Gedanken zur RSA: Geschäftskritische Anwendungen befinden sich nach wie vor in einer Sicherheitslücke

Von:

12. März 2020

Eine der ersten Fragen, die ich den Leuten immer stelle, wenn sie auf Messen an unseren Stand kommen, lautet: „Setzen Sie SAP oder die Oracle E-Business Suite (EBS) ein?“ Auf der RSA lautete die Antwort in vielleicht acht von zehn Fällen: „Ich weiß es nicht“ oder „Ja, aber das hat nichts mit mir zu tun.“ Nun, um fair zu sein: Die RSA ist eine ziemlich breit gefächerte Konferenz, ebenso wie der Bereich Informationssicherheit an sich. Es ist weder fair noch praktikabel, dass jede Person jedes System oder Thema abdeckt, das mit diesem Bereich zu tun hat.

Ich stelle jedoch fest: Sobald man über ERP-Systeme spricht und darüber, was diese geschäftskritischen Anwendungen für ein Unternehmen bedeuten – sie sind der Motor hinter den wichtigsten Funktionen und verarbeiten in der Regel die wichtigsten und am stärksten regulierten Daten –, weckt das das Interesse der Leute. Vor allem bei denen, die dachten: „Das ist nicht mein Problem; darum kümmert sich die IT.“ 

Dies unterstreicht einen Trend, über den wir schon seit Jahren sprechen: ERP-Systeme sind ein blinder Fleck in der Cybersicherheit, wodurch Ihre wichtigsten Daten und Anwendungen ungeschützt bleiben. Unser Kollege Jason Frugé, Vice President of Business Application Cybersecurity und ehemaliger CISO bei Fossil, bringt es hier auf den Punkt

„Das ist meine wichtigste Anwendung. Ich habe keinerlei Sicherheitsmaßnahmen dafür. Sie wird immer häufiger gehackt, und meine Angriffsfläche nimmt rasant zu. Das ist die Situation, die einen CISO dazu bringen sollte zu sagen: ‚Wow, da muss ich etwas unternehmen.‘“

Den blinden Fleck aufdecken und die Scheuklappen ablegen

Wenn das Ihr Interesse geweckt hat und Sie mehr erfahren möchten, finden Sie in den folgenden Ressourcen – ebenfalls von RSA – weitere Informationen darüber, wie Sie ein Sicherheitsprogramm zum Schutz Ihrer geschäftskritischen Anwendungen aufbauen können. 

CISO-Rundtischgespräch

Im Rahmen der Konferenz moderierte Jason Frugé eine interaktive Podiumsdiskussion zum Thema „Risiken, Cloud die Anwendungen, die Ihr Unternehmen am Laufen halten“. An der Veranstaltung nahmen sowohl amtierende als auch ehemalige CISOs (von Unternehmen wie Procter & Gamble, Levi’s und Google) sowie unser Partner Accenture teil. Im Mittelpunkt der Sitzung stand die Frage, wie man sich bei der Modernisierung und Migration geschäftskritischer Anwendungen in die cloud gegen Cyberangriffe wappnen kann.

Zu den Erkenntnissen der Experten gehörten:

  • Konzentrieren Sie sich auf die größten Risiken. Wenn Sie die IT-Abteilung ständig damit belästigen, jede Kleinigkeit zu beheben, wird man Sie ignorieren.
  • Es ist entscheidend, dass Sie eng mit dem operativen Geschäft und anderen Abteilungen zusammenarbeiten. Wie können Sie als Wegbereiter statt als Hindernis wirken?
  • Sowohl die IT als auch die Informationssicherheit müssen sich an den Anforderungen des Unternehmens orientieren. 
  • Transformation und Modernisierung sind eine Herausforderung, aber je früher die Informationssicherheit einbezogen wird, desto besser. Außerdem ist es einfacher, wenn die Informationssicherheit datengestützt und risikoorientiert ist.
  • Außerdem praktische Beispiele dafür, wie sie selbst Transformationsprojekte umgesetzt haben (sowohl die guten als auch die schlechten!). 

Weitere Beispiele aus der Praxis, wie Unternehmen ihre geschäftskritischen Anwendungen schützen und sich auf Modernisierungsprojekte vorbereiten, finden Sie in einigen unserer aktuellen case studies:

Die übrigen case studies finden Sie case studies

RSA-Veranstaltung: Schutz geschäftskritischer Anwendungen vor wachsenden Risiken

Unser CTO, Juan Pablo (JP) Perez-Etchegoyen, leitete eine Veranstaltung, die einen hervorragenden Überblick über dieses Thema bot. Geschäftskritische Anwendungen stellen eine riesige Angriffsfläche dar, die mit ganz spezifischen Schwachstellen behaftet ist, die es zu beheben gilt. Die Veranstaltung behandelte die häufigsten Schwachstellen und gab Hinweise dazu, wie Sicherheitsexperten diese Risiken überwachen und bewältigen können. 

Zum Glück für Sie wiederholen wir diese Veranstaltung am 26. März als Webinar! So haben Sie die Möglichkeit, JP direkt Fragen zu stellen. 

Melden Sie sich hier für das Webinar an.

Interview mit Jason Frugé bei Dark Reading

Jason teilt wieder ein paar wertvolle Tipps mit euch, diesmal in Form eines kurzen zehnminütigen Interviews mit Terry Sweeney von Dark Reading. Zu den Höhepunkten gehören:

  • Umstieg auf die cloud: Es herrscht die falsche Vorstellung, dass der Umstieg auf die cloud , die Verantwortung für die Sicherheit auf den Dienstanbieter zu verlagern. In Wirklichkeit liegt diese Verantwortung beim Eigentümer der Anwendungen und Daten, also bei Ihrem Unternehmen.
  • Die größten Fehler, die er bei Unternehmen beobachtet, die daran arbeiten, die Sicherheit ihrer Anwendungen zu modernisieren: Neben der Verwirrung hinsichtlich des gemeinsamen Sicherheitsmodells konzentrieren sich viele Unternehmen zu sehr auf Kosteneinsparungen und vernachlässigen dabei die ergänzenden Kontrollmaßnahmen. Das heißt, sie freuen sich, wenn sie durch den Umstieg auf die cloud Geld cloud , erkennen aber nicht, dass dieses Geld stattdessen in die Einrichtung geeigneter Sicherheitskontrollen fließen sollte. 
  • „Shift Left“ in der Anwendungsentwicklung: Vorbei sind die Zeiten, in denen man Wochen Zeit hatte, um Fehler im Code zu finden und zu beheben, bevor dieser in die Produktion ging. Heute wird Code täglich, wenn nicht sogar mehrmals täglich, in die Produktion übernommen. Das bedeutet, dass Sie Echtzeit-Sicherheitsprüfungen benötigen, die in den Entwicklungsprozess integriert werden können, damit Entwickler effizient sicheren Code erstellen können, ohne die Bereitstellung der Anwendung zu verzögern.  

Sehen Sie sich das Interview hier an.

Vielen Dank an alle, die auf der RSA mit Onapsis in Kontakt getreten sind! Wenn Sie mehr über den Schutz Ihrer geschäftskritischen Anwendungen erfahren möchten, besuchen Sie bitte www.onapsis.com. Wir bieten Ihnen außerdem eine kostenlose „Business Risk Illustration“ an – eine Bewertung Ihres ERP-Systems, mit der wir Ihre Sicherheits- und Compliance-Risikosituation einschätzen.
 

Stichwörter, , ,
Über den Autor
Porträtfoto von Julie Anderson

Julie Anderson

Julie Anderson ist eine erfahrene Marketingexpertin und Vordenkerin bei Onapsis. Sie entwickelt strategische Inhalte, die Führungskräfte aus den Bereichen Sicherheit und IT über die Notwendigkeit des Schutzes von SAP- und geschäftskritischen Anwendungen aufklären. Julies Arbeit verdeutlicht, wie die platform marktführende Funktionen in den Bereichen Schwachstellenmanagement, spezialisierte Bedrohungserkennung und kontinuierliche Compliance platform . Ihr Schwerpunkt liegt darauf, den Mehrwert der Einbindung fundierter Erkenntnisse zur Anwendungssicherheit in bestehende Sicherheitsworkflows von Unternehmen zu vermitteln, um eine bessere Risikominderung und Governance zu erreichen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen