Verstöße gegen ERP-Vorschriften gelten als schwerwiegend und katastrophal

Von:

1. April 2019

Wir haben auf der diesjährigen RSA-Konferenz fast 200 Sicherheitsverantwortliche befragt, um ihr grundlegendes Verständnis hinsichtlich der Absicherung von ERP-Systemen zu ermitteln und zu erfahren, wie Unternehmen mit dieser wachsenden Herausforderung umgehen. Unsere Untersuchung zeigt, dass 88 % der Befragten angaben, die Folgen eines Angriffs auf ERP-Systeme wären schwerwiegend bis katastrophal. Nur ein kleiner Prozentsatz hielt die Folgen für nicht schwerwiegend oder für vernachlässigbar.

Wir haben außerdem gefragt, wie lange es dauern würde, bis ihr Unternehmen den Vorfall bemerken würde. Die Ergebnisse waren überraschend: 17 % der Befragten gaben an, dass sie ihn sofort bemerken würden, knapp 50 % sagten, dies würde innerhalb einer Woche bis zu einem Monat geschehen, und 16 % schätzten, dass es länger als ein Jahr dauern würde.

Ich dachte, es wäre interessant, diese Erkenntnisse mit den Ergebnissen ausdem „Data Breach Investigations Report“ von Verizon zu vergleichen. Es gibt viele Gemeinsamkeiten hinsichtlich der Zeit, die Einzelpersonen benötigen, um eine Datenpanne zu entdecken (alle Datenpannen, nicht nur solche im Zusammenhang mit ERP-Systemen).

Wie zu erwarten war, sind viele CISOs und IT-Sicherheitsexperten für die Absicherung ihrer ERP-Systeme verantwortlich. Fast die Hälfte unserer Befragten gab an, dass der CISO oder das Informationssicherheitsteam die Hauptverantwortung für den Schutz der ERP-Systeme trägt. 14 % gaben an, dass der CIO die Sicherheitsmaßnahmen für ERP leitet, was unserer Einschätzung nach auf eine Hierarchie hindeutet, in der CISOs höchstwahrscheinlich dem CIO unterstellt sind. Es gibt nicht viele Unternehmen mit einem eigenen ERP-Sicherheitsteam, und nur 10 % der Befragten geben an, dass ihre ERP-Teams die Hauptverantwortung für die Sicherung dieser Systeme tragen.

Aus unserer Erfahrung bei der Unterstützung einiger der weltweit größten Unternehmen haben wir festgestellt, dassdie Absicherung von SAP- und Oracle-EBS-Systemen eine bereichsübergreifende Aufgabe ist, die die Mitwirkung von ERP-Administratoren, Cybersicherheitsteams und die Unterstützung der Unternehmensleitung erfordert. Wir gehen davon aus, dass diese Zusammenarbeit in Zukunft noch wichtiger werden wird, insbesondere da die Zahl der Angriffe auf SAP- und Oracle-Systeme in den letzten drei Jahren um 100 % gestiegen ist (mehr dazu im Artikel„ERP-Anwendungen im Kreuzfeuer: Wie Cyberangreifer die Kronjuwelen ins Visier nehmen“).

Falls Sie uns dieses Jahr auf der RSA nicht besuchen konnten und an der Umfrage teilnehmen möchten, haben Sie immer noch die Möglichkeit dazu!Teilen Sie uns Ihre Antworten hier mit– wir werden die Ergebnisse weiterhin sammeln, um unser Angebot im Bereich ERP-Sicherheit weiter zu verbessern.

Stichworte,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen