3 Herausforderungen beim Schwachstellenmanagement für SAP-Anwendungen (und wie man sie bewältigt)

Von:

20. Mai 2022

Geschäftskritische Anwendungen waren noch nie so anfällig wie heute. Die zunehmende Komplexität und Größe von Anwendungsumgebungen, die individuelle Anpassung einzelner Anwendungen sowie der wachsende Rückstand bei der Installation von Patches führen dazu, dass Unternehmen eine größere Anzahl und Vielfalt an Schwachstellen identifizieren, verstehen und beheben müssen. Die Gefährdung und das Risiko von Angriffen auf Anwendungsebene sind zudem aufgrund von Initiativen zur digitalen Transformation gestiegen, da viele kritische Anwendungen in die cloud verlagert werden, Verbindungen zu Drittanbietern herstellen oder öffentlich zugänglich werden. 

Die Raffinesse von Cyberangriffen nimmt zu, und Angreifer sind mittlerweile in der Lage, gezielt und erfolgreich die Anwendungen anzugreifen, die Unternehmen für ihren täglichen Betrieb nutzen. Seit 2016 gab es sechs US-CERT-Warnungen, die sich speziell auf geschäftskritische Anwendungen bezogen, sowie zwei Warnungen zu Sicherheitsrisiken bei SAP. Von Mitte 2020 bis April 2021 verzeichneten Forscher von Onapsis mehr als 300 erfolgreiche Exploit-Versuche auf ungeschützte SAP-Anwendungen. Unser Team stellte fest, dass zwischen der Offenlegung einer Schwachstelle und dem ersten erkennbaren Scan durch Angreifer, die nach anfälligen Systemen suchen, nur 24 Stunden liegen können – und dass es nur 72 Stunden dauert, bis ein funktionsfähiger Exploit verfügbar ist. Es wurde beobachtet, dass diese fortgeschrittenen Angreifer die von ihnen ausgenutzten SAP-Schwachstellen patchten und Systeme neu konfigurierten, um von SAP-Administratoren unentdeckt zu bleiben. Diese Entwicklung der Bedrohungslandschaft bedeutet, dass Unternehmen starke Schwachstellenmanagement-Programme für ihre geschäftskritischen SAP-Anwendungen benötigen. 

Mangel an Ressourcen und finanziellen Mitteln

Die Bereitstellung ausreichender Mittel für die Besetzung eines kompetenten Cybersicherheitsteams ist unerlässlich, doch es gibt einfach nicht genug Fachkräfte im Bereich Cybersicherheit, um den Bedarf des Marktes zu decken. Mehr als 57 % der Unternehmen sind vom Fachkräftemangel im Bereich Cybersicherheit betroffen, und einer der drei Bereiche mit dem größten Mangel an Fachkräften ist die Anwendungssicherheit. Angesichts der Tatsache, dass Cyberangriffe auf geschäftskritische Anwendungen wie SAP immer häufiger vorkommen, ist dies eine besorgniserregende Entwicklung.

Selbst ein gut besetztes Team stößt an die Grenzen seiner wertvollen Zeit. Jeden Monat werden komplexe Sicherheitshinweise mit zahlreichen Sicherheitspatches, Anweisungen und unterschiedlichen Schweregraden veröffentlicht. Dies stellt insbesondere für Unternehmen, die Dutzende geschäftskritischer Anwendungen verwalten, eine enorme Herausforderung dar. Ohne ein Priorisierungstool, das bei der Automatisierung und Optimierung hilft, verbringen diese Teams unzählige Stunden damit, diesen Prozess manuell zu bewältigen.

Mangelnde Sichtbarkeit 

Transparenz war schon immer der Ausgangspunkt für die Überwachung und den Schutz von Angriffsflächen und wertvollen Ressourcen. Geschäftskritische Anwendungen werden in der Regel von internen IT-Teams verwaltet, deren Fokus eher auf Leistung und Verfügbarkeit als auf Sicherheit liegt. Dies führt dazu, dass Sicherheitsteams nicht über die erforderliche Transparenz und den Kontext verfügen, um Schwachstellen innerhalb dieser Ökosysteme zu identifizieren und die damit verbundenen Risiken für das Unternehmen zu verstehen. Sicherheitsadministratoren sind für das Schwachstellenmanagement im Unternehmen verantwortlich, doch ihre Tools decken geschäftskritische Anwendungen nicht ab, und sie sind bei der Behebung oft auf die Anwendungsteams angewiesen.

Wissen, wo man anfangen soll

Mangelnde Transparenz und fehlende Ressourcen sind nicht die einzigen Herausforderungen – auch die Anwendungen selbst sind komplex. Die Analyse komplexer Sicherheitshinweise sowie die anschließende Priorisierung und Implementierung von Patches stellen eine Herausforderung dar, insbesondere für Unternehmen, die mehrere geschäftskritische Anwendungen und Systeme betreiben. Die manuelle Verwaltung der Patch-Implementierung ist ein zeitaufwändiger und fehleranfälliger Prozess. Es gibt keine einfache Möglichkeit, festzustellen, bei welchen Systemen Patches fehlen, oder Patches und Systeme zu priorisieren, was oft entweder zu einem überstürzten Prozess oder zu einer Herabstufung der Priorität führt. Dies führt zu einem wachsenden Rückstand bei den Patches. Laut einer Ponemon-Studie haben fast zwei Drittel der Unternehmen einen Rückstand beiAnwendungsschwachstellen1

Das Patch-Management ist nur ein Aspekt der Risikominimierung bei geschäftskritischen Anwendungen. Auch Systemkonfigurationen sowie Benutzer- und Zugriffsrechte stellen potenzielle Risikoquellen dar. Den meisten Unternehmen fehlt eine einfache Möglichkeit, assess Bereiche zu assess und zu überprüfen, ob ihre Anwendungen den Best Practices entsprechen.  

Bringen Sie Ihr SAP-Schwachstellenmanagement mit Onapsis auf den neuesten Stand

Das Schwachstellenmanagement für geschäftskritische Anwendungen wie SAP kann für Unternehmen eine Herausforderung darstellen, doch mit der richtigen Lösung und dem richtigen Ansatz können Unternehmen den Prozess vorantreiben und sich auf den Schutz dessen konzentrieren, was am wichtigsten ist.

Seit einem Jahrzehnt schützt Onapsis die weltweit wichtigsten Unternehmensressourcen. Wir haben aus erster Hand miterlebt, welchen Herausforderungen Unternehmen bei der Absicherung ihrer Geschäftssysteme gegenüberstehen. Um Unternehmen dabei zu unterstützen, schneller und sicherer Maßnahmen zum Schutz der geschäftskritischen Anwendungen zu ergreifen, die ihr Geschäft vorantreiben, freut sich Onapsis, ein neues Angebot vorzustellen, das den SAP-Schwachstellenmanagementprozess ankurbeln soll. Onapsis Assess Baseline ist ein einfach zu implementierendes, hochgradig zielgerichtetes Angebot, das sich auf die Schwachstellen konzentriert, die mit der SAP Security Baseline übereinstimmen – dem von SAP empfohlenen Mindestanforderungskatalog für die Sicherheit der SAP-Systeme eines Unternehmens. Assess Baseline Unternehmen jeder Größe, die Bereitstellung und die Amortisationszeit zu beschleunigen, indem sie zunächst mit einem gezielten Kernsatz von Schwachstellen beginnen, um Cybersicherheit, Compliance und Verfügbarkeit ihrer SAP-Anwendungen sicherzustellen, bevor sie mit unserem Assess auf fortgeschrittenere Anwendungsfälle des Schwachstellenmanagements skalieren .  

Das hauseigene Expertenteam von Onapsis setzt sich für den Erfolg unserer Kunden ein, ganz gleich, wo Sie sich auf Ihrem Weg zur Sicherheit Ihrer Geschäftsanwendungen gerade befinden. Lassen Sie unser Team sein langjähriges SAP- und Sicherheits-Know-how nutzen, um Ihrem Unternehmen dabei zu helfen, das zu schützen, was heute am wichtigsten ist, und einen strategischen Plan für eine sicherere Zukunft zu entwickeln, der sich an Best Practices und branchenweit anerkannten Standards orientiert. Sprechen Sie noch heute mit einem Experten.

1. Verringerungder Sicherheitsrisiken bei Unternehmensanwendungen: Es bleibt noch viel zu tun
Stichworte, ,
Über den Autor

Maaya Alagappan

Maayaa Alagappan ist eine Marketingexpertin mit einem besonderen Schwerpunkt auf Datenschutz und Risikomanagement. Sie nutzt ihr Fachwissen im Bereich Cybersicherheit, um Strategien zu entwickeln, die nicht nur sensible Daten schützen, sondern auch das Vertrauen der Kunden stärken. Indem sie Sicherheitsmaßnahmen mit Marketingzielen in Einklang bringt, unterstützt Maayaa Unternehmen dabei, den Ruf ihrer Marke zu stärken und die Einhaltung gesetzlicher Vorschriften in einem zunehmend digitalen Marktumfeld sicherzustellen. Ihre einzigartige Kombination aus Marketing- und Cybersicherheitskenntnissen macht sie zu einer wertvollen Bereicherung bei der Entwicklung von Kampagnen, die sowohl Kundenbindung als auch Datenschutz in den Vordergrund stellen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen