Neue IDC-Umfrage zeigt, dass geschäftskritische Anwendungen gefährdet sind

Von:

9. Oktober 2019

Eine neue IDC-Umfrage unter 430 IT-Entscheidungsträgern mit dem Titel „ERP Security: The Reality of Business Application Protection“ergab, dass 64 Prozent der Unternehmen in den letzten 24 Monaten einen Sicherheitsverstoß in ihrem ERP-System gemeldet haben. Die Untersuchung legt ferner nahe, dass ERP-Systeme wie SAP und Oracle EBS zunehmend Ziel von Angriffen auf kritische Daten sind. Unter den Unternehmen, deren ERP-Systeme in den letzten 24 Monaten angegriffen wurden, gehören zu den am stärksten gefährdeten Informationen Umsatzdaten (50 Prozent), personenbezogene Kundendaten (41 Prozent), geistiges Eigentum (36 Prozent) und Finanzdaten (34 Prozent). Die Befragten stuften Finanz- und Umsatzdaten als die beiden kritischsten Arten von kompromittierten Daten ein. 

Sehen Sie sich jetzt die vollständige IDC-Infografik an

Neue Exploits und zunehmende Sicherheitslücken

Angesichts der jüngsten Angriffe auf SAP (10KBLAZE) und der bekannt gewordenen kritischen Sicherheitslücken in Oracle Payments (Oracle E-Business Suite) wird die Zahl potenzieller Angriffe auf SAP und Oracle EBS weiter zunehmen, was Ihr Unternehmen einem erheblichen Risiko aussetzt. 

  • Die Onapsis Research Labs festgestellt, dass 90 % der SAP-Systeme für die im April 2019 entdeckten öffentlichen Exploits der Serie „10KBLAZE“ anfällig sind.
  • Vier kritische Sicherheitslücken im Oracle Payments-Modul, die von Onapsis entdeckt wurden, wurden im Critical Patch Update von Oracle vom Juli 2019 bekannt gegeben, wodurch Tausende von Oracle-Kunden einem Risiko ausgesetzt sind, sofern sie die Patches nicht installieren. 

Auswirkungen von Sicherheitslücken in ERP-Systemen auf das Geschäft 

Angriffe, die auf Fehlkonfigurationen und Schwachstellen in ERP-Systemen abzielen, können es Angreifern ermöglichen, control vollständige control anfällige Systeme zu erlangen, ohne dass sie über eine gültige Benutzer-ID und ein gültiges Passwort verfügen müssen – wodurch die IT-Kontrollen für control die Benutzerautorisierung unterlaufen werden. Diese Angriffe können sowohl von innerhalb als auch von außerhalb des Unternehmensnetzwerks gestartet werden. 

Erfolgreiche Angriffe würden es böswilligen Akteuren (einschließlich unzufriedener Mitarbeiter) ermöglichen, alle kritischen und sensiblen Daten für wichtige Geschäftsprozesse wie Order-to-Cash, Procure-to-Pay, Bestandsmanagement, Treasury, Steuern, Personalwesen und Gehaltsabrechnung sowie weitere Bereiche ohne jegliche Einschränkung einzusehen, zu ändern und/oder zu löschen und dabei alle Kontrollen zur Aufgabentrennung zu umgehen.

Tun Unternehmen genug, um ihre ERP-Systeme zu schützen?

Die Ergebnisse dieser unabhängigen Umfrage sind weitaus beunruhigender, als es der scheinbare Mangel an bewährten Verfahren für Cybersicherheit und Anwendungswartung vermuten lässt. Die laut der IDC-Studie am häufigsten kompromittierten Informationen unterliegen im heutigen Geschäftsumfeld den strengsten Vorschriften. Besonders besorgniserregend ist die Häufigkeit, mit der Vertriebs- und Finanzdaten sowie personenbezogene Daten (PII) betroffen sind. All dies sollte Alarmglocken läuten lassen hinsichtlich der Möglichkeit von Insiderhandel, Absprachen und Betrug sowie von externen Angriffen und Diebstahl, die auf Schwachstellen in ERP-Systemen und Mängel bei den IT-Kontrollen abzielen.

So Assess Sie Assess ERP-Systeme – Onapsis hilft Ihnen dabei. Unsere „Business Risk Illustration“ ist ein wichtiger erster Schritt, um festzustellen, ob Ihre geschäftskritischen Anwendungen gefährdet sind. Dieser detaillierte Bericht hilft Ihnen dabei: 

  • Verstehen Sie Ihre ERP-Umgebung: Verschaffen Sie sich einen Überblick über Ihre geschäftskritischen Anwendungen – deren Hauptzweck und Prozesse sowie die wichtigsten Informationsressourcen, die sie verwalten. 
  • Schwachstellen identifizieren: Finden Sie heraus, wo in Ihrer Umgebung Risiken und Angriffsflächen bestehen. Sie erhalten einen detaillierten zusammenfassenden Bericht über die vorhandenen Schwachstellen, die in den gescannten SAP- oder Oracle EBS-Systemen gefunden wurden.
  • Setzen Sie die festgestellten Schwachstellen in Beziehung zu Ihrer Risikosituation: Wir betrachten die Ergebnisse der Schwachstellenanalyse im Gesamtkontext, um die größten Risiken für Ihr Unternehmen zu ermitteln, einschließlich einer detaillierten Aufschlüsselung, wie jede einzelne Schwachstelle von einem Angreifer ausgenutzt werden kann, um Zugriff auf die gescannten Systeme zu erlangen. 
  • Auswirkungen auf die Compliance verstehen: Erfahren Sie, wie sich Schwachstellen und Risiken auf die Einhaltung der für Ihr Unternehmen geltenden gesetzlichen Vorschriften (SOX, DSGVO, PCI-DSS und andere) auswirken.

Assess ERP-System noch heute! Die „Onapsis Business Risk Illustration“ ist eine kostenlose Analyse Ihrer SAP- und Oracle E-Business Suite-Systeme, mit der Sie herausfinden können, wo in Ihrer Umgebung Risiken und Angriffsflächen bestehen. Fordern Sie hier Ihr Toolkit für die Risikoanalyse an.   

Stichworte, , , , ,
Über den Autor
Porträtfoto von Julie Anderson

Julie Anderson

Julie Anderson ist eine erfahrene Marketingexpertin und Vordenkerin bei Onapsis. Sie entwickelt strategische Inhalte, die Führungskräfte aus den Bereichen Sicherheit und IT über die Notwendigkeit des Schutzes von SAP- und geschäftskritischen Anwendungen aufklären. Julies Arbeit verdeutlicht, wie die platform marktführende Funktionen in den Bereichen Schwachstellenmanagement, spezialisierte Bedrohungserkennung und kontinuierliche Compliance platform . Ihr Schwerpunkt liegt darauf, den Mehrwert der Einbindung fundierter Erkenntnisse zur Anwendungssicherheit in bestehende Sicherheitsworkflows von Unternehmen zu vermitteln, um eine bessere Risikominderung und Governance zu erreichen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen