Wir haben eine Menge Holz zu hacken!

Von:

12. Dezember 2018

Chris Smith ist Chief Revenue Officer bei Onapsis und verantwortlich für den Ausbau unserer Marketing- und Vertriebsaktivitäten. 

Immer wenn eine Führungskraft zu einem neuen Unternehmen wechselt, lautet die erste Frage: „Warum haben Sie sich für dieses Unternehmen entschieden?“ Im Fall von Onapsis habe ich die Gelegenheit sofort ergriffen, weil wir eine entscheidende Rolle beim Schutz all dessen spielen, was für die Global-2000-Unternehmen von Bedeutung ist. Onapsis widmet sich einem geschäftskritischen Problem, allerdings aus der Perspektive der Cybersicherheit. Global-2000-Unternehmen nutzen ERP-Systeme – dort liegen ihre Kronjuwelen: Finanzdaten, Kundendaten, alle sensiblen Unternehmensdaten usw. Aber diese komplexen Anwendungen wurden nicht mit Blick auf Sicherheit entwickelt. Und was ist die Folge? Sie sind nicht sicher. Das erinnert mich an die Antwort, die Slick Willie Sutton gab, als er gefragt wurde, warum er Banken ausraubte. Er sagte: „Weil dort das Geld ist!“ Bei ERP ist es nicht anders.

Wenn ich also von einem größeren Sicherheitsvorfall höre, richtet sich das Augenmerk in der Regel auf die gestohlenen Daten und die Wege, über die der Angreifer eingedrungen ist (z. B. Spear-Phishing, E-Mail, Firewall, Endgeräte). Der Sicherheit von ERP-Systemen wird jedoch kaum Beachtung geschenkt. Ich finde es ironisch, dass offenbar kaum beachtet wird, dass der Angreifer in den meisten Fällen auf die Kronjuwelen abzielte, die sich größtenteils im ERP befinden. Das zeigt mir, dass die Absicherung des inneren Kerns die letzte Verteidigungslinie für die im ERP befindlichen Vermögenswerte darstellt.   

Die Herausforderung wird durch die Struktur der Unternehmen noch verschärft. CISOs, die wissen, dass ERP-Systeme ein leichtes Ziel sind und etwas dagegen unternehmen wollen, haben oft keine Zuständigkeit für den ERP-Bereich. Und auf der operativen Seite sind sich CIOs oft nicht bewusst, wie anfällig ERP-Systeme für willkürliche Angriffe sind; oft wissen sie nicht einmal, dass sie in vielen Fällen die Compliance-Vorgaben nicht erfüllen. Während meiner Interviews mit Onapsis, die in der Tat sehr ausführlich waren, fragte ich, wie oft sie nachweisen könnten (verifiziert durch SAP, Oracle), dass sie für einen größeren Angriff anfällig seien. Ihre Antwort ließ mich sprachlos werden. Sie sagten: „In hundert Prozent der Fälle.“ Da ich weiß, wie sehr die Wahrheit in der Cybersicherheit oft gedehnt wird, hakte ich nach. „Nennen Sie mir ein Beispiel für etwas, das Sie typischerweise beobachten und das von Bedeutung ist.“ Sie erklärten, dass sie in das Netzwerk eindringen und sich ohne Anmeldedaten und Passwörter Zugang zu ERP-Systemen verschaffen können. Dort angekommen, können sie demonstrieren, wie sie an die Passwörter von Führungskräften gelangen, eine Rechnung über einen beliebigen Betrag erstellen und sich den Betrag auszahlen lassen können. Dies wird natürlich nicht in einer Produktions-SID demonstriert, sondern typischerweise in funktionalen Kopien. Das ist eine große Sache.

Wenn man darüber nachdenkt, worauf es Angreifern in Unternehmen ankommt, sind es in der Regel Finanzdaten, Kundendaten oder sonstige sensible Unternehmensdaten, die für das Unternehmen als wertvoll gelten. In einem Unternehmen mit einer umfangreichen ERP-Implementierung befinden sich all diese Daten in diesen Systemen. Sobald ein Angreifer – ob intern oder extern – die Perimeter-Abwehr durchbrochen hat, ist dieser Schatz an Daten im innersten Kern einer Vielzahl von Angriffen ausgesetzt, die dem Unternehmen schaden könnten, und die Hacker wissen das. Vor Jahren starteten Hacktivisten Angriffe auf SAP, was zwar interessant, aber nicht kritisch war. Dann traten professionellere Cyberkriminelle mit ausgefeilteren Angriffen in Erscheinung – einige dieser Aktivitäten werden sogar staatlich gefördert. Und nun hat das DHS seine zweite kritische Warnung für geschäftskritische Anwendungen herausgegeben

Onapsis bringt CPOs, CIOs und CISOs zusammen – eine Kombination, die für besser gesicherte geschäftskritische Anwendungen und ein besseres funktionsübergreifendes Bewusstsein sorgt. Gleichzeitig verfügen wir über nachgewiesene Anwendungsfälle, die eine Senkung der Betriebskosten und eine Halbierung der Zeit belegen, die ein Unternehmen für die Umstellung auf die cloud benötigt. Unsere Partnerschaften mit SAP und Oracle sind ein Beleg für den Mehrwert, den Onapsis bietet.

Und wir haben Partner. Unsere strategischen Partnerschaften mit den führenden Systemintegratoren und MSSPs ergeben sich ganz natürlich, da diese über Fachwissen sowohl auf der operativen Seite (ERP) als auch im Bereich Sicherheit verfügen. Die Onapsis-Lösung fügt sich somit perfekt in ihr Dienstleistungsangebot ein, das einen speziellen Service für ERP-Implementierungen in Unternehmen sowie einen separaten Service für Informationssicherheit umfasst.

Als ich erfuhr, was die Onapsis Security Platform für Unternehmen leistet und was die Onapsis Research Labs für den Markt leisten, habe ich die Gelegenheit ergriffen, eine führende Rolle dabei zu übernehmen, dies der Welt zugänglich zu machen. Ich freue mich darauf, mein Fachwissen im Kundenservice in einem bereits renommierten Unternehmen einzubringen.

Stichworte, ,
Über den Autor

Maaya Alagappan

Maayaa Alagappan ist eine Marketingexpertin mit einem besonderen Schwerpunkt auf Datenschutz und Risikomanagement. Sie nutzt ihr Fachwissen im Bereich Cybersicherheit, um Strategien zu entwickeln, die nicht nur sensible Daten schützen, sondern auch das Vertrauen der Kunden stärken. Indem sie Sicherheitsmaßnahmen mit Marketingzielen in Einklang bringt, unterstützt Maayaa Unternehmen dabei, den Ruf ihrer Marke zu stärken und die Einhaltung gesetzlicher Vorschriften in einem zunehmend digitalen Marktumfeld sicherzustellen. Ihre einzigartige Kombination aus Marketing- und Cybersicherheitskenntnissen macht sie zu einer wertvollen Bereicherung bei der Entwicklung von Kampagnen, die sowohl Kundenbindung als auch Datenschutz in den Vordergrund stellen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen