Warum Sie Anwendungssicherheitstests für geschäftskritische Anwendungen benötigen: Teil 5

Von:

19. Juli 2022

Diese fünfteilige Blogreihe befasst sich mit der Bedeutung der Entwicklung sicherer, geschäftskritischer Anwendungen mithilfe von Anwendungssicherheitstests. Im letzten Beitrag dieser Reihe erörtern wir, wie Schwachstellen in benutzerdefiniertem Code und bei der Datenübertragung zu Sicherheits- und Compliance-Problemen führen können.

Grund 5: Mögliche Probleme im Zusammenhang mit der Einhaltung von Daten- und Sicherheitsprüfungen verstehen 

Geschäftskritische Anwendungen werden von Unternehmen eingesetzt, um die Anwendungen zu betreiben, die den Kern ihres Geschäfts bilden. Viele dieser Anwendungen, insbesondere SAP-Anwendungen, enthalten Informationen, die spezifischen behördlichen und branchenbezogenen Vorschriften unterliegen – SOX, DSGVO, CCPA und andere. Angesichts der sich ständig verändernden Bedrohungslage und der gestiegenen Risiken für Geschäftsanwendungen ist es von entscheidender Bedeutung, dass Unternehmen in der Lage sind, Richtlinien zum Schutz ihrer sensiblen Daten einfach zu definieren und umzusetzen und sicherzustellen, dass diese den gesetzlichen Standards entsprechen.

Erhöhtes Risiko für SAP-Anwendungen

Die digitale Transformation hat zu neuen Sicherheitsbedenken und -risiken geführt. Unternehmen, die diesen Wandel durchlaufen, haben geschäftskritische Anwendungen von ihren lokalen Systemen in cloud auf von Drittanbietern gehostete Plattformen verlagert. Diese Geschäftsanwendungen verarbeiten täglich Millionen von Datenpunkten zu Mitarbeitern, Kunden, Finanzen und anderen sensiblen Bereichen. Dadurch hat sich ihre Angriffsfläche in Bezug auf Cybersicherheit auf neue cloud, Mobil- und Datenbanktechnologien der nächsten Generation ausgeweitet. 

Häufig entwickeln externe Entwickler und Auftragnehmer maßgeschneiderten Code und Transporte für diese geschäftskritischen Anwendungen, was das Risiko für das Unternehmen erhöhen kann. Externe Mitarbeiter erhalten oft weitreichende Berechtigungen, um Projekte zügig abzuschließen, was eine weitere Quelle für Sicherheitsrisiken darstellen kann. Für einen böswilligen Insider wäre es ein Leichtes, schädliche Inhalte oder Anfragen in den unzähligen Codezeilen oder Einstellungen und Tabellen eines maßgeschneiderten Transports zu verstecken, die im SAP-Produktivsystem möglicherweise unentdeckt bleiben würden. 

Auch das Tempo, mit dem Angreifer Schwachstellen in geschäftskritischen Anwendungen ausnutzen, nimmt zu. Untersuchungen von Onapsis Research Labs zeigen, dass zwischen der Bekanntgabe einer Schwachstelle und den ersten erkennbaren Scan-Versuchen von Angreifern, die nach anfälligen Systemen suchen, oft nur 24 Stunden vergehen – und dass bereits nach 72 Stunden ein funktionsfähiger Exploit verfügbar ist. Angreifer arbeiten nicht nur schneller, sondern auch intelligenter. Es gibt eindeutige Belege dafür, dass Angreifer mit fundierten Kenntnissen über geschäftskritische Anwendungen ungesicherte SAP-Anwendungen mit einer Vielzahl von Taktiken, Techniken und Verfahren ins Visier nehmen und ausnutzen – und dabei nicht einfach nur Brute-Force-Angriffe gegen die Anwendung einsetzen. 

Compliance-Rahmenwerke und Vorschriften

Unternehmen müssen nicht nur die Geschäftskontinuität und den Datenverlust im Blick behalten, sondern auch bedenken, dass ein Angreifer, der Zugriff auf diese Anwendungen erhält und an die geschäftskritischen Daten gelangt, gegen verschiedene Compliance-Vorschriften verstoßen kann.

Die Datenschutz-Grundverordnung (DSGVO) bildet einen rechtlichen Rahmen für die Einhaltung der Vorschriften und betrifft weltweit tätige Unternehmen mit Hauptsitz sowohl innerhalb als auch außerhalb Europas. Kommt es zu einer Kompromittierung sensibler Daten, ist das Unternehmen verpflichtet, innerhalb von 72 Stunden den Umfang und die Art der betroffenen Daten sowie die geplanten Maßnahmen zur Behebung des Vorfalls – einschließlich etwaiger Abhilfemaßnahmen – zu melden. Die potenziellen Bußgelder bei Verstößen gegen die DSGVO sind erheblich: bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes des Unternehmens, je nachdem, welcher Betrag höher ist. 

Der Sarbanes-Oxley Act (SOX) verpflichtet börsennotierte Unternehmen zur Einrichtung angemessener interner Kontrollen für die Finanzberichterstattung. Ein Angriff ohne Authentifizierung, der auf eine Fehlkonfiguration oder Schwachstelle in Unternehmensanwendungen abzielt, könnte es Hackern ermöglichen, zugrunde liegende Finanzdaten zu manipulieren, ohne die Finanzanwendungen zu berühren oder einen Prüfpfad zu hinterlassen, was einen Verstoß gegen die ICFR und den SOX darstellen würde.

Die „Defense Federal Acquisition Regulation Supplement“ (DFARS) schreibt vor, dass alle Auftragnehmer im Verteidigungsbereich angemessene Sicherheitsvorkehrungen für alle „kontrollierten, nicht als geheim eingestuften Informationen“ (CUI) treffen müssen, die entweder in den Systemen des Auftragnehmers gespeichert sind oder diese durchlaufen. Ein Auftragnehmer, der die DFARS-Standards nicht erfüllt, kann von der Teilnahme an Ausschreibungen für Regierungsaufträge ausgeschlossen werden, bereits bestehende Aufträge verlieren oder sogar zivil- und strafrechtliche Sanktionen vor Gericht riskieren. 

Der Foreign Corrupt Practices Act (FCPA) ist das weltweit führende Gesetz zur Bekämpfung von Bestechung in Unternehmen. Die Möglichkeit, falsche Spuren in Transaktionsaufzeichnungen zu hinterlassen – Verkaufsrichtlinien, die zur Schaffung von Schmiergeldfonds missbraucht werden, Rechnungslegungsgrundsätze, die zur Finanzierung von Bestechungsgeldern missbraucht werden, Zahlungsbelege, die verändert werden, um die wahren Empfänger zu verschleiern – ist es, was den Fluss korrupter Zahlungen ermöglicht. Eine starke Cybersicherheit verhindert diese Manipulationen. Es ist von entscheidender Bedeutung, dass jede Cybersicherheitsstrategie Bedrohungen auf Anwendungsebene berücksichtigt, um das Risiko zu mindern, dass ein Unternehmen anfällig für Bilanzbetrug ist, unabhängig von anderen Sicherheitsmaßnahmen wie Firewalls, control und der Trennung von Aufgaben (SoD).

Die geschäftlichen Folgen von Verstößen gegen Compliance-Vorschriften

Verstöße gegen Compliance-Vorschriften können zu Geldstrafen, Betriebsunterbrechungen, Produktivitäts- und Umsatzverlusten sowie Reputationsschäden führen, die langfristige Folgen haben können. Ausfallzeiten aufgrund ausgenutzter Schwachstellen in Anwendungen und benutzerdefiniertem Code können Millionen von Dollar kosten. Im Jahr 2020 beliefen sich die durchschnittlichen Kosten durch Geschäftsausfälle infolge einer Datenpanne auf 1,5Millionen Dollar1. Die erfolgreiche Ausnutzung eines anfälligen Systems ermöglicht es einem Angreifer, eine Vielzahl böswilliger Aktivitäten durchzuführen – von der Beeinträchtigung von Lieferketten und Fertigungsprozessen über die Umleitung von Zahlungen bis hin zur Kompromittierung hochsensibler Daten –, von denen die meisten Compliance-Vorschriften unterliegen. Negative Medienberichterstattung über den unsachgemäßen Umgang mit Daten, der oft zu Compliance-Verstößen und Geldstrafen führt, kann zudem das Vertrauen der Kunden beeinträchtigen. Die Durchsetzung von Sicherheits- und Compliance-Standards während des gesamten Anwendungsentwicklungszyklus ist der beste Weg, um diese Folgen von Sicherheitsvorfällen dieser Art zu vermeiden.

Es kann schwierig sein, nachzuweisen, ob diese geschäftskritischen Systeme die Compliance-Standards erfüllen. Onapsis Control kann dabei helfen. Onapsis Control Anwendungssicherheitstests für SAP-Anwendungen, einschließlich der Möglichkeit, intern oder von Drittanbietern erstellten benutzerdefinierten Code und Transporte zu überprüfen, sowie der automatischen Behebung häufiger Codefehler. Es bietet automatisierte Bewertungen, Integrationen mit Entwicklungsumgebungen und Änderungsmanagementsystemen sowie schrittweise Anleitungen zur Behebung, damit Anwendungsteams Probleme so schnell wie möglich identifizieren und beheben können. Unternehmen profitieren von Automatisierungs- und Priorisierungsfunktionen, sodass sie Untersuchungs- und Behebungszeiten verkürzen, Entwicklungsbemühungen beschleunigen und Projekttermine einhalten können. Onapsis Control Teams, Probleme so schnell wie möglich zu identifizieren und zu beheben – bevor sie sich negativ auf die Systemsicherheit, Compliance, Leistung oder Verfügbarkeit auswirken. 

 Laden Sie unser whitepaper herunter, um weitere Informationen zu erhalten.

Weitere Gründe, warum Sie Sicherheitsprüfungen für SAP-Anwendungen benötigen

1. Ponemon-Bericht zu den Kosten von Datenschutzverletzungen 2020
Stichworte, , , ,
Über den Autor

Beth Barach

Als eine der führenden Marketingverantwortlichen bei Onapsis konzentriert sich Beth Barach darauf, die Kompetenz des Unternehmens in den Bereichen SAP-Sicherheit und threat intelligence zu stärken. Sie ist für die Konzeption und Umsetzung digitaler Kampagnen verantwortlich, die die Marktpräsenz der Marke steigern und die Vordenkerrolle des Unternehmens festigen. Ihre Arbeit trägt unmittelbar dazu bei, die SAP-Cybersicherheits-Community über neue Bedrohungen und bewährte Verfahren zu informieren, und festigt damit ihre Rolle bei der Unterstützung von Kunden beim Schutz ihrer Systeme. Beths strategischer Ansatz stellt sicher, dass die bahnbrechenden Forschungsergebnisse und Lösungen von Onapsis die richtigen Zielgruppen erreichen, von IT-Fachleuten bis hin zur Unternehmensführung.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen