Die wichtigsten Erkenntnisse aus der neuen Studie des Ponemon Institute: Aufdeckung der Risiken von Cyberangriffen auf SAP-Systeme

Von:

24. Februar 2016

Das Ponemon Institute hat heute seine neueste Studie mit dem Titel „Uncovering the Risks of SAP Cyber Breaches“ veröffentlicht. Als erste unabhängige Studie zu Trends im Bereich der SAP-Cybersicherheit wurden mehr als 600 IT-Sicherheitsexperten weltweit befragt, um Erkenntnisse darüber zu gewinnen, wie die Gefahr eines Cyberangriffs auf SAP-Systeme wahrgenommen wird und wie Unternehmen mit dem Risiko von Datendiebstahl, Datenmanipulation und Störungen von Geschäftsprozessen umgehen.

Es wurden einige sehr interessante Ergebnisse festgestellt. Während mehrere führende Unternehmen bereits erkannt haben, welche Auswirkungen der Verlust von Daten aus ihrem SAP-System aufgrund einer Datenpanne oder eines Cyberangriffs auf den Wert dieser Daten haben könnte, ist eine der schockierendsten Erkenntnisse dieser Studie, dass die meisten Unternehmen nach wie vor nur sehr wenig Vertrauen darin haben, eine SAP-Sicherheitsverletzung innerhalb eines angemessenen Zeitraums erkennen zu können. Tatsächlich gaben 53 % der Befragten an, dass ihr Unternehmen bis zu einem Jahr benötigen würde, um eine platform zu erkennen.

Darüber hinaus stellte das Ponemon Institute fest, dass 65 % aller an der Umfrage teilnehmenden Unternehmen in den letzten 24 Monaten mindestens einen SAP-Sicherheitsvorfall erlebt haben.

Es ist offensichtlich, dass wir als Branche noch viel zu tun haben, wenn es darum geht, die Cybersicherheitsrisiken im Zusammenhang mit geschäftskritischen Anwendungen, die auf unseren SAP-Plattformen laufen, vollständig zu verstehen und zu bewältigen.

Werfen wir einen Blick auf einige weitere wichtige Ergebnisse:

  • Die Einschätzung der Unternehmensleitung zu SAP-Sicherheitsrisiken: Die Unternehmensleitung erkennt zwar die Bedeutung von SAP für den Geschäftserfolg an, ignoriert jedoch die damit verbundenen Cybersicherheitsrisiken. Es scheint ein mangelndes Verständnis für die Auswirkungen des Wertes von Daten zu geben, die aus SAP-Systemen verloren gehen könnten. Geschäftskritische Anwendungen, die auf SAP laufen, gehören zu den wertvollsten Vermögenswerten eines Unternehmens – ich kann dies nicht genug betonen. Diese Systeme sind für die Speicherung kritischer Geschäftsprozesse und Daten verantwortlich, auf die das Unternehmen angewiesen ist, darunter Sachanlagen, Kundendaten, Finanzunterlagen und personenbezogene Daten. Diese Systeme sollten bei den Schutzprioritäten ganz oben auf der Liste stehen.
  • Die geschätzten durchschnittlichen Kosten eines Sabotageangriffs auf ein SAP-System: Bei einer Umfrage zu den finanziellen Folgen eines Systemausfalls gaben die Befragten an, dass dies ihr Unternehmen im Durchschnitt 4,5 Millionen Dollar kosten würde. Darin enthalten sind alle direkten Barausgaben, direkten Personalkosten, indirekten Personalkosten, Gemeinkosten sowie entgangene Geschäftsmöglichkeiten.
  • Die „Verantwortungslücke“ bei der Absicherung von SAP-Systemen: Unter den Befragten herrscht große Unklarheit hinsichtlich der Zuständigkeit für die SAP-Sicherheit und der inhärenten Sicherheit der SAP-Anwendungen selbst. Darüber hinaus gab eine Mehrheit der Befragten an, dass innerhalb ihres Unternehmens keine einzelne Funktion die Hauptverantwortung für die SAP-Sicherheit trägt. Tatsächlich glauben nur 19 % der Befragten, dass es in der Verantwortung ihres SAP-Sicherheitsteams liegt, SAP-Systeme, -Anwendungen und -Prozesse zu sichern. Um SAP-Systeme und -Anwendungen angemessen zu sichern, ist es notwendig, eine operationalisierte Cybersicherheitsstrategie umzusetzen, die auf einem funktionsübergreifenden, gut abgestimmten Team basiert. Steve Higgins, SVP of Customer Success, hat in seinem neuesten Blogbeitrag Schritte skizziert, mit denen Unternehmen beginnen können, ihre SAP-Cybersicherheitsstrategie zu operationalisieren .
  •  

Angesichts dieser Erkenntnisse besteht kein Zweifel daran, dass die SAP-Cybersicherheit für Sie als CISO eines Global-2000-Unternehmens zu den fünf wichtigsten Initiativen für das Jahr 2016 gehören sollte. Eine klare Abgrenzung der Verantwortlichkeiten und die Zusammenarbeit zwischen den Teams sowie die Etablierung von Prozessen und die Operationalisierung der Prävention und Erkennung von SAP-Schwachstellen sind unerlässlich, um erhebliche wirtschaftliche Folgen zu vermeiden. Die wichtigsten Fragen, die mir CISOs oft stellen, lauten: „Wo fange ich an? Wie binde ich SAP in unsere Cybersicherheitsstrategie ein?“ Auf diese Fragen empfehle ich die folgenden Schritte:

  • I. Erfassen Sie Ihre SAP-Landschaft und deren Struktur: Stellen Sie mithilfe einer Bestandsaufnahme fest, ob Sie über 1 oder 100 SAP-Systeme und deren Schnittstellen verfügen. Verschaffen Sie sich anschließend einen Überblick über die Geschäftsprozesse, die jedes System unterstützt, sowie über die Informationen, die in den einzelnen Systemen gespeichert sind.
  • II. Risiken und Auswirkungen verstehen:
    • Wirtschaftlich – Machen Sie sich mit der Wertschöpfungskette vertraut, die SAP-Systeme und -Anwendungen unterstützen. Ermitteln Sie außerdem den Umsatz, den die SAP platform in Ihrem Unternehmen platform .
    • Compliance – Abgleich der Richtlinien mit den SAP-Sicherheitsrichtlinien sowie mit maßgeblichen Quellen (SOX, PCI) und Durchführung von Bewertungen zur Ermittlung kritischer Compliance-Lücken.
    • Kontext – Priorisieren Sie Risiken nach Schweregrad in Bezug auf die Vermögenswerte (TOP-10, versuchen Sie nicht, alles auf einmal zu lösen), nach Eintrittswahrscheinlichkeit und Zeitpunkt des Eintritts sowie nach den potenziellen geschäftlichen Auswirkungen.
  • III. Integrieren Sie SAP in Ihre Cybersicherheitsstrategie und -roadmap. Überwachen Sie die Systeme kontinuierlich, um sicherzustellen, dass sowohl Sicherheits- als auch Compliance-Probleme auf einem niedrigen Niveau bleiben. Binden Sie SAP in Ihr Programm für Risiko-, Compliance- und Schwachstellenmanagement ein. Reagieren Sie auf neue Bedrohungen, Angriffe oder Anomalien im Nutzerverhalten als Anzeichen für eine Kompromittierung und integrieren Sie SAP in Ihr Programm zur Reaktion auf Sicherheitsvorfälle.

Wie immer gilt: Sollten Sie konkrete Fragen oder Bedenken bezüglich der SAP-Cybersicherheitsstrategie Ihres Unternehmens haben, zögern Sie bitte nicht, uns direkt unter [email protected] zu kontaktieren. Die vollständige Studie des Ponemon Institute können Sie hier herunterladen: https://onapsis.com/ponemon-report.

Weitere Ressourcen:

Webcast von Onapsis und dem Ponemon Institute: „Die Risiken von Cyberangriffen auf SAP-Systeme aufdecken“: https://onapsis.com/news-and-events/webcasts/uncovering-the-risk-of-SAP-cyber-breaches Onapsis-Darstellung der Geschäftsrisiken: https://onapsis.com/services/business-risk-illustration Onapsis-Sicherheits Platform: platform

Stichworte, ,
Über den Autor
Mariano Núñez

Mariano Núñez

Geschäftsführer und Mitbegründer

Als CEO und Mitbegründer von Onapsis bestimmt Mariano die strategische Ausrichtung des Unternehmens. Unter seiner Führung hat sich Onapsis zu einem der am schnellsten wachsenden Technologie- und Cybersicherheitsunternehmen weltweit entwickelt. Mit über 20 Jahren Erfahrung in der Cybersicherheitsbranche, sowohl als Führungskraft als auch als Cybersicherheitsexperte, war Mariano der Erste, der auf großen Konferenzen wie RSA, Black Hat und SANS öffentlich über Cybersicherheitsrisiken für ERP-Plattformen und deren Minderung referierte. Zu Marianos Beiträgen zur Cybersicherheits-Community zählen die Entwicklung der ersten Open-Source-Frameworks für SAP- und ERP-Penetrationstests sowie die Aufdeckung kritischer Zero-Day-Schwachstellen in Anwendungen von SAP, Oracle, IBM und Microsoft. Marianos Erkenntnisse werden regelmäßig in großen Medien wie CNN, Reuters, dem Wall Street Journal, Nasdaq, Fortune und der New York Times veröffentlicht.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen