Sicherheit von ERP-Systemen und allgemeine IT-Kontrollen: Fragen, die sich jedes Unternehmen stellen muss

Von:

27. Juli 2019

Bei Onapsis haben wir immer festgestellt, dass der Schwerpunkt der Cybersicherheit bei den allgemeinen IT-Kontrollen zu kurz kommt. Ja, es ist durchaus üblich, dass diese Kontrolllisten einen Abschnitt zur „Sicherheitsverwaltung“ enthalten. Diese beziehen sich jedoch oft auf die Fähigkeit von Benutzern, andere Benutzer anzulegen, Rollen zuzuweisen, Berechtigungen zu ändern, Parameter der Passwortrichtlinien anzupassen, Standardkonten in den Systemen zu überprüfen usw. Diese Kontrollen sind zwar für jedes Unternehmen von entscheidender Bedeutung, decken jedoch nur einen Teil der größten Risiken ab, denen diese Systeme ausgesetzt sind. Sicherheitslücken in kritischen IT-Ressourcen können weitaus höhere Risiken bergen als diejenigen, die derzeit durch allgemeine IT-Kontrollen gemindert werden.

Stellen Sie sich eine Reihe von allgemeinen IT-Kontrollen für das SAP-ERP-System vor, die folgende Risiken und Kontrollmaßnahmen umfassen:

RISIKO

CONTROL

Wichtige Informationsquellen können unzulässig verändert, unbefugt weitergegeben und/oder bei Bedarf nicht verfügbar sein.

Die Parameter der Passwortrichtlinie sind ordnungsgemäß konfiguriert.

Control im Rahmen wesentlicher Geschäftsabläufe und Transaktionen könnten unwirksam sein, und wichtige Informationsressourcen könnten unbefugt offengelegt werden oder nicht mehr verfügbar sein.

Ehemaligen Mitarbeitern oder Zeitarbeitskräften, die das Unternehmen verlassen haben, ist der Zugriff auf das System nicht gestattet.

Nur autorisierte Benutzer haben die Berechtigung, Programme in Produktionsumgebungen auszuführen.

Welche Voraussetzungen müssten gegeben sein, damit ein unzufriedener Mitarbeiter eine bestimmte Art von Betrug im System begeht?

  • Ein im System noch gültiger Benutzer (aktiv, entsperrt)
  • Der Benutzer sollte über bestimmte Berechtigungen verfügen, um ein Programm in der Produktionsumgebung auszuführen
  • Der Nutzer sollte wissen, dass er über die erforderlichen Berechtigungen verfügt, um Betrug zu begehen
  • Der Nutzer sollte einen Weg finden, nicht entdeckt zu werden. Wahrscheinlich, indem er mehrere sehr kleine Finanztransaktionen durchführt.

Wenn die oben genannten Kontrollmaßnahmen ordnungsgemäß eingerichtet sind, ist es sehr schwierig, alle diese Bedingungen gleichzeitig comply . Selbst wenn eine dieser Kontrollmaßnahmen versagt, gibt es andere, die weiterhin funktionieren. Es ist sehr unwahrscheinlich, dass in diesem Szenario alle diese Kontrollmaßnahmen versagen.

Bestimmte kritische Sicherheitslücken (wie beispielsweise die bekannten Fehlkonfigurationen, auf die der öffentlich zugängliche Exploit „10KBLAZE“ abzielt) ermöglichen es jedem, die Authentifizierung zu umgehen (Zugriff ohne Benutzerdaten), Berechtigungen zu umgehen (Ausführung ohne Berechtigungen) und Protokolle zu manipulieren (Änderungen ohne Nachverfolgung).

Unter welchen Umständen könnte ein unzufriedener Mitarbeiter einen solchen Betrug im System begehen, wenn eine einzige kritische Sicherheitslücke vorhanden ist? 

  • Ein Nutzer benötigt Zugriff auf Google, um einen Exploit herunterzuladen
  • Der Benutzer benötigt Zugriff auf Google, um die SAP-Stammdaten zu verstehen
  • Der Benutzer muss die in der Exploit-Dokumentation beschriebenen Schritte befolgen

Selbst wenn alle oben genannten Kontrollmaßnahmen ordnungsgemäß funktionieren, kann der Betrug dennoch durchgeführt werden.
Diese kritischen Schwachstellen ermöglichen es, alle „herkömmlichen“ allgemeinen IT-Kontrollmaßnahmen zu umgehen, da diese sich hauptsächlich darauf konzentrieren, unzulässige Handlungen auf „herkömmliche“ Weise zu verhindern. Wird eine böswillige Handlung auf andere Weise ausgeführt, können diese Kontrollmaßnahmen umgangen werden.

Nachdem sie das gelesen haben, werden manche vielleicht sagen: „Na ja … Wie groß ist denn die Wahrscheinlichkeit, dass so etwas tatsächlich passiert?“

In den Jahren 2016 und 2018 veröffentlichte das US-Heimatschutzministerium zwei verschiedene US-CERT-Warnungen zu böswilligen Cyberaktivitäten, die auf ERP-Systeme abzielten. Im Mai 2019 veranlasste die Veröffentlichung der 10KBLAZE-Exploits das DHS dazu, eine weitere US-CERT-Warnung herauszugeben, um Unternehmen auf diese neue Bedrohung aufmerksam zu machen, die auf bestehende SAP-Fehlkonfigurationen abzielt. Obwohl diese Fehlkonfigurationen bereits zuvor bekannt waren und die Auswirkungen eines potenziellen Angriffs stets hoch waren, erhöhte die Veröffentlichung der Exploits die Wahrscheinlichkeit eines Angriffs erheblich.

Nicht zuletzt hat IDC gerade eine Umfrage unter 430 IT-Entscheidungsträgern veröffentlicht, aus der hervorgeht, dass 64 % der Befragten angaben, ihre ERP-Systeme seien in den letzten 24 Monaten angegriffen worden.

Das Ministerium für Innere Sicherheit warnt vor ernsthaften Bedrohungen für ERP-Systeme, und nun liegen uns die Ergebnisse dieser Umfrage vor, die bestätigen, dass diese ERP-Systeme tatsächlich angegriffen werden. Wie können wir mit herkömmlichen allgemeinen IT-Kontrollen die erforderliche Sicherheit gewährleisten, während diese anderen Risiken bestehen? Wenn allgemeine IT-Kontrollen nicht ständig überprüft und aktualisiert werden, können sie ein falsches Gefühl der Sicherheit vermitteln.

Nachdem Sie diesen Blogbeitrag gelesen haben, fragen Sie sich vielleicht, wo und wie Sie einen abteilungsübergreifenden Dialog mit Führungskräften anstoßen können. Hier finden Sie einige wichtige Fragen, die Sie stellen können, um neue Diskussionen anzuregen:

  • Wie wurde der Umfang der allgemeinen IT-Kontrollen (ITGC) für jede geschäftskritische Anwendung festgelegt?
  • Sind Maßnahmen zur Cybersicherheit Teil des von der ITGC definierten Anwendungsbereichs? Zum Beispiel: Schwachstellenmanagement, Konfiguration und Verwaltung von Protokollen, Konfigurations-Baselines, Netzwerkschnittstellen zwischen Systemen usw. 
  • Wurde eine kontinuierliche Überwachung von (internen und externen) Bedrohungen in der geschäftskritischen Anwendung ordnungsgemäß eingerichtet? 
  • Welche Instrumente wurden zur Überwachung bestimmter Finanzberichterstattungssysteme eingeführt?
  • Wie oft werden wichtige Sicherheitspatches für Ihre geschäftskritischen Anwendungen geprüft und installiert?
  • Welche Cybersicherheitsmaßnahmen wurden für benutzerdefinierten Code eingeführt, der in geschäftskritischen Anwendungen für die Finanzberichterstattung verwendet wird? 
  • Inwiefern werden wichtige Cybersicherheitsmaßnahmen anderen Vorschriften (neben SOX) wie NERC-CIP, PCI, DSGVO usw. zugeordnet?
  • Wie können der externe Wirtschaftsprüfer, der interne Prüfer und die Geschäftsleitung die oben genannten Kontrollmechanismen assess prüfen, um ein angemessenes Maß an Sicherheit zu gewährleisten?

Wenn Sie daran interessiert sind, eine kostenlose Bewertung Ihrer SAP- oder Oracle EBS-Systeme durchführen zu lassen, um festzustellen, inwieweit diese durch schwerwiegende Mängel gefährdet sind, erfahren Sie hier, wie Sie damit beginnen können

Weitere Ressourcen zur ERP-Sicherheit

Stichworte, , , , ,
Über den Autor

Onapsis Research Labs

Onapsis Research Labs ist ein Team aus weltweit führenden Cybersicherheitsexperten, das sich der Aufdeckung und Abwehr von Bedrohungen in geschäftskritischen Anwendungen widmet. Als produktivster Mitwirkender an der Sicherheitsforschung von SAP und Oracle hat das Team über 1.000 Zero-Day-Schwachstellen entdeckt und bei deren Behebung geholfen. Seine threat intelligence die Onapsis Platformund stellt sicher, dass Unternehmen defend ERP-Landschaften vor den neuesten, raffinierten Angriffen defend können, bevor diese in der Praxis ausgenutzt werden.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen