SAP-Sicherheitshinweise 2018: Erkenntnisse und ein Ausblick auf das Jahr 2019

Das Jahr 2019 hat gerade erst begonnen, doch in der Welt der ERP-Sicherheit verspricht es bereits ein ereignisreiches Jahr zu werden. Wir haben uns entschlossen, diesen Blogbeitrag als zweiteilige Analyse zu gestalten: zum einen die kürzlich Onapsis Research Labsfertiggestellte Zusammenfassung der SAP-Sicherheitshinweise für 2018 und zum anderen denGlobal Risks Report2019des Weltwirtschaftsforums. In welchem Zusammenhang stehen diese beiden Dinge? Laut dem WEF-Bericht, der auf den Antworten von fast tausend Entscheidungsträgern basiert,gehören Cyberangriffe zu den größten Risiken im Jahr 2019, da sie sowohl eine hohe Eintrittswahrscheinlichkeit als auch erhebliche Auswirkungen auf Unternehmen haben. Cybersicherheit wird ein Hauptthema für jeden risikobewussten Manager sein und definitiv ein immer wichtigeres Thema für jedes große Unternehmen weltweit. Als führender Anbieter im Bereich der Sicherheit geschäftskritischer Anwendungen erwarten wir, Ihnen in diesem Jahr noch mehr ERP-Sicherheitsanalysen präsentieren zu können. Eine Analyse der Entwicklungen bei SAP-Patches im Jahr 2018 ist ein guter Anfang!

Dies ist das zweite Jahr in Folge, in demdas Risiko von Cyberangriffenzu den fünf größten Risiken zählt, die in dem Bericht aufgeführt sind (in den drei Jahren zuvor tauchte es überhaupt nicht auf). In der Risikokartierung für 2019 rangiert es nur hinter „Datenbetrug oder -diebstahl“ – einem Thema, das mit Cybersicherheit zusammenhängt – sowie hinter drei naturbedingten Risiken.

Es besteht kein Zweifel daran, dass Cybersicherheit in diesem Jahr für alle ein wichtiges Thema war und auch weiterhin sein wird.Die Sicherheit Ihrer ERP-Anwendungen ist ein wesentlicher Bestandteil des Schutzes Ihres Unternehmens vor Cyberangriffen sowie vor anderen Formen von Datenbetrug und -diebstahl. Kommen wir nun zum Hauptthema dieses Blogbeitrags: Seit nunmehr drei Jahren veröffentlichen wir unsere monatliche Analyse der SAP-Sicherheitshinweise. Wir begannen 2017, als wir einehistorische Grafik erstellten und veröffentlichten,um die Entwicklung der SAP-Sicherheitshinweise zu veranschaulichen. Im vergangenen Jahr haben wir hervorgehoben, dassSAP in eine Stabilitätsphase eintrat, mit durchschnittlich 328 Hinweisen pro Jahr von 2012 bis 2017. In diesem Jahr verzeichneten wir einen Rückgang der veröffentlichten SAP-Sicherheitshinweise, womit sich die Stabilitätsphase fortsetzte.

Laden Sie die vollständige Infografik zur Auswertung der SAP-Sicherheitshinweise 2018 herunter. 

Aber befinden wir uns in einer Stabilisierungsphase oder in einer Rückgangsphase?Bei der Analyse der Daten scheint es sich um beides zu handeln. Die Anzahl der Sicherheitshinweise ist in den letzten drei Jahren zweifellos zurückgegangen, mit einem Rückgang von über 30 % zwischen 2016 und 2018. Eine weitere Analyse des Teams zeigt jedoch, dass dieser Rückgang keine wesentlichen Auswirkungen auf den Umgang mit der SAP-Sicherheit hat.

Die durchschnittliche Anzahl veröffentlichter SAP-Notes liegt nun bei 299. Dies ist ein deutlicher Anstieg gegenüber dem Durchschnitt von 52 in den Jahren 2005 bis 2009 und deutlich weniger als die 735 im Zeitraum von 2009 bis 2011. Wenn Sie für das Patchen von Schwachstellen verantwortlich sind,macht es einen großen Unterschied, ob Sie 50 oder 700 pro Jahr patchen. Vergleicht man jedoch die letzten Jahre, gibt es kaum einen Unterschied in der Anzahl dieser Schwachstellen: 299, 317, 328. Sollten die Zahlen weiter sinken, sollten Sie vielleicht Änderungen bei der Zuweisung von Ressourcen für die SAP-Sicherheit in Betracht ziehen, aber derzeit ist das nicht der Fall. Natürlich basiert dieser Vorschlag allein auf der Betrachtung der Anzahl der Schwachstellen. Es gibt viele weitere Faktoren zu berücksichtigen, darunterdie Bewertung von Personal, Prozessen und der Technologiezuweisung für Ihre Sicherheit. Es scheint, als befänden wir uns noch in einer Stabilisierungsphase, und anhand anderer Details können wir dies bestätigen.

Die Anzahl der kritischen Hinweise ist leicht gestiegen, von 45 im Jahr 2017 (38mit hoher Priorität+ 7HotNews) auf 48 in diesem Jahr (43mit hoher Priorität+ 5HotNews). Basierend auf dem Feedback von Kunden werden Hinweisemit hoher PrioritätundHotNews-Hinweisein der Regel mit höherer Priorität behandelt, da sie als einzige einzeln installiert werden (anstelle von Support-Paketen oder größeren Updates) oder eine kürzere SLA für die Installation haben. In beiden Fällen könnte es ein großer Fehler sein, diesen Rückgang mit einer Risikominderung in Verbindung zu bringen, da bekannt ist, dass der Rückgang der Hinweise hauptsächlich auf die Anzahl der Hinweisemit mittlerer Prioritätzurückzuführen ist, die SAP in diesem Jahr veröffentlicht hat. Wir empfehlen Ihnen, Notesmit mittlerer Prioritätzu installieren; in der Regel haben jedochNotes mit hoher PrioritätundHotNewsVorrang, da die negativen Auswirkungen größer sind, sollten sie erfolgreich ausgenutzt werden.

Die häufigsten Schwachstellen bleiben unverändert, wobei die Top 3 dieselben sind wie bereits 2016.„Missing Authority Check“ist mit 18 % der veröffentlichten Meldungen wieder die häufigste Kategorie, währendCross-Site-Scripting-Fehler (XSS)mit 13 % auf dem zweiten Platz liegen (2017 lagen diese noch auf Platz 1). Information Disclosure(12 %) undDenial-of-Service-Angriffe(7 %) belegen die Plätze drei und vier.

Wir halten uns an diesen Ratschlag aus demBlogbeitrag zur Jahresrückschau 2017:

„Was bedeutet das für die Unternehmenssicherheit? Es ist eine Chance. Stabile Zahlen sind an sich keine gute Nachricht. Ganz gleich, wie viele Sicherheitslücken geschlossen werden – ein Angreifer braucht nur eine einzige, um einen erfolgreichen Angriff durchzuführen. In diesem Sinne hat es keine Auswirkungen auf die Sicherheit, ob in einem Jahr 50 Schwachstellen mehr oder 50 weniger auftreten. Dennoch dürfte Stabilität für interne Prozesse von Vorteil sein. Es ist einfacher, ein Team, die Zeiteinteilung, Prioritäten und Prozesse festzulegen, wenn man weiß, was auf einen zukommt. Stabilität ist an sich nichts Gutes. Sie ist lediglich eine Chance, die SAP-Sicherheit in Ihrem Unternehmen besser zu definieren, Patches schneller zu installieren und Ihr Risiko einer Sicherheitslücke zu verringern.“

Da der Bedarf an ERP-Sicherheit stetig wächst und die SAP-Sicherheit immer ausgereifter wird, ist es jetzt an der Zeit, Ihre Strategie zu überprüfen. Wie entwickeln Sie den Schutz Ihrer geschäftskritischen SAP-Anwendungen weiter? Die Risiken mögen zwar zunehmen, doch es gibt auch mehr Möglichkeiten, sich zu schützen. Es kommt lediglich darauf an, Ihre Strategie zu überprüfen und kontinuierlich zu verbessern. Bleiben Sie 2019 auf unserem ERP-Sicherheitsblog auf dem Laufenden, wo wir Sie weiterhin über die neuesten Entwicklungen im Bereich SAP-Sicherheit und Trends aus der Branche informieren werden.