
Andreas Nolte, Arvato Systems GmbH

Andreas Nolte ist Head of Cyber Security bei Arvato Systems GmbH


Tous les articles de l'auteur

Écrire un commentaire

Intelligence artificielle : le pas de l'idée à la production

Communication numérique pour SAP : Retarus Cloud Services

Atos reçoit le Golden Certificate de SAP en tant que Global Operations Partner

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.