Drei verbreitete Mythen rund um die SAP-Sicherheit widerlegt

SAP® ist zweifellos weltweit führend bei geschäftskritischen Unternehmensanwendungen. Es handelt sich dabei um Anwendungen, auf die 92 % der Forbes Global 2000-Unternehmen standardisiert haben, um ihre Geschäftsabläufe zu steuern und die Weltwirtschaft anzukurbeln. Da mehr als 400.000 Unternehmen SAP nutzen, laufen 77 % der weltweiten Transaktionsumsätze über ein SAP-System. Zu diesen Unternehmen gehören die überwiegende Mehrheit der Pharma-, Infrastruktur- und Versorgungsunternehmen, Lebensmittelhändler, Verteidigungsunternehmen und viele mehr. Ein koordinierter und erfolgreicher Angriff auf ungeschützte SAP-Systeme könnte weitreichende Folgen haben.

Werfen wir einen Blick auf einige der gängigsten Mythen rund um die SAP-Sicherheit und nutzen wir diese Erkenntnisse, um fundiertere Entscheidungen zum Schutz Ihres Unternehmens zu treffen.

Mythos Nr. 1: Angreifer kennen SAP nicht, also muss ich mir darüber keine Sorgen machen.

In einem kürzlich von SAP und Onapsis veröffentlichten Bericht zu Bedrohungsinformationen haben wir festgestellt, dass Angreifer geschäftskritische SAP-Anwendungen aktiv ausnutzen und dabei Techniken und Fachwissen einsetzen, die speziell auf SAP-Anwendungen zugeschnitten sind. SAP-Systeme sind komplex, doch die Angreifer haben ihre Tools und ihr Wissen weiterentwickelt und nutzen spezifische CVEs und CWEs aus, mit denen sich SAP-Anwendungen kompromittieren lassen. 

Während es in der Vergangenheit vielleicht bis zu einem gewissen Grad zutraf, dass Angreifer über weniger Fachwissen in Bezug auf geschäftskritische Anwendungen verfügten, hat sich dies in den letzten Jahren geändert – angefangen bei der Beobachtung, dass Angreifer Informationen darüber bereitstellen, wie ERP-Anwendungen angegriffen und kompromittiert werden können, bis hin zur aktiven Ausnutzung und Kompromittierung von SAP-Systemen. 

Die in diesem Bericht vorgestellten Forschungsergebnisse werden Sicherheitsverantwortlichen dabei helfen, die Cybersicherheits- und Compliance-Risiken für ihre kritischen Geschäftsprozesse und Daten besser zu verstehen und zu erfahren, wie sie diese Risiken angehen und mindern können, um sicherzustellen, dass ihre wertvollsten Vermögenswerte vor internen und externen Bedrohungen geschützt sind.

Mythos Nr. 2: Ich habe ein eigenes SAP-Sicherheitsteam, also bin ich auf der sicheren Seite.

Früher war SAP eine Blackbox, die Unternehmen installierten und der sie bedingungslos vertrauten. Heute verfügt jedoch fast jedes Unternehmen über ein erfahrenes SAP-Sicherheitsteam, das Zugriffskontrollen, Berechtigungen, Rollen und Profile im Auge behält. Diese Aufgaben sind entscheidend, um sicherzustellen, dass Mitarbeiter weltweit ordnungsgemäß auf SAP-Anwendungen zugreifen können, um erforderliche Geschäftsprozesse auszuführen, und gleichzeitig zu gewährleisten, dass sie nur über die Berechtigungen verfügen, die sie benötigen, und nicht auf Bereiche außerhalb dieses Rahmens zugreifen können. SAP-Umgebungen enthalten zahlreiche Konten, die leicht missbraucht werden können, um Angreifern volle Administratorrechte zu verschaffen – ein Bereich, auf den sich Unternehmen besonders konzentrieren sollten.

SAP-Sicherheit umfasst weit mehr als nur die Beschränkung von Zugriffen und Berechtigungen in den verschiedenen Systemen. Aufgrund der Art und Komplexität der Technologie, auf der SAP-Anwendungen basieren, müssen spezifische Kontrollmechanismen vorhanden sein, um sicherzustellen, dass SAP-Kunden die Systeme ordnungsgemäß implementieren, einrichten und warten.

Mythos Nr. 3: Bei der Durchsetzung von Kontrollen in SAP-Anwendungen sollte der Fokus ausschließlich auf der Produktion liegen.

Die Protokollierung ist unerlässlich, um die erforderliche Transparenz für die Überwachung der Systemaktivitäten in der gesamten SAP-Umgebung zu gewährleisten. Die Protokollierung von SAP-Anwendungen ist ein zeitaufwändiges Unterfangen, weshalb sich Prüfer manchmal nur auf einen Teilbereich der Umgebung konzentrieren. SAP-Landschaften sind groß, komplex und extrem vernetzt, sodass die bloße Anwendung und Überprüfung von Kontrollen in der Produktionsumgebung (was meist ein Produktionssystem, einen Anwendungsserver und einen Mandanten bedeutet) nicht ausreicht, um sicherzustellen, dass die Geschäftsdaten und -prozesse angemessen geschützt sind. Die gesamte Landschaft sollte in den Geltungsbereich von Sicherheitskontrollen und Governance fallen, da es unzählige Möglichkeiten gibt, die verschiedenen Bausteine und Komponenten, aus denen SAP-Landschaften bestehen, zu durchlaufen – von einem Mandanten auf einem System bis hin zum vollständigen Zugriff auf die Produktionsumgebung, was einen klaren Verstoß gegen Compliance-Vorgaben darstellt.

Weitere Ressourcen

Führungskräfte aus den Bereichen Risiko, Cybersicherheit und SAP sollten im Rahmen ihrer übergeordneten Cybersicherheits- und Compliance-Strategie ein spezifisches Programm zur Sicherheit geschäftskritischer Anwendungen einführen, um diese Anwendungen wirksam und umfassend zu schützen. Um SAP-Kunden zu unterstützen, die Untersuchungen, die Beseitigung von Sicherheitsbedrohungen und zusätzliche Sicherheitsüberwachung nach einem Sicherheitsvorfall benötigen, bietet Onapsis eine kostenlose Schnellbewertung sowie – in Zusammenarbeit mit SAP – ein dreimonatiges kostenloses Abonnement für die Platform Cybersicherheit und Compliance an.

Laden Sie den vollständigen Bedrohungsbericht herunter und lesen Sie ihn durch, um assess Sie gefährdet sind und welche Maßnahmen Sie unverzüglich ergreifen sollten, um Ihr Unternehmen zu schützen. Besuchen Sie uns auf der RSA, wo wir weitere Mythen rund um geschäftskritische Anwendungen entlarven und eine besondere Ankündigung machen werden.