ERP-Cyberrisiken verstehen – Wo liegen Ihre Schwachstellen und wie lassen sie sich Assess?

Von:

7. Juli 2020

ERP-Systeme wie SAP und Oracle E-Business Suite (EBS) sind der operative Motor eines Unternehmens: Sie betreiben geschäftskritische Anwendungen und speichern die Daten, die für den Geschäftsbetrieb unerlässlich sind. Doch trotz der Bedeutung dieser Systeme geraten sie fast immer in einen blinden Fleck der Cybersicherheit und bleiben ungeschützt vor internem Missbrauch und externen Angriffen. Bedenken Sie Folgendes:

Herausforderungen für die Cybersicherheit von ERP-Systemen – Was steckt hinter diesem Risiko?

Keine Transparenz für die Teams der Informationssicherheit

Diese geschäftskritischen Anwendungen fallen in der Regel nicht in den Zuständigkeitsbereich der Informationssicherheitsteams, sondern werden meist von einem separaten Team innerhalb der IT-Organisation verwaltet, dessen Priorität auf Verfügbarkeit und Betriebszeit liegt. Zwar können einige Sicherheitsaspekte, wie Berechtigungen und IDM-Probleme, von diesem Team behandelt werden, doch verfügen diese Teams in der Regel nur über begrenzte Werkzeuge, um die Bedeutung sicherer Konfigurationen auf der Anwendungsebene zu erkennen oder zu verstehen. Diese Diskrepanz beiden Prioritäten führt oft dazu, dass Systemeim Interesse der Betriebsleistung jahrelang ungepatcht oder „gefährlich“ konfiguriert bleiben.

Probleme mit Patches

Apropos Patches: ERP-Systeme sind wie jede andere Software auch und benötigen regelmäßig Patches für Updates, Fehlerbehebungen und Verbesserungen. Leider werden ERP-Patches, genau wie bei jeder anderen Software, oft vernachlässigt, verzögert oder ganz ignoriert – aus Angst, dass die Anwendung dadurch nicht mehr funktioniert, aus Zeit- oder Ressourcenmangel, weil nicht erkennbar ist, welche Patches kritisch sind und priorisiert werden müssen, und so weiter. Dies wird zu einem großen Problem, wenn der Patch Sicherheitslücken behebt. Das Fehlen dieser Patches gefährdet Ihre wichtigsten Anwendungen und Daten –60 % der Sicherheitsverletzungen im letzten Jahr betrafen ungepatchte Schwachstellen

Sicherheit wird bei der Implementierung oft nicht priorisiert

Angesichts der oben erwähnten Sicherheitslücke ist es vielleicht nicht verwunderlich, dass Sicherheit bei ERP-Implementierungen oft erst im Nachhinein berücksichtigt wird und gegenüber betrieblichen Prioritäten sowie Projektzeitplänen oder Budgets in den Hintergrund tritt. Tatsächlich ergab eine aktuelle Umfrage, dass eine Mehrheit (69 %) der SAP-Anwender der Meinung ist, ihre Unternehmen hätten bei früheren SAP-Implementierungen der Sicherheit nicht genügend Aufmerksamkeit geschenkt. Wenn von Anfang an keine Sicherheitsgrundlagen und keine kontinuierliche Überwachung in die Implementierungen integriert werden, haben Unternehmen keine einfache Möglichkeit, ihre Risikosituation zu messen und zu verstehen, wo sie möglicherweise anfällig sind. 

Fehlgeleitetes Vertrauen in traditionelle Sicherheitsansätze

Viele große Unternehmen setzen auf die manuelle Einrichtung und Konfiguration integrierter Tools, um ihre geschäftskritischen Anwendungen zu schützen (z. B. SAP Solution Manager, Oracle Security Console). Diese Tools sind jedoch oft nicht speziell für Sicherheitszwecke entwickelt worden und – was noch wichtiger ist – werden in der Regel nicht von Sicherheitsteams verwaltet oder sind für diese nicht zugänglich (was den oben erwähnten blinden Fleck noch verstärkt). 

Ebenso konzentrieren sich herkömmliche Firewalls, Schwachstellenscanner sowie IPS- und IDS-Produkte darauf, Angriffssignaturen auf einer anderen Ebene und in einer anderen Tiefe zu erkennen, als es für geschäftskritische Anwendungen erforderlich ist. Diese Lösungen geben Ihnen zwar Aufschluss darüber, wie Sie Ihre Infrastruktur und Ihr Netzwerk gesichert haben, nicht jedoch über den Schutz Ihrer wichtigsten Geschäftsanwendungen. 

Transformation und Modernisierung erhöhen das Risiko

Neue Branchenentwicklungen (z. B. die bevorstehende Frist für SAP-Kunden, auf S/4HANA umzusteigen) und interne Initiativen (z. B. die Migration in die cloud, die Bereitstellung weiterer Anwendungen über das Internet) gefährden zudem geschäftskritische Anwendungen und vergrößern die Angriffsfläche. 

So verlagert beispielsweise eine Mehrheit der Unternehmen (69 %) ihr ERP-System in die cloud, doch die Auslagerung dieser kritischen Systeme aus dem eigenen Haus bereitet vielen Sorgen hinsichtlich der Sicherheit – 60 % betrachten die Sicherheit als Hindernis für die Migration –,insbesondere da cloud nicht für die Anwendungssicherheit verantwortlich sind

Zunahme von Cyberangriffen auf geschäftskritische Anwendungen

Schließlich haben böswillige Aktivitäten gegen diese Anwendungen bei allen Arten von Angreifern ein Rekordhoch erreicht. Cyberkriminelle und Hacktivisten-Gruppen haben in den letzten Jahren großes Interesse an diesen Systemen gezeigt, und unsere Untersuchungen haben ergeben, dass die Zahl der Exploits, die auf diese Anwendungen und Systeme abzielen, um 160 % gestiegen ist.

ERP-Cyberrisiken verstehen: Wo liegen Ihre Schwachstellen und wie lassen sie sich Assess?

Quantifizierung und Bewältigung von Cyberrisiken im ERP-Bereich

Es ist offensichtlich, dass zahlreiche Faktoren zusammenwirken und die Anwendungen, die das Herzstück Ihres Unternehmens bilden, gefährden – aber in welchem Ausmaß und auf welche Weise? Wie können Sie die geschäftlichen Auswirkungen der Probleme in Ihrer Umgebung erkennen und einschätzen?

Onapsis hat kürzlich ein neues Assessment-Angebot auf den Markt gebracht, das genau dies ermöglicht. Das Cyber-Risiko-Assessment liefert einen detaillierten Bericht über bestehende Schwachstellen und Fehlkonfigurationen und zeigt dabei potenzielle Sicherheitslücken sowie Verstöße gegen Compliance-Vorgaben auf.

Die Ergebnisse, die Onapsis liefert, werden dazu beitragen, dass:

• Erkennen Sie bestehende Fehlkonfigurationen und Schwachstellen
• Priorisieren und beschleunigen Sie Maßnahmen zur Behebung
• Verringern Sie die Angriffsfläche insgesamt
• Schützen Sie Ihre geschäftskritischen Anwendungen

Die Cyber-Risikobewertung lässt sich aus der Ferne durchführen und ist einfach zu handhaben. Sie kann in weniger als zwei Stunden abgeschlossen werden und erfordert keine Installation von Software oder Agenten auf den Produktionssystemen. Fordern Sie hier Ihre Cyber-Risikobewertung an

P.S.: Uns ist bewusst, dass Sicherheit nur ein Aspekt beim Schutz Ihrer geschäftskritischen Anwendungen ist. Wir bieten außerdem Bewertungen zur Audit-Effizienz an, die Ihnen helfen, ressourcenintensive manuelle Audit-Prozesse zu vermeiden, sowie zur Betriebsausfallsicherheit, um Anwendungsausfälle und kostspielige Betriebsunterbrechungen zu verhindern.

Onapsis-Ressourcen anzeigen

Stichworte, , , ,
Über den Autor
Porträtfoto von Julie Anderson

Julie Anderson

Julie Anderson ist eine erfahrene Marketingexpertin und Vordenkerin bei Onapsis. Sie entwickelt strategische Inhalte, die Führungskräfte aus den Bereichen Sicherheit und IT über die Notwendigkeit des Schutzes von SAP- und geschäftskritischen Anwendungen aufklären. Julies Arbeit verdeutlicht, wie die platform marktführende Funktionen in den Bereichen Schwachstellenmanagement, spezialisierte Bedrohungserkennung und kontinuierliche Compliance platform . Ihr Schwerpunkt liegt darauf, den Mehrwert der Einbindung fundierter Erkenntnisse zur Anwendungssicherheit in bestehende Sicherheitsworkflows von Unternehmen zu vermitteln, um eine bessere Risikominderung und Governance zu erreichen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen