Entwickeln Sie eine solide SAP-Sicherheitsstrategie mithilfe des NIST-Rahmenwerks
Unternehmensanwendungen wie SAP sind für den Betrieb des Unternehmens, die Abwicklung der Geschäftsabläufe und die Förderung der Weltwirtschaft verantwortlich. Angesichts der Tatsache, dass 77 % des weltweiten Transaktionsumsatzes über ein SAP-System abgewickelt werden und 92 % der Forbes Global 2000-Unternehmen SAP nutzen, könnte ein erfolgreicher Angriff auf ungeschützte SAP-Anwendungen Auswirkungen auf die Geschäftsprozesse haben. Herkömmliche Security-Modelle mit mehrschichtigen Abwehrmechanismen schützen die Anwendungsebene jedoch nicht ausreichend. Das bedeutet, dass Anwendungen wie SAP oft aus bestehenden Cybersicherheitsprogrammen ausgeschlossen sind. Traditionell gingen Sicherheits- und IT-Teams davon aus, dass Unternehmensanwendungen vor Angreifern „sicher“ seien, da sie vor Ort, hinter Netzwerkschutzmaßnahmen und somit für Angreifer unerreichbar seien. Das ist heute nicht mehr der Fall. Untersuchungen von SAP und den Onapsis Research Labs zeigen, dass Angreifer zunehmend direkt auf die Anwendungsebene abzielen. Diese Cyberkriminellen verfügen über die Motivation, die Mittel und das Fachwissen, um ungeschützte geschäftskritische SAP-Anwendungen zu identifizieren und auszunutzen – und tun dies auch aktiv.
Eine solide Sicherheit von Unternehmensanwendungen beginnt mit der Ausrichtung an einem Cybersicherheits-Framework
Die Ausrichtung an einem Cybersicherheits-Rahmenwerk kann Organisationen dabei helfen, ihre Fähigkeit zur Prävention, Erkennung und Reaktion auf Cyberangriffe assess zu verbessern. Weltweit gibt es eine Reihe verschiedener Cybersicherheits-Rahmenwerke, die von Organisationen genutzt werden; jedes davon bildet eine grundlegende Sammlung von Best Practices, Standards und Richtlinien, deren Befolgung ein besseres Risikomanagement im Umfeld einer Organisation ermöglicht. Das National Institute of Standards and Technology (NIST) hat das NIST Cybersecurity Framework entwickelt, eines der bislang umfassendsten und anpassungsfähigsten Cybersicherheits-Frameworks. Das Ziel des NIST-Frameworks besteht darin, Cybersicherheitsmaßnahmen anhand von Geschäftszielen zu steuern sowie Cybersicherheitsrisiken als Teil des gesamten Risikomanagementprozesses der Organisation zu berücksichtigen und einzubeziehen.
Ein wichtiger Bestandteil des NIST-Cybersicherheits-Frameworks ist die Konzentration auf die Anwendungssicherheitsebene, die, wie oben erwähnt, zu einem Ziel für Angreifer geworden ist. Vor diesem Hintergrund hat SAP die „SAP Secure Operations Map“ entwickelt, um SAP-Kunden ein Toolkit zur Erstellung einer umfassenden Sicherheitsstrategie an die Hand zu geben, die ihren individuellen Anforderungen gerecht wird. Die Absicherung von Geschäftsanwendungen ist ein wesentlicher Bestandteil der Umsetzung dieser übergeordneten Strategie zur Abwehr von Bedrohungen und zur besseren Risikosteuerung im gesamten Unternehmen.
Bei Onapsis konzentrieren wir uns darauf, die Anwendungsschicht innerhalb dieser Cybersicherheits-Frameworks zu sichern. Vor diesem Hintergrund haben wir vier bewährte Verfahren ermittelt, mit denen Sie Ihre SAP-Anwendungen an das NIST-Framework anpassen können. Diese werden im Folgenden beschrieben:
Vier bewährte Verfahren zur Anpassung Ihrer SAP-Anwendungen an das NIST-Framework
Die Nutzung der Best Practices des NIST-Rahmenwerks kann Teams dabei helfen, Schwachstellen zu beseitigen und eine sicherere, konforme Umgebung für SAP-Systeme zu schaffen.
1. Behandeln Sie SAP-Anwendungen wie kritische Infrastruktur der Betriebstechnik
Für viele Unternehmen reichen die derzeitigen Ansätze und Tools nicht aus, um die Anwendungsebene angemessen zu schützen, was es erschwert, erfolgreiche Programme für diese Anwendungen zu entwickeln, wie dies bei anderen Unternehmenssystemen der Fall ist. Geschäftskritische Anwendungen wie SAP halten den Geschäftsbetrieb am Laufen, daher ist es unerlässlich, dass ihnen dieselbe Dringlichkeit beigemessen wird wie anderen operativen Technologien. Dies bedeutet, dass in drei Schlüsselbereichen entsprechende Prozesse vorhanden sein müssen: Schwachstellenmanagement, Erkennung und Reaktion auf Bedrohungen sowie Tests zur Anwendungssicherheit.
2. Achten Sie auf eine gründliche SAP-Sicherheitshärtung und ein sorgfältiges Patch-Management
Angesichts der Häufigkeit und des Umfangs von Patch-Veröffentlichungen, der Komplexität des Patch-Prozesses und der Größe der Anwendungslandschaften besteht für Unternehmen die Gefahr, dass sich ein immer größerer Rückstand an Patches ansammelt. Ein manueller Patch-Management-Prozess kann dazu führen, dass Unternehmen in einem endlosen Kreislauf gefangen sind , in dem sie sich auf manuelle Maßnahmen verlassen müssen, um festzustellen, welchen Systemen welche Patches fehlen, welche fehlenden Patches priorisiert werden müssen und ob Patches tatsächlich angewendet wurden. Unser aktueller threat intelligence hat ergeben, dass kritische SAP-Schwachstellen bereits weniger als 72 Stunden nach Veröffentlichung eines Patches ausgenutzt wurden. Die Zeitspanne zwischen der Entdeckung einer Schwachstelle und der Bereitstellung eines Patches ist jedoch wesentlich länger; die durchschnittliche Zeit für die Anwendung, das Testen und die vollständige Bereitstellung eines Patches beträgt 97Tage1. Ein automatisierter Patch-Management-Prozess kann das Risiko kritischer Schwachstellen minimieren und die wichtigsten Unternehmensressourcen schützen.
3. Integrieren Sie SAP-Anwendungen vollständig in Ihr Schwachstellenmanagement-Programm
Herkömmliche Tools für das Schwachstellenmanagement bieten keine ausreichende Unterstützung für geschäftskritische SAP-Anwendungen, was dazu führt, dass man sich auf manuelle Sicherheitsüberprüfungen verlässt und die Sicherheitsüberprüfung möglicherweise überstürzt oder ganz überspringt. Angreifer können Schwachstellen in Systemkonfigurationen, Benutzereinstellungen, benutzerdefiniertem Code und fehlenden Patches ausnutzen, um sich Zugang zu Ihren kritischen SAP-Systemen zu verschaffen. Das Aufspüren und Beheben dieser Schwachstellen, bevor sie ausgenutzt werden können, ist für den Schutz Ihrer SAP-Umgebung unerlässlich. Die richtige anwendungsbasierte Schwachstellenmanagement-Lösung kann Unternehmen einen umfassenden Einblick in die Anwendungslandschaft bieten, Bewertungen automatisieren und die Behebungszeiten für Teams verkürzen, sodass mit weniger Aufwand eine größere Risikominderung erreicht wird.
4. Integrieren Sie SAP-Sicherheit in Ihren Softwareentwicklungsprozess, um der Entstehung neuer Schwachstellen und Risiken vorzubeugen
Durch Anwendungssicherheitstests können Unternehmen Sicherheitsmaßnahmen in ihre Entwicklungsprozesse integrieren, um Probleme so schnell wie möglich zu erkennen und zu beheben. Die Behebung von Problemen, bevor sie in die Produktion gelangen, ist in der Regel einfacher und kostengünstiger und trägt dazu bei, negative Auswirkungen auf die Sicherheit, Compliance, Leistung oder Verfügbarkeit von SAP-Systemen zu vermeiden. Ein Tool für Anwendungssicherheitstests, das SAP-Systeme unterstützt, kann dazu beitragen, die Kluft zwischen Entwicklern und dem Sicherheitsteam zu überbrücken und Transparenz sowie Sicherheit im gesamten Entwicklungslebenszyklus zu gewährleisten.
Mit einem soliden Cybersicherheits-Framework und einer auf Ihre Geschäftsanwendungen zugeschnittenen Lösung kann Ihr Unternehmen diese besser schützen und Risiken minimieren. Wenn Sie mehr erfahren möchten, wenden Sie sich an unser Team aus SAP-Sicherheitsexperten.
Sehen Sie sich unsere On-Demand-Veranstaltung mit CTO JP Perez Etchegoyen an, in der erläutert wird, wie Sicherheits-Frameworks dazu beitragen können, eine solide Grundlage für eine SAP-Sicherheitsstrategie zu schaffen.
1Die dritte jährliche Studie zum Stand der Endpoint-Sicherheitsrisiken Ponemon Institute LLC Veröffentlichungsdatum: Januar 2020
Über den Autor
