Monat der Cybersicherheit: Onapsis’ Mission zum Schutz geschäftskritischer Anwendungen

Von:

7. Oktober 2021

In diesem Monat findet zum 18. Mal der „Cybersecurity Awareness Month“ der CISA statt, eine gemeinsame Initiative von Regierung und Öffentlichkeit, um das Bewusstsein für die Bedeutung der Cybersicherheit zu schärfen. Angesichts der Vielzahl hochkarätiger Cyberangriffe und der sich abzeichnenden Bundesgesetzgebung zur Verbesserung der Cybersicherheit des Landes erscheint dies in diesem Jahr aktueller denn je. Als Unternehmen im Bereich Cybersicherheit finden die Aufklärungs- und Sensibilisierungsmaßnahmen dieses Monats großen Anklang bei uns. Es ist unsere Mission, das Bewusstsein für bestehende Sicherheitslücken in Anwendungen zu schärfen und globale Unternehmen in die Lage zu versetzen, sich selbst, ihre Mitarbeiter und ihre Kunden besser zu schützen.  

Onapsis wurde vor über einem Jahrzehnt gegründet, als wir erkannten, dass die wichtigsten Unternehmensressourcen weltweit übersehen wurden. Geschäftskritische Anwendungen von Unternehmen wie SAP, Oracle und Salesforce tragen zum reibungslosen Betrieb Ihres Unternehmens bei – sie unterstützen Finanzsysteme, Personalmanagement, Lieferketten, Lieferantenbeziehungen und vieles mehr. Diese Anwendungen stehen im Zentrum der Weltwirtschaft: Sie werden von 92 % der Global-2000-Unternehmen genutzt und machen 77 % des weltweiten Umsatzes aus. 

Trotz ihrer Bedeutung wurden diese Anwendungen von einem Großteil der Sicherheitsbranche vernachlässigt. Sie fallen nicht in den Anwendungsbereich der meisten herkömmlichen und ganzheitlichen Sicherheitslösungen.

Wusstest du schon?

  • In den letzten zwei Jahren wurden 64 % der ERP-Systeme gehackt 
  • In den letzten fünf Jahren gab es fünf Warnmeldungen des US-CERT zu böswilligen Cyberaktivitäten oder Sicherheitslücken bei SAP
  • Laut einem Bericht des Ponemon Institute haben fast zwei Drittel der Unternehmen einen Rückstau an Sicherheitslücken
  • 70 % der Unternehmen geben an, dass ihr Anwendungsportfolio im vergangenen Jahr anfälliger geworden ist

In den letzten 12 Jahren hat sich Onapsis der Lösung dieser Probleme im Bereich der Cybersicherheit verschrieben. Das Onapsis Research Labs haben Hunderte von Schwachstellen und neu auftretende, neuartige Bedrohungen für kritische Unternehmenssysteme identifiziert und bestätigt, dass viele der größten Sicherheitsverletzungen des Jahrzehnts auf Schwachstellen in Geschäftsanwendungen zurückzuführen sind. Bis heute hat dieses Team von White-Hat-Hackern über 800 Zero-Day-Schwachstellen in geschäftskritischen Anwendungen entdeckt und 5 Warnmeldungen des US-Heimatschutzministeriums unterstützt.

Zum Auftakt des Monats der Cybersicherheitsaufklärung haben wir einige bemerkenswerte Berichte des Onapsis Research Labs zusammengestellt, die Ihnen helfen sollen, Ihre geschäftskritischen Anwendungen besser zu schützen:

RECON-Sicherheitslücke
Die Onapsis Research Labs SAP haben Ende 2020 gemeinsam daran gearbeitet, die schwerwiegende RECON-Sicherheitslücke aufzudecken und zu beheben. Die RECON-Sicherheitslücke betrifft eine Standardkomponente, die in jeder SAP-Anwendung vorhanden ist, auf der der SAP NetWeaver Java-Technologie-Stack läuft. Diese technische Komponente wird in vielen SAP-Geschäftslösungen verwendet, und ein erfolgreicher Angriff könnte einem nicht authentifizierten Angreifer vollständigen Zugriff auf das betroffene SAP-System verschaffen.

Aktuelle Cyberangriffe auf geschäftskritische SAP-Anwendungen
Im April 2021 haben wir neue threat intelligence den ersten öffentlichen Bericht der Onapsis Threat Intelligence Cloud veröffentlicht. Nicht nur hat sich die Bedrohungslandschaft in den letzten Jahren erweitert, auch die Angreifer sind durch den Einsatz bekannter Exploits immer raffinierter geworden, und das Handlungsspielfeld für die Verteidiger ist zunehmend kleiner geworden.

Monatliche SAP-Sicherheitshinweise
Onapsis Research Labs leistet Onapsis Research Labs Beiträge zu den SAP-Sicherheitshinweisen und veröffentlicht unsere Analysen jeden Patch Tuesday.

Erfahren Sie unter www.cisa.gov/cybersecurity-awareness-month mehr darüber, wie Sie Ihre Familie und Ihre Organisation schützen können.
 

Stichworte, , ,
Über den Autor

Onapsis Research Labs

Onapsis Research Labs ist ein Team aus weltweit führenden Cybersicherheitsexperten, das sich der Aufdeckung und Abwehr von Bedrohungen in geschäftskritischen Anwendungen widmet. Als produktivster Mitwirkender an der Sicherheitsforschung von SAP und Oracle hat das Team über 1.000 Zero-Day-Schwachstellen entdeckt und bei deren Behebung geholfen. Seine threat intelligence die Onapsis Platformund stellt sicher, dass Unternehmen defend ERP-Landschaften vor den neuesten, raffinierten Angriffen defend können, bevor diese in der Praxis ausgenutzt werden.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen