Pressemitteilung

Die Führungsspitze unterschätzt das Gefahrenpotenzial von Cyberangriffen auf SAP-Systeme

24. Februar 2016

Eine neue Ponemon-Studie zeigt: Unternehmensleitungen und IT-Sicherheitsverantwortliche beurteilen die Fähigkeit zur Abwehr von Bedrohungen und deren potenzielle Auswirkungen sehr unterschiedlich.

München/Boston, 24. Februar 2016 – Das Ponemon Institute hat die Ergebnisse der branchenweit ersten, von Onapsis gesponserten Studie zum Thema SAP-Cybersicherheit vorgestellt. Sie zeigt, dass mehr als die Hälfte der befragten Unternehmen, nämlich 56 Prozent, einen Datenverlust aufgrund unsicherer SAP-Anwendungen für möglich hält. Dieselbe Gruppe gibt an, dass ihre SAP-Plattform innerhalb der letzten 24 Monate durchschnittlich zweimal angegriffen wurde. 63 Prozent berichten, dass Mitglieder der Geschäftsleitung die mit unsicheren SAP-Anwendungen einhergehenden Risiken unterschätzen. Brisant: Weltweit verarbeiten SAP-Systeme geschäftskritische Daten und Prozesse der Global-2000-Konzerne.

Diese stark unterschiedliche Wahrnehmung wird durch die mangelnde Transparenz bei der Sicherheit von SAP-Anwendungen begünstigt. Viele Verantwortliche verfügen zudem nicht über das erforderliche Fachwissen, um Cyberangriffen vorzubeugen, diese zu erkennen oder geeignete Abwehrmaßnahmen zu ergreifen. Die Auswirkungen solcher Cyberangriffe bezeichnen 60 Prozent der Befragten als katastrophal oder sehr schwerwiegend. Ein Angriff kann zu einem Schaden von durchschnittlich 4,5 Millionen Dollar führen, sollten die Systeme abgeschaltet werden müssen.

„Eine der größten Überraschungen dieser Studie ist die zunehmende Flut von Cyberangriffen, von denen Unternehmen betroffen sind und die schwer zu erkennen sind. Sie fügen den Unternehmen und der Wirtschaft materiellen Schaden zu“, sagt Dr. Larry Ponemon, Vorsitzender und Gründer des Ponemon-Instituts. „Die Untersuchungsergebnisse zeigen, dass Angriffe auf SAP-Systeme zunehmen, es aber keine klar geregelten Zuständigkeiten in Bezug auf bestimmte Gruppen oder Positionen gibt. Das ist sehr beunruhigend. Es scheint, als ob die SAP-Cybersicherheit genau in eine Zuständigkeitslücke zwischen SAP-Sicherheitsteams und den Verantwortlichen für die Informationssicherheit fällt. Diese müssen diese Zuständigkeitslücke priorisieren und schließen.“

Der Bericht zeigt, dass Führungskräfte SAP zwar als geschäftskritisch einstufen, die Gefahren gezielter Cyber-Bedrohungen jedoch ignorieren: 76 Prozent der Befragten geben an, dass Mitarbeiter in Führungspositionen die geschäftskritische Bedeutung der SAP-Systeme für die Rentabilität des Unternehmens verstehen. Gleichzeitig geben jedoch nur 21 Prozent der Befragten an, dass ihre Führungskräfte die Risiken der SAP-Cybersicherheit wahrnehmen.

Mit über 600 qualifizierten Befragten ist der Bericht mit dem Titel„Uncovering the Risks of SAP Cyber Breaches“die erste umfassende Studie, in der IT- und Informationssicherheitsexperten befragt wurden, die für den Schutz von SAP-Systemen – den Kronjuwelen der Unternehmen – zuständig sind.

„Unternehmen können durch die Kompromittierung ihres SAP-Systems aufgrund eines Datenlecks oder eines Cyberangriffs sehr wertvolle Daten verlieren. Die Branche beginnt, die möglichen Auswirkungen zu begreifen. Gleichzeitig vergrößert sich die Angriffsfläche immer schneller, etwa durch neue Technologien wie das Internet der Dinge, Mobile und Cloud, sagt Mariano Nunez, CEO von Onapsis. „Klar zugewiesene Zuständigkeiten und der Einsatz von Drittanbieter-Tools zur Integration von Teams, zur Etablierung von Prozessen und zur Umsetzung der notwendigen Maßnahmen für eine sichere Prävention und das Erkennen von SAP-Schwachstellen werden immer wichtiger, um gravierende wirtschaftliche Auswirkungen zu vermeiden.“

Die Studie liefert weitere wichtige Erkenntnisse:

Können SAP-Plattformen Malware enthalten?75 % – 75 Prozent der Befragten geben an, dass bei SAP-Plattformen sehr wahrscheinlich (33 Prozent) oder wahrscheinlich (42 Prozent) eine oder mehrere Malware-Infektionen vorliegen.
Wie lange dauert es, bis ein Datenleck entdeckt wird? Kaum einer der Befragten vertraut darauf, dass eine Schwachstelle in der SAP-Plattform sofort oder innerhalb einer Woche aufgedeckt wird. Fast 100 Prozent der Teilnehmer sind überzeugt, dass sie eine SAP-Schwachstelle nicht sofort erkennen können. 78 Prozent geben an, dass eine SAP-Schwachstelle selbst nach einem Jahr noch nicht entdeckt wurde.
Wer ist für die SAP-Sicherheit verantwortlich? 54 Prozent der Studienteilnehmer sind der Meinung, dass es Aufgabe von SAP ist, die Integrität seiner Anwendungen und Plattformen zu gewährleisten – und nicht Aufgabe ihres eigenen Unternehmens. Innerhalb ihrer Organisation gilt das SAP-Sicherheitsteam als verantwortlich für die Sicherheit der SAP-Systeme: 25 Prozent der Befragten geben an, dass niemand in ihrer Organisation hauptverantwortlich für die SAP-Sicherheit zuständig ist, gefolgt vom IT-Infrastrukturteam (21 Prozent), dem SAP-Sicherheitsteam (19 Prozent) und dem Informationssicherheitsteam (18 Prozent).
Wer wird zur Verantwortung gezogen, wenn es zu einem Datenleck kommt, an dem das SAP-System beteiligt ist? 30 Prozent der Teilnehmer, die diese Frage beantwortet haben, geben an, dass niemand die Hauptverantwortung trägt, falls das SAP-System ihres Unternehmens erfolgreich angegriffen wird. 26 Prozent sehen den CIO in der Hauptverantwortung, 18 Prozent den CISO.
Wie wirken sich das Internet der Dinge (IoT) und andere neue Technologien aus? 59 Prozent der Befragten geben an, dass neue Technologien und Trends wie Cloud, Mobile, Big Data und das Internet der Dinge die Angriffsfläche ihrer SAP-Anwendungen vergrößern.
Was können Unternehmen und Organisationen tun, um ihre SAP-Sicherheit zu verbessern? 73 Prozent der befragten Teilnehmer halten das Wissen über die neuesten Bedrohungen und SAP-spezifischen Schwachstellen für wichtig, um die Fähigkeit ihres Unternehmens zur Bewältigung von Cyber-Risiken zu verbessern. Zu den wichtigsten Maßnahmen zur Verbesserung der Sicherheit der SAP-Infrastruktur zählen:
- 83 Prozent der befragten Teilnehmer halten die Fähigkeit, Zero-Day-Schwachstellen in SAP-Anwendungen zu erkennen, für sehr wichtig.
- 81 Prozent schätzen die Fähigkeit sehr hoch ein, Bedrohungen für SAP-Anwendungen anhand ihrer voraussichtlichen Erfolgsaussichten zu priorisieren.
- 81 Prozent halten eine kontinuierliche Überwachung der Infrastruktur für sehr wichtig, um sicherzustellen, dass SAP-Anwendungen sicher sind.

Den vollständigen Bericht finden Sie unter diesem Link: https://onapsis.com/ponemon-report.

Am Donnerstag, den 24. März 2016, werden die Studienergebnisse in einem Onapsis-Webcast näher erläutert. Die Anmeldung ist unter www.onapsis.com sowie über Twitter, Google+ oder LinkedIn möglich.

„Onapsis“ und Onapsis Research Labs eingetragene Marken von Onapsis Inc. Alle anderen genannten Unternehmen und Produkte sind möglicherweise eingetragene Marken ihrer jeweiligen Eigentümer.

Zurück zu den Pressemitteilungen

SAP-Sicherheits- und Compliance-Bewertung

Sichern Sie Ihre Zukunft: Vorbereitung auf eine erfolgreiche SAP-RISE-Transformation

Cyberangriff auf SAP gefährdet globalen Hersteller

Hacking und Verteidigung von SAP-Anwendungen – Live

10 Gründe, warum sich immer mehr Unternehmen für Onapsis entscheiden

Die Führungsspitze unterschätzt das Gefahrenpotenzial von Cyberangriffen auf SAP-Systeme

Weiterführende Literatur

Onapsis stellt branchenweit einzigartige Funktionen vor, die agentenbasierte KI-Workflows für die SAP-Cybersicherheit ermöglichen

Der CEO von Onapsis tritt gemeinsam mit führenden Branchenvertretern auf der Hauptbühne der SAPinsider Las Vegas 2026 auf

Onapsis stärkt seine Führungsposition im Bereich Markteinführung, um das weltweite Wachstum und die partnergestützte Expansion voranzutreiben

SAP-Sicherheits- und Compliance-Bewertung

Sichern Sie Ihre Zukunft: Vorbereitung auf eine erfolgreiche SAP-RISE-Transformation

Cyberangriff auf SAP gefährdet globalen Hersteller

Hacking und Verteidigung von SAP-Anwendungen – Live

10 Gründe, warum sich immer mehr Unternehmen für Onapsis entscheiden