Warum Sie ein Schwachstellenmanagement für geschäftskritische Anwendungen benötigen: Teil 5

Von:

26. Januar 2022

Dieser Blogbeitrag ist der letzte Teil einer fünfteiligen Serie über die Bedeutung der Absicherung Ihrer geschäftskritischen Anwendungen. In den vorherigen Beiträgen haben wir erläutert, wie rasante Projekte zur digitalen Transformation, cloud und die Zunahme der Cyberkriminalität die wichtigsten Systeme von Unternehmen für neue Risiken anfällig gemacht haben und warum eine Strategie der mehrschichtigen Verteidigung nicht ausreicht, um die Kronjuwelen Ihres Unternehmens zu schützen. In diesem Beitrag gehen wir darauf ein, wie selbst die am besten besetzten Sicherheitsteams mit begrenzten Ressourcen und zeitaufwändigen Prozessen zu kämpfen haben.

Lesen Sie mehr dazu in unserem whitepaper:Fünf Gründe, warum Sie ein Schwachstellenmanagement für geschäftskritische Anwendungen benötigen

Grund 5: Selbst die besten Teams stehen vor der Herausforderung, mit weniger mehr zu erreichen

Endliche Ressourcen

Trotz des allgemeinen Trends zu weltweit steigenden Budgets für Anwendungssicherheit¹ sinddie finanziellen Mittel und personellen Ressourcen begrenzt. Und Cybersicherheitsexperten befinden sich oft im Nachteil, da sie ein Katz-und-Maus-Spiel mit Cyberkriminellen spielen. Zudem bedeutet ein höherer Aufwand nicht immer, dass an den richtigen Stellen ausreichend investiert wird. Verantwortliche für Cybersicherheitsbudgets denken oft von innen nach außen, aus der Perspektive der Verteidiger. Unternehmen sollten ihre Budgets und Bewertungen aus der Perspektive eines Angreifers vornehmen und nach blinden Flecken suchen, die nicht überwacht und ungeschützt sind.2 Eine solche Sicherheitslücke, die Unternehmen oft übersehen, sind die geschäftskritischen Anwendungen, die für den Betrieb eines Unternehmens erforderlich sind. 

Blinde Flecken in der Cybersicherheit

ERP-, SCM-, CRM-, SRM-, PLM-, HCM- und BI-Anwendungen unterstützen weltweit wesentliche Geschäftsfunktionen und -prozesse, darunter Lieferkette, Fertigung, Finanzen, Vertrieb und Dienstleistungen sowie Personalwesen. Bislang gingen Sicherheits- und IT-Teams davon aus, dass diese Anwendungen vor Angreifern „sicher“ seien, da sie vor Ort, hinter Netzwerkschutzmaßnahmen und für Angreifer unerreichbar waren. Das ist heute nicht mehr der Fall. Aktuelle Untersuchungen von SAP und Onapsis liefern schlüssige Beweise dafür, dass raffinierte Cyberangreifer aktiv auf ungesicherte, geschäftskritische SAP-Anwendungen abzielen und diese mithilfe einer Vielzahl von Techniken, Tools und Verfahren ausnutzen. 

Angesichts der Tatsache, dass 77 % des weltweiten Transaktionsumsatzes über ein SAP-System abgewickelt werden und 92 % der Forbes Global 2000-Unternehmen SAP nutzen, könnte ein koordinierter und erfolgreicher Angriff auf ungeschützte SAP-Systeme weitreichende Folgen haben. Es ist daher von entscheidender Bedeutung, angemessene Ressourcen für den Schutz der wichtigsten Vermögenswerte Ihres Unternehmens bereitzustellen.

Fachkräftemangel im Bereich Cybersicherheit

Zwar ist allgemein bekannt, dass die Bereitstellung ausreichender Mittel für die Besetzung eines kompetenten Cybersicherheitsteams unerlässlich ist, doch gibt es schlichtweg nicht genügend Cybersicherheitsexperten, um den Bedarf des Marktes zu decken. Mehr als 57 % der Unternehmen sind vom Fachkräftemangel im Bereich Cybersicherheit betroffen,3 wobei die Zahl der unbesetzten Stellen weltweit bei 4,07 Millionen liegt.4Einer der drei Bereiche mit dem größten Mangel an Cybersicherheitsfachkräften ist die Anwendungssicherheit.5 Angesichts der zunehmenden Häufigkeit von Cyberangriffen auf geschäftskritische Anwendungen wie SAP ist dies eine besorgniserregende Realität.

Manuelle Prozesse

Selbst ein gut besetztes Team stößt bei der Priorisierung von Arbeitsaufgaben an die Grenzen seiner wertvollen Zeit. Es ist eine Herausforderung, den Überblick über komplexe Sicherheitshinweise für mehrere Schwachstellen-Patches pro Monat zu behalten, insbesondere für Unternehmen, die zahlreiche geschäftskritische Anwendungen und Systeme betreiben. Die manuelle Verwaltung all dieser Patch-Maßnahmen ist ein zeitaufwändiger und fehleranfälliger Prozess. Es gibt keine einfache Möglichkeit, festzustellen, bei welchen Systemen Patches fehlen, was oft zu einem überstürzten Patch-Management-Prozess führt, bei dem kritische Patches möglicherweise nicht vorrangig behandelt werden. Infolgedessen sehen sich Unternehmen mit einem wachsenden Rückstau an Patches konfrontiert und verfügen oft nicht über die Tools, um diese nach ihrer Kritikalität zu priorisieren. Und dies ist nur ein Teil der Verwaltung geschäftskritischer Anwendungen. Unternehmen haben keine einfache Möglichkeit zu überprüfen, ob ihre Anwendungen die Best Practices für Konfigurationen oder Benutzerrechte einhalten, was zu unberücksichtigten Risiken und offenen Angriffsvektoren führt

Es gibt eine bessere Möglichkeit, Ihre geschäftskritischen Anwendungen zu schützen.

Ein Sicherheitsverstoß in einem dieser Systeme kann schwerwiegende Folgen für Ihr Unternehmen haben. Unternehmen müssen der Sicherheit geschäftskritischer Anwendungen trotz knapper Budgets und begrenzter Ressourcen Priorität einräumen. Die richtige anwendungsbasierte Lösung für das Schwachstellenmanagement kann Unternehmen einen umfassenden Einblick in die Anwendungslandschaft verschaffen, Bewertungen automatisieren und die Behebungszeiten verkürzen, sodass Teams mit weniger Aufwand eine größere Risikominderung erzielen können. Erfahren Sie mehr darüber, warum Sie eine Lösung für das Schwachstellenmanagement benötigen, um Ihre geschäftskritischen Anwendungen zu schützen.

Erfahren Sie, wie „Onapsis Assess Vulnerability Management“ unseren Kunden Zeit und Geld sparen kann: 

  • SAP gegen interne und externe Bedrohungen absichern: „Eine Bedrohung für unsere SAP-Anwendungen ist eine Bedrohung für die Patienten, die auf unsere Produkte angewiesen sind. Wir können nun Probleme mit der Leistung, der Stabilität und Datenverlusten verhindern, bevor sie auftreten, wodurch wir unser Risiko weiter reduzieren und unserem Basis-Team viel Zeit sparen.“
  • Stellen Sie sicher, dass Compliance- und Sicherheitsstandards eingehalten werden: „Mit Onapsis können wir sicherer sein, dass die von uns vorgenommenen Änderungen keine Störungen oder Leistungsprobleme verursachen und gleichzeitig die Sicherheit und Compliance gewährleisten. Davon profitieren alle.“ 
  • Verschaffen Sie sich einen Überblick über cloud : „Nur Onapsis bietet Transparenz in der SAP-HEC-Betriebsumgebung, sodass wir darauf vertrauen und gleichzeitig überprüfen können, dass unser System unseren Standards entspricht. Wir können nun Risiken kontinuierlich überwachen, die Integrität und Sicherheit unserer Lieferkette gewährleisten und unser Unternehmen schützen.“ 
  • Digitalisierungsvorhaben beschleunigen: „Wir hätten mit der Implementierung von Sicherheitsmaßnahmen bis nach der Migration warten können, aber das wäre zu teuer gewesen. Es war besser, dies im Rahmen unserer ‚Build‘-Phase zu erledigen. Dank unserer Investition in die Platform konnten wir den Projektzeitplan verkürzen und unser veranschlagtes Budget deutlich senken.“ 

Onapsis Assess ein umfassendes Schwachstellenmanagement für die geschäftskritischsten Anwendungen von Unternehmen, wie beispielsweise SAP und Oracle. Onapsis Assess einen tieferen Einblick, automatisierte Bewertungen, detaillierte Lösungen sowie Beschreibungen der damit verbundenen Risiken und geschäftlichen Auswirkungen. Erfahren Sie mehr darüber, wie Onapsis Assess eine wesentliche Rolle in Ihrem Schwachstellenmanagement-Programm spielen Assess .

Demo der Platform: Erfahren Sie, wie Onapsis Ihnen die Transparenz, die intelligenten Funktionen und die Geschwindigkeit bietet, die Sie benötigen, um Ihre geschäftskritischen Anwendungen cloud, in Hybridumgebungen und vor Ort zu schützen.

 

Weitere Gründe, warum

1https://www.securityweek.com/gartner-global-security-spending-will-reach-150-billion-2021
2https://www.forbes.com/sites/forbestechcouncil/2022/01/24/how-to-maximize-a-cybersecurity-budget-in-the-face-of-increasing-threats/?sh=15e39c542216
3https://www.csoonline.com/article/3629460/7-key-data-points-on-the-cybersecurity-skills-shortage.html
4https://thecyberwire.com/stories/0e1b915f738448e181cc72ab3fa42f37/understanding-the-cybersecurity-skills-gap-and-how-education-can-solve-it
5https://www.issa.org/cybersecurity-skills-crisis-continues-for-fifth-year-perpetuated-by-lack-of-business-investment/
Stichworte, , ,
Über den Autor

Beth Barach

Als eine der führenden Marketingverantwortlichen bei Onapsis konzentriert sich Beth Barach darauf, die Kompetenz des Unternehmens in den Bereichen SAP-Sicherheit und threat intelligence zu stärken. Sie ist für die Konzeption und Umsetzung digitaler Kampagnen verantwortlich, die die Marktpräsenz der Marke steigern und die Vordenkerrolle des Unternehmens festigen. Ihre Arbeit trägt unmittelbar dazu bei, die SAP-Cybersicherheits-Community über neue Bedrohungen und bewährte Verfahren zu informieren, und festigt damit ihre Rolle bei der Unterstützung von Kunden beim Schutz ihrer Systeme. Beths strategischer Ansatz stellt sicher, dass die bahnbrechenden Forschungsergebnisse und Lösungen von Onapsis die richtigen Zielgruppen erreichen, von IT-Fachleuten bis hin zur Unternehmensführung.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen