Fakt oder Fiktion: Ausgabe zur Sicherheit geschäftskritischer Anwendungen

Von:

10. Juni 2021

Als Experten für die Sicherheit geschäftskritischer Anwendungen (SAP, SFDC, Oracle) kennen wir die vielen Gerüchte und Irrtümer, die sich um die aktuelle Bedrohungslage ranken. Werfen wir einen Blick auf einige verbreitete Irrtümer rund um die Sicherheit geschäftskritischer Anwendungen und nutzen wir diese Erkenntnisse, um fundiertere Entscheidungen zum Schutz Ihres Unternehmens zu treffen.

Meine geschäftskritischen Systeme befinden sich tief im Inneren meines Netzwerks und sind daher sicher.

Im Laufe der Jahre haben wir viele Präsentationen gesehen, in denen die Burg-Analogie verwendet wurde, um Sicherheit zu veranschaulichen – mit einem Burggraben, dicken Außenmauern und einem inneren Schlüssel, um eine mehrschichtige Verteidigungsstrategie zu veranschaulichen. Die Denkweise dahinter: Ihre wertvollsten Ressourcen sind innerhalb Ihres Netzwerks sicher, und es gibt keine Möglichkeit, dass sich jemand von außen jemals Zugang verschaffen könnte, oder?

Springen wir nun in die Gegenwart:

  • Drittanbieter haben über ein VPN Zugriff auf Ihr Netzwerk, wodurch sie ihre Software warten können
  • Benutzer im Netzwerk haben uneingeschränkten Zugang zum Internet, wodurch sie Gefahr laufen, versehentlich schädlichen Code herunterzuladen
  • Hacker haben Zugriff auf Tausende von Stunden an Material darüber, wie man kritische Systeme hackt, sowie auf Open-Source-Tools zur Nutzung von Sicherheitslücken

Tatsächlich hat sich das Konzept einer „Perimeter-Sicherheit“ aufgrund der Fortschritte in der Tunneling-Technologie und neuer Techniken aufgelöst. Firewalls sind nach wie vor von entscheidender Bedeutung, doch man kann sich nicht darauf verlassen, dass sie die geschäftskritischsten Daten schützen. Hacker gehen immer raffinierter vor, und die Angriffsfläche für geschäftskritische Anwendungen wird immer größer. 

Meine geschäftskritischen Systeme sind hochspezialisiert; kein Außenstehender könnte sie ausreichend verstehen, um sie auszunutzen.

Das mag früher einmal zutreffend gewesen sein, doch heute gibt es diesen Mangel an Informationen dank des Aufkommens des Internets nicht mehr. Cloud stellen nicht nur die Ressourcen und Kapazitäten bereit, um verschiedene Systeme für Schulungs- und Testzwecke einzurichten, sondern bieten auch Vorlagen für eine Vielzahl unterschiedlicher geschäftskritischer Anwendungen. 

In den letzten zehn Jahren haben Unternehmen in Teams und Technologien investiert, um Eindringlinge im Netzwerk aufzuspüren – damit sich die Zeit verkürzt, die ein Angreifer voraussichtlich im Netzwerk verbringen kann, bevor er entdeckt und ausgeschlossen wird. Die Aufgabe eines Sicherheitsprogramms besteht nicht nur darin, Technologien zur Verhinderung von Sicherheitsverletzungen zu implementieren, sondern auch Technologien, die Sicherheitsverletzungen und Eindringlinge so schnell wie möglich erkennen, und gleichzeitig über ein Programm zu verfügen, mit dem auf den Einbruch reagiert und dieser neutralisiert werden kann.

Moderne Gebäude werden aus feuerhemmenden Materialien errichtet, sind aber dennoch mit Sprinkleranlagen ausgestattet. Moderne Sicherheitsteams sollten Maßnahmen (Sprinkleranlagen) ergreifen, um die Wahrscheinlichkeit eines Sicherheitsvorfalls so weit wie möglich gegen Null zu senken. Es ist zudem wichtig zu beachten, dass die Wahrscheinlichkeit eines Sicherheitsvorfalls mit der Zeit immer weiter steigt und es daher unerlässlich ist, über Erkennungs- und Reaktionstechnologien zu verfügen, um darauf reagieren zu können.

Es reicht aus, regelmäßig Patches zu installieren, um meine Anwendungen sicher zu halten.

Es ist allgemein bekannt, dass sicherheitsrelevante Fehler manchmal ihren Weg in bereits veröffentlichte kommerzielle Software finden. Alle großen Anbieter veröffentlichen regelmäßig Patches, um diese Fehler zu beheben. Die Sicherheitsteams in Unternehmen haben die Aufgabe, diese Patches zu verfolgen und auf den betroffenen Systemen zu installieren. Für diese Teams ist es eine erhebliche Belastung, mit der schieren Menge der veröffentlichten Updates Schritt zu halten, deren Auswirkungen zu analysieren und die Reihenfolge der Patches zu priorisieren. Und das noch bevor das eigentliche Änderungsmanagement und die Installation der Patches selbst beginnen. 

Angesichts dieser Situation kann sich die Bereitstellung von Patches mitunter in die Länge ziehen, was Angreifern die Möglichkeit bietet, diese bekannten Schwachstellen auszunutzen. Tatsächlich haben wir beobachtet, dass Exploits für SAP-Anwendungen bereits innerhalb von 72 Stunden nach der Veröffentlichung einer CVE (und des entsprechenden Patches) entwickelt wurden. Eine Reaktion innerhalb dieses Zeitrahmens kann für Sicherheitsteams eine enorme Herausforderung darstellen, insbesondere bei geschäftskritischen Systemen, bei denen die Verfügbarkeit für den fortlaufenden Geschäftsbetrieb von entscheidender Bedeutung ist. 

Es ist zudem wichtig zu verstehen, dass ein konsequentes Patch-Programm zwar für eine wirksame Anwendungssicherheit notwendig, aber nicht ausreichend ist. Unternehmenssoftware kann Hunderte von Einstellungen und Konfigurationen aufweisen, die sich auf die Sicherheit und den Zugriff auf Daten auswirken können. Sind diese Konfigurationen zu lax oder falsch eingestellt, könnten sie Angreifern einen Einfallstor bieten. Konfigurationen sind keine einmalige Angelegenheit. Im Laufe der Zeit nehmen Administratoren zahlreiche Änderungen an diesen Konfigurationen vor, weshalb es wichtig ist, Konfigurationsänderungen und Abweichungen kontinuierlich zu überwachen. 

Ein weiterer Bereich, der von Patches nicht abgedeckt wird, sind vom Unternehmen implementierte benutzerdefinierte Funktionserweiterungen. Nahezu jede geschäftskritische Anwendung und platform sich durch Programmierung ihrer nativen Umgebung (ABAP für SAP, APEX für Salesforce usw.) erweitern. Diese zusätzlichen Funktionen stellen ebenfalls eine zusätzliche Angriffsfläche dar, die denselben Bedrohungen ausgesetzt ist wie die Standardsoftware. 

CISOs sollten ein umfassendes Programm zur Anwendungssicherheit in Betracht ziehen, das über das Aufspielen von Patches hinausgeht und auch die Konfiguration sowie benutzerdefinierten Code einbezieht. Eine kontinuierliche Überwachung von Sicherheitslücken, einschließlich der Erkennung von Pre-Zero-Day-Exploits, kann eine entscheidende Rolle spielen, wenn die Behebung von Problemen länger dauern kann. 

Sie wollen mehr erfahren? Wir arbeiten mit Adam Savage zusammen, dem Co-Moderator und ausführenden Produzenten der Discovery-Channel-Serie „Mythbusters“. Nehmen Sie an einer Live-Fragerunde mit Adam Savage und Onapsis teil, in der wir die gängigsten Sicherheitsmythen auf den Prüfstand stellen.Melden Sie sich jetzt für unsere Veranstaltung am 24. Junian!

Stichwörter, , , ,
Über den Autor

Alex Horan

Alex Horan ist Vice President of Product Management bei Onapsis, wo er sich auf die Entwicklung von Lösungen für SAP-Sicherheit und das Schwachstellenmanagement in ERP-Systemen konzentriert. Mit über 18 Jahren Erfahrung verfügt Alex über eine nachgewiesene Erfolgsbilanz bei der Unterstützung großer Unternehmen bei der Verbesserung ihrer Sicherheitslage. Seine Fachkenntnisse umfassen Schlüsselbereiche wie Schwachstellenanalyse, Penetrationstests und Systemaudits, was ihn zu einer vertrauenswürdigen Stimme bei Themen wie SAP-Compliance und sicherer Systemkonfiguration macht. Er setzt sich dafür ein, dass die Produkte von Onapsis einen fortschrittlichen Schutz vor realen Bedrohungen wie Ransomware und unbefugtem Zugriff bieten.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen