Von 2007 bis heute: Die Ansichten des CEO von Onapsis zur Sicherheit geschäftskritischer Anwendungen, die von Gartner im „Hype Cycle for Application Security“ gewürdigt wurden

Gartner hat heute im soeben veröffentlichten „Hype Cycle for Application Security 2017 “ die Sicherheit geschäftskritischer Anwendungen als aufkommenden Markttrend anerkannt. Als erster Sicherheitsforscher, der vor mehr als 10 Jahren auf der Black Hat 2007 über fortgeschrittene Bedrohungen für geschäftskritische SAP-Anwendungen referierte, und als Gründer von Onapsis – dem ersten Cybersicherheitsunternehmen, das sich ausschließlich auf dieses Thema konzentriert – betrachte ich dies als einen wichtigen Meilenstein und eine Bestätigung für unser Team, unsere Kunden und Partner.

Heute verlassen sich 87 % der Global-2000-Unternehmen bei der Verwaltung ihrer Daten auf geschäftskritische Anwendungen wie SAP und Oracle, darunter ERP, HCM, CRM, BI und Supply-Chain-Management. Diese Systeme sind das Herzstück des Unternehmens, da sie alle kritischen Prozesse und Daten beherbergen und verwalten, auf die sich Unternehmen bei der Abwicklung ihrer täglichen Abläufe stützen.

Wenn man den CIO oder CISO eines großen Unternehmens bittet, die wichtigsten Anwendungen zu nennen, kann man davon ausgehen, dass SAP- oder Oracle-Anwendungen unter den Top 5 sind, wenn nicht sogar die allerwichtigste.

Obwohl geschäftskritische Anwendungen die „Kronjuwelen“ eines Unternehmens beherbergen – geistiges Eigentum, Finanzdaten, Kreditkartendaten, Kundendaten, Lieferantendaten und Informationen aus dem Data Warehouse –, werden sie von herkömmlichen Sicherheitslösungen nicht geschützt. Dieses Problem rückte im Mai 2016 deutlich in den Vordergrund, als das DHS gemeinsam mit Onapsis die ersteUS-CERT-Warnung zur Ausnutzung von SAP-Geschäftsanwendungen veröffentlichte, die nur einen Monat später, im Juni 2016, auf dem Gartner Security Summit erwähnt wurde.

Zwar sollte die Sicherheit stets im Vordergrund stehen, doch unterliegen diese kritischen Systeme zudem strengen Compliance-Vorgaben wie PCI, Datenschutzgesetzen für personenbezogene Daten, SoX, NIST und in Kürze auch der DSGVO. Die Einhaltung dieser Vorschriften bei Systemen, die sich ständig weiterentwickeln, kann für interne Revisionsteams eine enorme Herausforderung darstellen, wenn sie sich auf die jährlichen Audits durch externe Prüfer vorbereiten.

Seit unserer Gründung im Jahr 2009 haben wir bei Onapsis Pionierarbeit geleistet und uns ausschließlich darauf konzentriert, Unternehmen dabei zu unterstützen, diese geschäftskritischen Anwendungen zu sichern. Wir haben bereits 2007 auf der Black Hat mit Vorträgen und Schulungen zu diesem Thema begonnen, und nun, 10 Jahre später, stehen wir wieder vor einer Black-Hat-Konferenz und sind beeindruckt von der Akzeptanz und dem Wachstum in diesem Markt bei unseren Kunden, Partnern und Branchenexperten. Dies bestätigt eindrucksvoll, welche Bedeutung Unternehmen diesen kritischen Systemen beimessen, wie wichtig die darin gespeicherten Daten sind und wie sich ihre Sicherheits- und internen Audit-Maßnahmen verändern, um die Sicherheit dieser Systeme zu gewährleisten.

Die Onapsis Security Platform die am weitesten verbreitete SAP-zertifizierte Cybersicherheitslösung auf dem Markt und genießt das Vertrauen der weltweit größten Unternehmen. Ich bin überzeugt, dass diese jüngste Auszeichnung durch Gartner die Entwicklung dieses Marktes weiter beschleunigen und führenden CIOs und CISOs dabei helfen wird, eine entscheidende, grundlegende Frage zu beantworten: „Sind unsere geschäftskritischen Anwendungen sicher?“