Gruselige Horrorgeschichten zur Anwendungssicherheit

Von:

30. Oktober 2020

In Ihrem Unternehmen lauern Dämonen, Geister und Kobolde, die so furchterregend sind, dass sie den InfoSec-Teams schlaflose Nächte bereiten. Es handelt sich dabei zwar nicht um echte übernatürliche Wesen, sondern um Schwachstellen, Fehlkonfigurationen und kritische Fehler in Geschäftsanwendungen, die ausgenutzt werden können und zu erheblichen Sicherheitsverletzungen und Ausfällen führen können. Das reicht aus, um jedem, der für den Schutz Ihres Unternehmens verantwortlich ist, Angst einzujagen.

Da Halloween vor der Tür steht, finden Sie hier drei Horrorgeschichten zum Thema Cybersicherheit, die Ihnen vielleicht einen ordentlichen Schrecken einjagen, wenn Sie glauben, die Anwendungen, auf die sich Ihr Unternehmen stützt, seien gut geschützt.

Die Verletzlichkeit der Verzweiflung

Es ist 2:17 Uhr morgens. Dein Handy hat gerade auf deinem Nachttisch vibriert. Wahrscheinlich nur wieder eine beliebige SMS, denkst du dir und schläfst gerade wieder ein. Doch dann fängt dein Handy an zu klingeln, immer und immer wieder. Das kann nichts Gutes bedeuten. Du nimmst den Anruf entgegen und es ist dein Chef, der CIO.

Das Zittern in seiner Stimme sagt alles. „Wir wurden angegriffen, und die Angreifer haben Zugriff auf unsere Anwendungen erlangt, die personenbezogene Daten (PII) unserer Mitarbeiter und Kunden enthalten.“ Als CISO wissen Sie, dass das nicht gut ist. Ihr Unternehmen ist in der Europäischen Union tätig, und dies ist ein Verstoß gegen die DSGVO, der gemeldet werden muss. Sie fragen sich: „Wie konnte das passieren?“ Sie haben jedoch das ungute Gefühl, dass ein kritischer Patch fehlte. In diesem Fall war der fehlende Patch eine Schwachstelle, die internetgebundene Systeme direkt dem Internet aussetzte. Der Angreifer hat sich Zugriff auf die Human Capital Management (HCM)- und Customer Relationship Management (CRM)-Anwendungen Ihres Unternehmens verschafft. Dieser Vorfall führte zum Diebstahl von Tausenden von PII-Datensätzen. Ihr Unternehmen steht nun vor kostspieligen forensischen Untersuchungen und der Bereinigung der Situation, Strafen und Bußgeldern sowie einem unwiderruflichen Reputationsschaden.

Ist das nur eine Gruselgeschichte oder kann so etwas wirklich passieren? Werfen Sie einen Blick auf die ICMAD-Sicherheitslücken im SAP Internet Communication Managerund die Folgen älterer, ungepatchter Sicherheitslücken – und bilden Sie sich selbst eine Meinung.   

Fehlerhafte Konfigurationen aus der Tiefe

Als börsennotiertes Unternehmen mit Sitz in den USA war eine Sarbanes-Oxley-Prüfung (SOX) bisher eher Routine. An diesem Tag gibt es jedoch ein Problem. Externe Wirtschaftsprüfer haben festgestellt, dass die Integrität der Finanzberichterstattung beeinträchtigt wurde. Die Bilanz ist voller Fehler, darunter auch fehlende Gelder. Als CIO wird Ihnen schnell klar, dass es ein Versagen bei den allgemeinen IT-Kontrollen gab, die dies eigentlich verhindern sollten. Das ist eine sehr ernste Angelegenheit. Diese Situation muss der Securities and Exchange Commission gemeldet und öffentlich bekannt gegeben werden. Nicht nur, dass Ihr Unternehmen gehackt und Geld gestohlen wurde, sondern die Offenlegung wird sich auch auf den Aktienwert Ihres Unternehmens auswirken, den Ruf Ihres Unternehmens schwer schädigen und zu Geldstrafen und Sanktionen wegen eines Verstoßes gegen die SOX-Vorschriften führen. Wie konnte das passieren? Cybersicherheitsforensik und eine umfassende Prüfung führten das Problem auf eine Fehlkonfiguration in den Finanzanwendungen zurück, die Angreifer ausnutzen konnten.

Gruselgeschichte oder beunruhigende Realität? Erfahren Sie mehr über 10KBLAZEund die Konfigurationsfehler, die tief in SAP verborgen sind.

Versteckte Programmierfehler

Völlig unverdächtig verbergen sich potenziell Tausende von Fehlern, die Ihr Unternehmen für interne und externe Bedrohungen anfällig machen können. Darüber hinaus kann ein Entwickler in böswilliger Absicht ausnutzbaren Code in Geschäftsanwendungen verstecken, der einen Hintertürzugang zu kritischen Daten und Informationen, einschließlich Finanzdaten, ermöglicht. Nach dem Abschluss eines umfangreichen Optimierungsprojekts im Bereich Supply-Chain-Management (SCM), bei dem die Entwicklung an einen externen Dienstleister ausgelagert wurde, konnte eine bedeutende Materialbestellung nicht nachverfolgt werden. Nach einer Untersuchung stellte sich heraus, dass die Bestellung an ein Offshore-Lager versandt worden war, das nicht mit Ihrem Unternehmen in Verbindung stand. Dieses Missgeschick kostete Ihr Unternehmen Hunderttausende von Dollar an Materialverlusten und führte zu einer Störung der Lieferkette und des Fertigungsprozesses. Wie konnte das passieren? Cybersicherheitsforensik und Codeüberprüfung ergaben, dass die Zieladressdaten böswillig geändert wurden, um Materialbestellungen an andere Standorte umzuleiten. Bei Millionen von Zeilen an benutzerdefiniertem Code bleiben Fehler wie diese bei manuellen Codeüberprüfungen einfach unentdeckt und gelangen leider ungeprüft in Produktionsumgebungen.

Ist das nur eine Szene aus einem Horrorfilm oder die schreckliche Wahrheit? Überzeugen Sie sich selbst in diesem Artikel darüber, warum Sie ein Tool zur Anwendungssicherheit für Unternehmensanwendungen benötigen.

Das sind nur einige der Horrorgeschichten aus dem Bereich Anwendungssicherheit, die InfoSec-Experten nachts den Schlaf rauben. Frohes Halloween und einen erfolgreichen Monat der Cybersicherheitsaufklärung! Wenn Sie sich weniger Angst und mehr Gewissheit darüber wünschen, dass Ihre Geschäftsanwendungen geschützt sind, vereinbaren Sie einen Termin mit unserem Team aus Experten für Anwendungssicherheit.

Dieser Blog wurde im Oktober 2022 aktualisiert.
Stichworte, , ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen