Cyber-Schwachstellen und ihre Auswirkungen auf die Wirtschaft

Von:

25. Juni 2019

Im Jahr 2001 mussten wir miterleben, wie zwei große Unternehmen, Enron und WorldCom, in Konkurs gingen, weil die Unternehmensleitung die Jahresabschlüsse in eklatanter Weise manipuliert hatte. Die Auswirkungen auf die US-Wirtschaft waren enorm schädlich. Infolgedessen entwarf die US-Börsenaufsichtsbehörde (SEC) den Sarbanes-Oxley Act von 2002 (SOX), um vor solchen betrügerischen Aktivitäten zu schützen. Es dauerte jedoch Jahre, bis sich die Wirtschaft wieder erholt hatte.

Im Jahr 2008 kam es dann zu einer der schwersten weltweiten Wirtschaftskrisen der Geschichte, als ein weiteres großes Finanzinstitut zusammenbrach und einen massiven wirtschaftlichen Zusammenbruch auslöste. Auch diesmal dauerte es Jahre, bis sich die Wirtschaft wieder erholt hatte, diesmal auf globaler Ebene.

Bei beiden historischen Ereignissen löste ein kleiner Stein eine Lawine aus. Der Zusammenbruch eines einzigen Großkonzerns kann verheerende Auswirkungen auf eine der stärksten Volkswirtschaften der Welt haben. Warum also diese düstere Wirtschaftsgeschichte wieder aufwärmen? Weil es wieder passieren kann. Das Positive daran ist, dass wir versuchen können, dies zu verhindern.

Das Problem, dessen wir uns heute bewusst sein müssen, ist unsere Abhängigkeit von Technologie und Vernetzung bei der Ausübung unserer Geschäftstätigkeit. Wir leben zudem in einer Zeit, in der andere Nationen nur allzu gerne sehen würden, dass die US-Wirtschaft Schaden nimmt. Cyberangriffe werden nicht nur von böswilligen Personen verübt, die darauf aus sind, Geld zu verdienen. Diese Angriffe werden mittlerweile von Hacktivisten und Nationalstaaten durchgeführt, die nicht nur dem Unternehmen, auf das sie es abgesehen haben, erheblichen Schaden zufügen wollen, sondern auch etwas viel Größerem wie der US-Wirtschaft.

 Während sich SOX auf IT-Kontrollen konzentriert, um Finanzbetrug zu verhindern, indem die Integrität der bei der SEC eingereichten Jahresabschlüsse nachgewiesen wird, befasst es sich nicht direkt mit Cybersicherheit. Wie verhält es sich mit all den IT-Kontrollen, die gemäß der SOX-Richtlinie eingerichtet und geprüft werden müssen?

Diese Kontrollen werden vom Vorstand und vom Prüfungsausschuss eines Unternehmens festgelegt und vereinbart. Bei vielen handelt es sich um allgemeine IT-Kontrollen, die mehr oder weniger sicherheitsorientiert sein können. Im Rahmen von SOX gibt es keine strengen Vorgaben oder Leitlinien zur Cybersicherheit. Bei einer Prüfung wird geprüft, ob die Kontrollen vorhanden sind, und es wird über die Ergebnisse berichtet. Sind die Ergebnisse schwerwiegend genug oder kommt es infolgedessen zu einer Sicherheitsverletzung, können sie Offenlegungspflichten gegenüber der SEC und/oder Berichtspflichten in Unternehmensabschlüssen, wie beispielsweise dem Formular 10-K, auslösen. Diese Offenlegung kann sich auf den Ruf und die Bewertung des Unternehmens auswirken.

SOX hilft Unternehmen nicht dabei, Cyberangriffe zu verhindern. Dieses Problem wurde kürzlich durch einen sehr schwerwiegendenöffentlichen Exploit deutlich, der auf eine SAP-Sicherheitslücke abzielte und als „10KBLAZE“ bezeichnet wurde. 98 % der Fortune-1000-Unternehmen nutzen ERP-Systeme wie SAP und Oracle, und 77 % des weltweiten Umsatzes laufen über diese Systeme. Die 10KBLAZE-Exploits, auf die Onapsis gestern hingewiesen hat, können potenziell so gravierende Auswirkungen auf die finanzielle Gesundheit eines Unternehmens haben, dass sie sich auf die Gesamtwirtschaft auswirken könnten.

Noch beunruhigender ist, dass derzeit 50.000 Unternehmen und insgesamt 1.000.000 Systeme mit SAP NetWeaver und S/4HANA konfiguriert sind. Die Onapsis Research Labsgehen davon aus, dass fast 90 % dieser Systeme – also etwa 900.000 – unter den Fehlkonfigurationen leiden, für die diese Exploits nun öffentlich verfügbar sind. Diese Schwachstelle aufgrund von Fehlkonfigurationen wurde ursprünglich vor 10 Jahren von SAP in einem Sicherheitshinweis behandelt, seitdem gab es zwei weitere. Wenn 90 % dieser Systeme betroffen sind, verfügen Sie nicht control eine control die Ihnen helfen könnte, geschützt zu bleiben.  

Erinnern Sie sich an den zuvor erwähnten Schneeball-Effekt? Stellen Sie sich nun die katastrophalen Folgen vor, die der Zusammenbruch Tausender großer Unternehmen für die US-amerikanische und die globale Wirtschaft hätte. Während die SEC im Rahmen des SOX-Gesetzes der Cybersicherheit mehr Gewicht beimessen muss, um den Herausforderungen besser zu begegnen, müssen wir gemeinsam strengere Maßnahmen ergreifen, um unsere geschäftskritischsten ERP-Systeme und Anwendungen zu schützen. Das ist die Mission von Onapsis, und wir sind hier, um Ihnen dabei zu helfen.

Stichworte, , , ,
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen