Das C-Level-Management unterschätzt das Gefahrenpotenzial von SAP CyberAngriffen
Neue Ponemon-Studie zeigt: Geschäftsführung und IT-Sicherheitsverantwortliche bewerten Fähigkeit zur Abwehr von Bedrohungen und deren potenzielle Auswirkungen sehr unterschiedlich.
München/Boston, 24.2.2016 Ponemon Institute ,Das Ponemon Institut hat die Ergebnisse der branchenweit ersten, von Onapsis gesponserten Studie zum Thema SAP Cyber-Security vorgestellt. Sie zeigt, dass mehr als die Hälfte der befragten Unternehmen, nämlich 56 Prozent, einen Datenverlust aufgrund unsicherer SAP-Applikationen für möglich hält. Dieselbe Gruppe gibt an, dass ihre SAPPlattform innerhalb der letzten 24 Monate durchschnittlich zweimal angegriffen wurde. 63 Prozent berichten, dass Mitglieder der Geschäftsführung die mit unsicheren SAP-Anwendungen einhergehenden Risiken unterschätzen. Brisant: Weltweit verarbeiten SAP-Systeme geschäftskritische Daten und Prozesse der Global 2000-Konzerne.
Diese stark unterschiedliche Wahrnehmung wird durch die eingeschränkte Transparenz der Sicherheit von SAP-Applikationen gefördert. Viele Verantwortliche verfügen zudem nicht über die notwendige Expertise, um Cyber-Angriffe vorzubeugen, diese zu erkennen oder geeignete Abwehrmaßnahmen zu ergreifen. Die Auswirkung solcher Cyberangriffe bezeichnen 60 Prozent der Antworten als katastrophal oder sehr ernst. Ein Angriff kann zu einem Schaden von durchschnittlich 4,5 Mio. Dollar führen, sollten die Systeme abgeschaltet werden müssen.
„Eine der größten Überraschungen dieser Studie ist die zunehmende Flut an Cyber-Angriffen, die Unternehmen treffen und die schwierig zu entdecken sind. „Sie fügen dem Unternehmen und der Wirtschaft materiellen Schaden zu“, sagt Dr. Larry Ponemon, Chairman und Gründer des Ponemon Instituts. „Die Untersuchungsergebnisse zeigen, dass Angriffe auf SAP-Systeme zunehmen, es aber keine klar geregelten Zuständigkeiten in Bezug auf bestimmte Gruppen oder Positionen gibt. Das ist sehr beunruhigend. Es scheint, als ob die SAP-CyberSecurity genau in eine Zuständigkeitslücke zwischen SAP-Sicherheitsteams und Verantwortlichen für die Informationssicherheit fällt. Diese müssen diese Verantwortungslücke priorisieren und schließen.“
Der Bericht zeigt, dass leitende Angestellte SAP zwar als geschäftskritisch einstufen, aber die Gefahren von zielgerichteten Cyber-Bedrohungen ignorieren: 76 Prozent der Antwortenden geben an, dass Mitarbeiter in Führungspositionen die geschäftskritische Bedeutung der SAP-Systeme für die Profitabilität des Unternehmens verstehen. Zugleich sagen aber nur 21 Prozent der Befragten, dass ihr Führungspersonal die Risiken der SAP-Cyber-Security wahrnimmt.
Mit über 600 qualifizierten Antwortenden ist der Bericht mit dem Titel „Aufdeckung der Risiken von SAP-Cyber-Verstößen” Die erste tiefgehende Untersuchung, die IT- und Informations-Sicherheitsexperten befragt, die mit dem Schutz von SAPSystemen, den Kronjuwelen der Unternehmen, beauftragt sind.
„Unternehmen können durch das Kompromittieren ihres SAP-Systems aufgrund eines Datenlecks oder einer Cyber-Attacke sehr wertvolle Daten verlieren.“ Die Industrie beginnt, die möglichen Auswirkungen zu verstehen. Gleichzeitig dehnt sich die Angriffsfläche immer schneller aus, etwa durch neue Technologien wie dem Internet der Dinge, Mobile und Cloud“, sagt Mariano Nunez, CEO von Onapsis. „Klar zugewiesene Zuständigkeiten und der Einsatz von DrittanbieterTools zum Integrieren von Teams, Etablieren von Prozessen und Betreiben der nötigen Maßnahmen für eine sichere Prävention und das Erkennen von SAPSchwachstellen werden immer wichtiger, um gravierende wirtschaftliche Auswirkungen zu vermeiden.“
Die Studie liefert weitere wichtige Erkenntnisse:
- Können SAP-Plattformen Malware enthalten?75 % 75 Prozent der Antworten geben an, dass bei SAP-Plattformen sehr wahrscheinlich (33 Prozent) oder wahrscheinlich (42 Prozent) eine oder mehrere Malware-Infektionen vorliegen.
- Wie lange dauert das Erkennen eines Datenlecks? Kaum einer der Befragten vertraut darauf, dass eine die SAP-Plattform betreffende Schwachstelle sofort oder einer Woche aufgespürt wird. Fast 100 Prozent der Teilnehmer sind davon überzeugt, dass sie eine SAPSchwachstelle nicht sofort erkennen können. 78 Prozent geben an, dass eine SAP-Schwachstelle selbst nach einem Jahr noch nicht entdeckt wurde.
- Wer ist für SAP-Sicherheit verantwortlich? 54 Prozent der Studienteilnehmer finden, dass es Aufgabe von SAP ist, die Integrität seiner Applikationen und Plattformen sicherzustellen – und nicht die Aufgabe ihres eigenen Unternehmens. Innerhalb ihrer Organisation gilt das SAP-Security-Team als verantwortlich für die Sicherheit der SAPSysteme: 25 Prozent der Antwortenden geben an, dass niemand für die SAP-Sicherheit in ihrer Organisation hauptverantwortlich verantwortlich ist, gefolgt vom IT Infrastrukturteam (21 Prozent), SAP- Security-Team (19 Prozent) und Informations-Sicherheitsteam (18 Prozent).
- Wer wird dafür verantwortlich gemacht, dass ein Datenleck auftritt, an dem das SAP-System beteiligt ist? 30 Prozent der Teilnehmer, die auf diese Frage geantwortet haben, geben an, dass niemand hauptverantwortlich ist, falls das SAP-System ihres Unternehmens erfolgreich angegriffen wird. 26 Prozent halten den CIO für Hauptverantwortliche, 18 Prozent den CISO.
- Wie wirken sich das Internet der Dinge (IoT) und andere neue Technologien aus? 59 Prozent der Antworten geben an, dass neue Technologien und Trends wie Cloud, Mobile, Big Data und das Internet der Dinge die Angriffsfläche ihrer SAP-Anwendungen vergrößern.
- Was können Unternehmen und Organisationen tun, um ihre SAP-Sicherheit zu verbessern? 73 Prozent der antwortenden Teilnehmer halten das Wissen um die neuesten Bedrohungen und SAP-betreffenden Schwachstellen für wichtig, um die Fähigkeiten ihres Unternehmens zum Managen von Cyber-Gefahren zu verbessern. Zu den wichtigsten Maßnahmen zur Verbesserung der Sicherheit der SAP-Infrastruktur zählen:
- 83 Prozent der antwortenden Teilnehmer halten die Fähigkeit für sehr wichtig, Zero-Day-Schwachstellen in SAP-Anwendungen zu erkennen.
- 81 Prozent bewerten die Fähigkeit sehr hoch, Bedrohungen von SAP-Anwendungen basierend auf ihrem voraussichtlichen Erfolg zu priorisieren.
- 81 Prozent halten eine kontinuierliche Überwachung der Infrastruktur für sehr wichtig, um sicherzustellen, dass SAP-Applikationen sicher sind.
Der vollständige Report unter diesem Link: https://onapsis.com/ponemon-report.
Am Donnerstag, den 24. März 2016 werden in einem Onapsis-Webcast die Studienergebnisse weiter erläutert. Registrierung unter: www.onapsis.com, sowie über Twitter, Google+ oder LinkedIn erhältlich..
Onapsis und Onapsis Research Labs sind eingetragene Markenzeichen von, Onapsis Inc. Alle genannten anderen Unternehmen und Produkte sind möglicherweise eingetragene Markenzeichen ihrer jeweiligen Eigentümer.