Ransomware-Angriffe auf SAP: Wichtige Erkenntnisse aus unserem Kamingespräch mit Turnkey

Seit 2021 ist die Zahl der Ransomware-Bedrohungen für SAP-Systeme um 400 % gestiegen. Diese erschreckende Zahl, dieOnapsisund Flashpoint in ihrem aktuellenBedrohungsbericht veröffentlicht haben, verdeutlicht, wie dringend es für Unternehmen, die SAP einsetzen, ist, diese Risiken zu erkennen und ihnen entgegenzuwirken. Doch warum nehmen diese Angriffe zu und wie können Sie Ihr Unternehmen schützen? 

Turnkey hat sich kürzlich mit Onapsis zusammengesetzt, um die wachsenden Gefahren von Ransomware für SAP-Systeme und -Daten zu erörtern. In diesem Artikel werfen wir einen Blick auf das Gespräch zwischen zwei der erfahrensten Cybersicherheitsexperten von Turnkey, Andrew Morris und Harshini Carey, sowie dem Chief Technology Officer von Onapsis, Juan Pablo Perez-Etchegoyen. Lesen Sie weiter, um umfassende Einblicke in die Schwachstellen zu erhalten, die Ransomware-Angriffe auf SAP-Systeme ermöglichen, sowie in bewährte Verfahren – von Präventionsmaßnahmen bis hin zu wirksamen Reaktionsstrategien. 

DasKamingesprächwurde aus Gründen der Länge und Verständlichkeit leicht gekürzt. Hier finden Sie eine Zusammenfassung der wichtigsten Punkte, die während der Sitzung besprochen wurden, in Form von Fragen und Antworten: 

Harshini: Wie können CISOs und CIOs die SAP-Lücke schließen und gemeinsam daran arbeiten, die IT-Landschaft zu sichern? Angesichts der Tatsache, dass die wertvollsten Unternehmensressourcen in der SAP-Landschaft liegen – was halten Sie von dieser Zusammenarbeit? 

JP:Die Frage deckt sicherlich viele Aspekte ab, daher werde ich versuchen, mich kurz zu fassen. Unternehmen müssen Tausende von Endgeräten, Servern, Anwendungen und Geräten absichern. In dieser riesigen IT-Landschaft mag die SAP-Umgebung klein erscheinen – nur ein paar Server. Aus geschäftlicher Sicht unterstützt SAP jedoch das gesamte Unternehmen, insbesondere für SAP-Kunden. Wenn eine SAP-Anwendung ausfällt, kann dies für das Unternehmen einen erheblichen Verlust bedeuten. 

Da es das SAP-Sicherheitsteam schon seit jeher gab, gingen alle davon aus, dass es sich um alle Aspekte der Sicherheit kümmert. Das SAP-Sicherheitsteam konzentriert sich jedoch in der Regel auf die Identitätsbereitstellung, Rollen, Profile und Berechtigungen. Cyberbedrohungen und -risiken sind hingegen ein ganz anderer Bereich, für dessen effektive Bewältigung das SAP-Sicherheitsteam möglicherweise nicht ausreichend gerüstet ist. Demgegenüber versteht das IT-Sicherheitsteam möglicherweise nicht die Komplexität der SAP-Technologien. 

Wir haben viele Erfolgsgeschichten von Unternehmen gesehen, die ihre digitale Transformation, cloud und die Risikominimierung durch bessere Kommunikation und ein besseres Verständnis kosteneffizient vorangetrieben haben. Da die SAP-Sicherheit jedoch nicht umfassend berücksichtigt wurde, kam es im Jahr 2023 auch zu Ransomware-Angriffen, Sicherheitsverletzungen und anderen Vorfällen. Um diese Lücke zu schließen, müssen CISOs und CIOs die SAP-Sicherheit als einen entscheidenden Bestandteil der gesamten Cybersicherheit betrachten. 

Andrew:Dasist ein Thema, das wir oft mit vielen unserer Kunden besprechen. Jede Anwendung, die in einem Unternehmen zum Einsatz kommt, ist wichtig, doch bei Kernanwendungen wie SAP steht besonders viel auf dem Spiel. Wenn SAP ausfällt, kann das Auswirkungen auf das gesamte Unternehmen haben, da oft ein erheblicher Teil des Umsatzes über dieses System abgewickelt wird. Für das Unternehmen gilt es als eine der wichtigsten Anwendungen. Aus der Sicht von CISOs oder CIOs kann SAP jedoch lediglich als kleiner Teil ihrer IT-Landschaft betrachtet werden. 

Um diese Lücke zu schließen, sind eine effektive Kommunikation und fundierte Business Impact Assessments der erste Schritt, um zu verstehen, wo sich die kritischen Ressourcen in einem Unternehmen befinden. Bei SAP reicht es nicht aus, davon auszugehen, dass das SAP-Sicherheitsteam sich um alles kümmert. In der Regel konzentriert sich das SAP-Sicherheitsteam auf Rollen, Berechtigungen und die Aufgabentrennung, ist jedoch selten in Bereichen wie Erkennung, Reaktion, Schwachstellenmanagement und Patching tätig, die häufig ausgelagert und von separaten Teams übernommen werden. 

Aufklärung und das Verständnis der wesentlichen Risiken und Kontrollmechanismen sind entscheidend. Es ist wichtig zu wissen, welche Sicherheitsmaßnahmen derzeit bestehen, um etwaige Lücken zu erkennen und die nächsten Schritte festzulegen, die einen umfassenden Schutz der SAP-Landschaft gewährleisten. 

Harshini: Wurden SAP-Sicherheitslücken bisher schon einmal vom SAP-Berechtigungsteam behandelt, oder fallen sie normalerweise in den Bereich der Cybersicherheit?

Andrew:In der Regel leitet das Cybersicherheitsteam diesen Prozess und stellt sicher, dass jede Anwendung einem Schwachstellen-Scan unterzogen wird und dass ein Aktionsplan zur Behebung etwaiger Probleme vorliegt. Bei SAP gibt es oft Ausnahmen und Komplexitäten; in manchen Fällen kann die Behebung von Schwachstellen den Einsatz mehrerer Teams erfordern. 

So können beispielsweise Parameteränderungen die Mitwirkung des Basis-Teams erfordern und einen Systemneustart notwendig machen, was bedeutet, dass sich das gesamte Unternehmen auf die Ausfallzeit einigen muss. Zudem müssen Entwickler möglicherweise Schwachstellen im Code beheben, die seit Jahren im SAP-System bestehen. Andere Teams müssen unter Umständen assess bestimmte Schnittstellen oder APIs deaktiviert werden sollten. Dies ist ein Grund, warum größere Upgrades wie die Umstellung auf S/4HANA entscheidend für den Abbau technischer Schulden sind, da das System unter Berücksichtigung von Sicherheitsaspekten neu aufgebaut werden kann. Letztendlich erfordert der Prozess die Zusammenarbeit des Cybersicherheitsteams und des SAP-Sicherheitsteams, um das Risiko zu beheben.  

JP:Wir haben eine gewisse Vielfalt festgestellt, und wie Andrew bereits erwähnt hat, kommt es wirklich auf den Einzelfall an. Es muss klar definiert sein, wer für die Erkennung und das Management von Schwachstellen verantwortlich ist. In der Regel fällt dies in den Zuständigkeitsbereich des Cyber-Teams. In manchen Fällen hat jedoch auch jemand aus dem SAP-Anwendungsteam Einblick in Schwachstellen und Risiken und trägt die Verantwortung dafür. 

Letztendlich spielt das SAP-Team, einschließlich der Basisentwickler und der Fachseite, eine entscheidende Rolle bei der Bewältigung dieser Probleme. Zwar haben die IT-Sicherheits- oder Cybersicherheitsteams oft den Überblick, doch die Verantwortung liegt bei allen Beteiligten, darunter das SAP-Team, die Cybersicherheit und weitere Akteure. Es ist eine gemeinsame Anstrengung, um sicherzustellen, dass alle Aspekte der SAP-Sicherheit effektiv verwaltet werden. 

Harshini: Was sind die besten Strategien und Maßnahmen, um zu verhindern, dass Schwachstellen in der SAP-Umgebung ausgenutzt werden?

JP:Es beginnt damit, dass man sich bewusst damit auseinandersetzt. Letztendlich ist der CISO der Ansprechpartner, wenn es um Cyberrisiken im Unternehmen geht, doch Schwachstellen und Bedrohungen für SAP fallen oft in eine Lücke innerhalb des IT-Sicherheitsteams. 

Zielgerichtet vorzugehen bedeutet, SAP in Ihre bestehenden Programme für Schwachstellenmanagement, Bedrohungserkennung und kontinuierliche Überwachung zu integrieren, um die Probleme in Ihrem System anzugehen. Wir verfügen über zahlreiche Erfolgsgeschichten von Unternehmen, die Technologien mit Hilfe von Partnern wie Turnkey implementiert haben. Dies bietet Ihnen eine Orientierungshilfe für die Integration der SAP-Sicherheit in Ihre übergreifende Cybersicherheitsstrategie. 

Die Einführung eines Modells der geteilten Verantwortung zur Behebung von Sicherheitslücken ist ein guter Anfang. Dieses Modell legt fest, welche Sicherheitsaufgaben Ihrer Organisation und welche dem Anbieter obliegen. 

Andrew:An der Schwachstellenverwaltungsind viele Teams beteiligt, was Teil der Herausforderung ist. BASIS, das SAP-Sicherheitsteam, die Entwickler und der Service Delivery haben alle Aufgaben bei der Verwaltung des SAP-Systems.  

Anstatt das Rad neu zu erfinden und durch zusätzliche Teams und Komplexität neue Prozesse zu schaffen, sollten Sie die bestehenden Prozesse der Cybersicherheitsabteilung nutzen. Setzen Sie Tools und Drittanbieter ein, um das Wissen zu erweitern und das Cybersicherheitsteam über SAP-Bedrohungen und -Schwachstellen zu schulen. Durchdie Integration der SAP-Sicherheit in bestehende Programme haben Sie bessere Chancen, sicherzustellen, dass diese effektiv verwaltet werden.  

In manchen Fällen werden Patches jährlich installiert. Die Sicherheitslage erfordert jedoch mittlerweile häufigere Updates, weshalb es unerlässlich ist, auf dem neuesten Stand zu bleiben. Nehmen Sie sich Zeit, um Ihre aktuelle Situation zu erfassen, Schwachstellen zu identifizieren und zu ermitteln, welche Maßnahmen zu deren Behebung erforderlich sind. Dieser ganzheitliche Ansatz hilft Ihnen dabei, Schwachstellen, Probleme und Risiken zu bewältigen.  

Es ist entscheidend, die Zuständigkeiten zu klären. Der CISO ist traditionell für Cybersicherheitsrisiken verantwortlich, verfügt jedoch möglicherweise nicht über das erforderliche Budget für spezifische SAP-Sicherheitstools. Stellen Sie sicher, dass alle relevanten Beteiligten die Finanzierung unterstützen und die Bedeutung dieser Sicherheitsmaßnahmen verstehen. Letztendlich ist es entscheidend für den Erfolg, dass der Geschäftsbetrieb auch im Falle von Cyberangriffen aufrechterhalten werden kann.  

 
Sehen Sie sich den gesamten „Fireside Chat“ an, um weitere Einblicke zu erhalten, oderkontaktieren Sie uns, um zu besprechen, wie Turnkey und Onapsis Sie beim Schutz Ihrer SAP-Systeme unterstützen können.