Oracle über Oracle: Sicherheit von Unternehmensanwendungen

Von:

23. Dezember 2019

Am 4. Dezember haben wir in Zusammenarbeit mit Oracle ein Webinar veranstaltet, in dem die wichtigsten Aspekte der Sicherheit bei Unternehmensanwendungen erörtert wurden. Zu Gast waren Elke Phelps, Produktmanagerin in der Oracle eBusiness Suite Applications Technology Group, und Bruce Lowenthal, Leiter der Oracle Security Alerts Group. Falls Sie nicht dabei waren, empfehle ich Ihnen wärmstens, alles stehen und liegen zu lassen und sich die Aufzeichnung anzusehen.

Wie Sie vielleicht wissen, Onapsis Research Labs die Onapsis Research Labs sehr eng mit Oracle Onapsis Research Labs , um potenzielle Sicherheitslücken zu melden, damit Oracle diese beheben und die Kunden von Oracle entsprechende Patches installieren können. Wir sprechen nicht nur gerne über unsere Arbeit, sondern auch über die Vorteile, die es mit sich bringt, Patches zu installieren und die Sicherheitslage Ihrer ERP-Anwendungen kontinuierlich zu verbessern. Wir haben vor mehr als 10 Jahren einige der ersten Schwachstellen in J. D. Edwards gemeldet und arbeiten seitdem im Rahmen eines verantwortungsvollen Offenlegungsprozesses sehr professionell mit Bruce und dem Oracle-Sicherheitsteam zusammen.

Was macht ERP-Systeme so besonders?

Sie fragen sich vielleicht, worin sich eine geschäftskritische Anwendung von anderen Anwendungen unterscheidet, die Sie derzeit in Ihrem Unternehmen einsetzen? Nun, es gibt einige Merkmale, die diese Art von Anwendung wirklich auszeichnen: 

  1. Eine komplexe Architektur
  2. Eine Ebene mit benutzerdefinierten Funktionen, die auf der Anwendung aufsetzt
  3. Ein Fall von starker Vernetzung, bei dem Daten zwischen Anwendungen hin und her fließen
  4. Und schließlich sind sie unverzichtbar! Ohne diese Anwendungen kann das Unternehmen nicht funktionieren

Cyberkriminelle unterschiedlichster Größe und Art richten ihr Augenmerk zunehmend auf Unternehmensanwendungen – nicht nur, weil diese Anwendungen für den Geschäftsbetrieb von entscheidender Bedeutung sind, sondern auch wegen der Sensibilität und des Wertes der Daten, die in diesen Anwendungen gespeichert sind.

Oracle über die Sicherheit von Oracle-Geschäftsanwendungen

Wir haben uns darauf konzentriert, zwei recht komplexe Fragen zu beantworten: Welche Kontrollmaßnahmen sind die richtigen, und welche Mechanismen müssen wir einsetzen, um diese Anwendungen vor Cyberangriffen zu schützen? Angesichts des stetig wachsenden Interesses von Cyberkriminellen an ERP-Schwachstellen ist es heute wichtiger denn je, der Sicherheit unserer wertvollsten Unternehmensressourcen entsprechend Priorität einzuräumen.

Oracle über die Sicherheit von Oracle-Geschäftsanwendungen 2

Angesichts des stetig wachsenden Interesses von Cyberkriminellen an Schwachstellen in ERP-Systemen ist es heute wichtiger denn je, der Sicherheit der wichtigsten Unternehmensressourcen entsprechend Priorität einzuräumen.

Sicherheitsmaßnahmen für Oracle EBS

Es gab eine Reihe erfolgreicher Angriffe auf Oracle-Produkte. Viele dieser erfolgreichen Angriffe richteten sich gegen Schnittstellen, die eigentlich nicht über das Internet zugänglich sein sollten, was bedeutet, dass die Kunden die von Oracle bereitgestellten Anweisungen für eine sichere Bereitstellung nicht befolgt und viele dieser Schnittstellen für das Internet offen gelassen haben. Fast alle diese Vorfälle hätten durch die ordnungsgemäße Installation von Patches und die Befolgung der Richtlinien für eine sichere Bereitstellung verhindert werden können. 

Die Herausforderung für die Sicherheit ist für Kunden verständlicherweise groß. Die Komplexität dieser Anwendungen schafft zahlreiche Angriffsflächen für Angreifer. Und die Störungen, die durch Patches und Systemaktualisierungen häufig verursacht werden, wirken abschreckend auf die Durchführung kritischer Korrekturen. Zudem hat die Zahl der von Drittanbietern veröffentlichten Korrekturen stark zugenommen, was die Anzahl der Sicherheitskorrekturen, die angewendet werden müssen, drastisch erhöht.

Der Weg in die Zukunft

Was tun wir also? Konkret beginnt es damit, Ihre Geschäftsprozesse zu ermitteln – vor allem aber Ihre Geschäftsanwendungen. Die folgenden Fragen können Ihnen dabei helfen, herauszufinden, was für Sie am wichtigsten ist:

  • Welche Daten und welche Prozesse werden von Ihren Geschäftsanwendungen unterstützt? 
  • Wie wichtig sind dir diese Anwendungen wirklich? 
  • Welches Risiko stellen diese Anwendungen für Ihr Unternehmen dar? 
  • Wie lange kann das Unternehmen ohne diese Anwendungen oder bei deren Ausfall überleben – oder eben nicht?

Sobald wir diesen Prozess der Bestandsaufnahme abgeschlossen haben, müssen wir uns einen Überblick darüber verschaffen, welche Prozesse und Kontrollmechanismen wir in allen identifizierten Geschäftsanwendungen implementiert haben. Das sollte relativ unkompliziert sein, erfordert jedoch Gespräche mit den Anwendungsverantwortlichen, den Verantwortlichen für geschäftsbereichsübergreifende Bereiche, den IT-Sicherheitsteams, den IT-Teams und der internen Revision. Wenn Sie die bestehenden Kontrollmechanismen kennen, erhalten Sie eine Art „Heatmap“, die Ihnen aufzeigt, welche Bereiche wichtig sind und wie hoch das Risiko in den Anwendungen Ihres Unternehmens ist.

Stellen Sie in den kommenden Monaten und auch danach sicher, dass Sie über die richtigen Sicherheitsmaßnahmen verfügen, die auch Ihre Geschäftsanwendungen in Bezug auf Schwachstellen- und Patch-Management, kontinuierliche Überwachung, Automatisierung der Compliance sowie die Fähigkeit, zeitnah auf jegliche Art von Risiken zu reagieren, abdecken.

Zusammenfassung

Zusammenfassend lässt sich sagen, dass die Absicherung der Oracle E-Business Suite ein fortlaufender Prozess ist und nicht mit einem einzigen Schritt erledigt ist. Ein Sicherheitspatch, der heute für Ihr System vielleicht irrelevant erscheint, könnte morgen sehr relevant werden, wenn Angreifer beginnen, diesen Bereich ins Visier zu nehmen. Es liegt an den Unternehmen, die Oracle-Software und Oracle-Anwendungen einsetzen, die richtigen Mechanismen einzurichten und über die richtigen Prozesse zu verfügen, um solche Situationen tatsächlich zu bewältigen, wenn sie auftreten. 

Weitere Informationen finden Sie im vollständigen On-Demand-Webinar:„Wichtige Schritte zur Absicherung geschäftskritischer Oracle-Anwendungen“. 
 

Stichworte, , ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen