Information et éducation par et pour la communauté SAP

Pourquoi les systèmes SAP ont besoin de toute urgence d'une cybersécurité accrue

Les évaluations sur la cybercriminalité tirent la sonnette d'alarme. La situation des menaces pour les ERP s'aggrave. En 2023, selon une étude, le nombre de cyberattaques contre les paysages SAP a atteint un nouveau record.
Philipp Latini, Pointsharp
7 juin 2024
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Allein Ransomware-Vorfälle haben sich seit 2021 verfünffacht, ähnlich hoch ist die Zunahme von Dark-Web-Chats über SAP-Schwachstellen. Kein Wunder, mit über 400.000 Kunden, die fast 90 Prozent des Welthandelsvolumen vereinen, sind SAP-Landschaften ein profitables Ziel für finanziell motivierte Exploits. Hier werden die „Kronjuwelen“ der Unternehmensdaten verwaltet, unter anderem Konstruktionspläne und Rezepturen, vertrauliche Finanzergebnisse und Preisstrategien, Kreditkartendaten und personenbezogene HR-Daten. SAP weiß alles, und ohne SAP geht meist gar nichts. Egal, ob die Angreifer auf Know-how-Diebstahl, Finanzmanipulation, Handel mit gestohlenen Daten oder Lösegeld aus sind: Sicherheitslecks in SAP-Systemen können Unternehmen ins Mark treffen. 

Trotzdem ist das SAP-System in vielen Unternehmen nach wie vor ein Blind Spot auf der IT-Security-Landkarte. Warum werden die Risiken der ERP-Sicherheit so massiv unterschätzt?

Cyberattacken treffen nur die Big Player. Nein! Laut der „Studie Wirtschaftsschutz 2023“ des Digitalverbands Bitkom waren im letzten Jahr rund drei Viertel aller deutschen Unternehmen Opfer von Cyberkriminalität. Die Angreifer organisieren sich in Allianzen, rollen ihre „Services“ breiter aus und nehmen systematisch auch kleine und mittelständische Unternehmen ins Visier – mit hoher Spezialisierung und verfeinerten Methoden. Die kriminellen Taktiken werden immer professioneller, sodass es im Durchschnitt rund ein halbes Jahr dauert, bis ein Vorfall entdeckt und bereinigt wird – sehr viel Zeit für die Angreifer, um Daten zu stehlen, Systeme zu manipulieren und Spuren zu verwischen.

Testate und Audits reichen aus: Nein! Weder das Wirtschaftsprüfer-Testat noch Security Audits können alle Schwachstellen identifizieren und künftige Sicherheitslücken antizipieren. Neue gesetzliche Regularien, wie die Ende 2024 anstehende Umsetzung der NIS2-Richtlinie, leisten zwar einen wichtigen Beitrag, um das Sicherheitslevel EU-weit auf einem hohen Niveau zu harmonisieren. Doch selbst die Erfüllung aller gesetzlichen Pflichten darf Unternehmen nicht in trügerischer Sicherheit wiegen. ERP-Systeme sind komplex und aufgrund ihrer Integration in eine vernetzte IT-Landschaft schwierig zu schützen – mit jeder Schnittstelle steigt die Zahl potenzieller Einfallstore. Auch die Verlagerung von ERP-Workloads in die Cloud definiert Sicherheitsstandards neu. Fakt ist: Cyberattacken lassen sich nicht gänzlich vermeiden. Es gilt, die Cybercrime-Trends im Blick zu behalten, Bedrohungen in individuelle Sicherheitskonzepte zu übersetzen und für den Ernstfall eine hohe Reaktionsgeschwindigkeit sicherzustellen. 

Angreifer kommen von außen: Jein! Laut Data Breach Investigations Report sind für rund ein Fünftel aller Sicherheitsvorfälle Insider verantwortlich – nicht immer mit kriminellen Absichten, sondern häufig aufgrund von Fahrlässigkeit und fehlendem Risikobewusstsein. Mit der Demokratisierung von KI wird diese Flanke in den nächsten Jahren noch verwundbarer werden. Bereits heute lassen sich mittels KI-Übersetzungstools Phishing-Mails innerhalb von Sekunden auf muttersprachlichem Niveau lokalisieren, und KI-gestützte Sprachgeneratoren erzeugen aus Sprach-Schnipseln täuschend echte Deepfakes für CEO-Fraud-Anrufe. 

Laut einer Umfrage in der SAP-Community halten 45 Prozent der deutschen Unternehmen ihre SAP-Systeme für nicht ausreichend geschützt und nur 10 Prozent fühlen sich sehr gut vorbereitet, um bei einem Angriff geschäftsfähig bleiben zu können. Rund ein Viertel hat das Thema IT-Security noch gar nicht auf der Agenda. Dabei braucht es für einen soliden Basisschutz vor allem den konsequenten Einsatz der längst verfügbaren technologischen Ressourcen.

Zeitnahe Patches und Updates: Ein verbindliches Update-Management ist unerlässlich, um Sicherheitslücken in On-prem-Systemen schnell zu schließen. SAP hat in die Nutzerfreundlichkeit der Systemarchitektur investiert, sodass sich Security Patches von SAP S/4 Hana deutlich einfacher ausrollen lassen.

Cliquez ici pour accéder à l'entrée partenaire :

avatar
Philipp Latini, Pointsharp

Philipp Latini est le Chief Strategy Officer (CSO) de Pointsharp. En outre, en tant que directeur de Pointsharp Germany, il est responsable des activités du groupe dans la région DACH. Cet expert en gestion des identités, en conformité informatique et en concepts d'autorisation SAP était depuis 2020 le CEO de Sivis GmbH, qui a fusionné avec Pointsharp en 2023.


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.