Pressemitteilung

Onapsis-Ankündigung: Virtuelles Patching bei SAP-Implementierungen

12. Mai 2016

Die private Beta-Version der Onapsis Security Platform Laufe des Jahres allgemein verfügbar sein

München/Boston, 12. Mai 2016 Onapsis, globaler Experte für die Sicherheit geschäftskritischer Anwendungen, hat heute seine neue Virtual-Patching-Funktionalität vorgestellt. Sie bietet sofortigen Schutz vor der Ausnutzung von Schwachstellen in lokal installierten und Cloud SAP-Anwendungen. Die Neuerung wird ab sofort als Private Beta ausgewählten Kunden und Entwicklungspartnern zur Verfügung gestellt. Im Laufe des Jahres 2016 wird sie als Teil der Onapsis Security Platform OSP) allgemein verfügbar sein. Als kontextsensitive Lösung ermöglicht OSP präventive Kontrollen zur Überwachung von Schwachstellen und Compliance-Anforderungen sowie Echtzeitfunktionen zur Erkennung und sofortigen Reaktion auf ungewöhnliche Ereignisse, die geschäftskritische Prozesse und Daten bedrohen.

Virtuelle Sicherheitspatches können mit der neuen Private Beta sofort in SAP-Systemen angewendet werden, sobald die Onapsis Security Platform neues Sicherheitsrisiko oder einen Verstoß gegen SAP-Sicherheitsrichtlinien feststellt. Gleichzeitig schützt die Funktion Abonnenten des OSP-Advanced-Threat-Protection (ATP)-Dienstes vor Zero-Day-Angriffen auf SAP-Systeme, wenn solche von den Onapsis Research Labs werden. Die Kunden erhalten damit einen außergewöhnlichen Schutz gegen fortschrittliche Cyberangriffe.

Onapsis Virtual Patching bietet folgende Vorteile:

  • unmittelbare Anwendung virtueller Sicherheitspatches, sobald kritische Risiken festgestellt werden;
  • Gestaffelte Bereitstellung der Patches: Patches können nur für Verbindungen von Systemen zu ungeschützten Netzwerken implementiert werden;
  • Minimierung des „Vulnerability“-Fensters bei neuen Risiken und Zero-Day-Schwachstellen;
  • Zeit- und Kostenersparnis im Vergleich zum manuellen Patchen;
  • Minimierung des Risikos, dass Dienste aufgrund fehlerhafter manueller Patches nicht mehr verfügbar sind;
  • Steigerung der Kapitalrendite bei bestehenden IT- und Sicherheitsinvestitionen;
  • Schutz geschäftskritischer Anwendungen und Prozesse; sowie eine
  • Vereinfachung der Sicherheitsdienstleistungen für Betreiber cloudbasierter SAP-Infrastrukturen.

Notwendigkeit von Virtual Patching SAP-gestützte Anwendungen sind schon seit langem ein attraktives Ziel für Cyberkriminelle. Unternehmen benötigen gerade für SAP-Anwendungen schneller wirkende Schutzmechanismen. Denn sie sind auf die Funktionalität ihrer unternehmenskritischen, SAP-gestützten Geschäftsprozesse angewiesen. Individuelle SAP-Systeme bieten zudem auch Partnern, Zulieferern und Kunden im Unternehmen zentrale Dienstleistungen. Werden diese Systeme nicht korrekt verwaltet und gesichert, können Angreifer eine Schwachstelle oder eine Fehlkonfiguration in der individuellen SAP-Implementierung ausnutzen. Damit erlangen sie Zugriff auf unternehmenskritische Informationen wie Kundendaten, Preislisten, Informationen über Finanzen, Mitarbeiter, Zulieferer, Budgets, Planungen, Prognosen sowie Business Intelligence.

Auch der Ressourcenmangel in Unternehmen macht sofort wirksame virtuelle Patch-Funktionalitäten notwendig. „Während IT-Sicherheitsteams nicht genug Zeit haben, die Komplexität der SAP-Implementierungen zu verstehen, fehlt den SAP-Basis-Teams die Zeit für eine ordnungsgemäße Überprüfung und Planung der monatlich veröffentlichten SAP-Sicherheitspatches. In der Praxis sind sie oft gezwungen, Sicherheitsupdates zu ignorieren und sich auf Funktionsänderungen ihrer SAP-Anwendungen zu konzentrieren. In der Folge bedrohen oft längst bekannte Schwachstellen und Insiderwissen viele SAP-Implementierungen“, sagt Alex Horan, Director of Product Management bei Onapsis.

Die Studie „Top Three Cyber Attack Vectors for SAP Systems“ der Onapsis Research Labs , in welchem Maße dieser Ressourcenmangel die Sicherheit von SAP-Implementierungen gefährdet: Unternehmen benötigen im Durchschnitt rund 18 Monate oder mehr, um Patches zu installieren. Bei über 200 allein im Jahr 2015 veröffentlichten Patches für als „high priority“ eingestufte Sicherheitslücken sind die Folgen des Zeitmangels also enorm.

Onapsis arbeitet daher mit zahlreichen führenden Anbietern von Intrusion-Prevention-Systemen der nächsten Generation zusammen. Deren Lösungen schützen die Betriebssysteme und die Datenbanken, auf denen die SAP-Anwendungen laufen. Sie sichern jedoch nicht die individuellen Anwendungen wie SAP. „Es ist zu betonen, dass SAP-Anwendungen in jedem Unternehmen in hohem Maße darauf angepasst sind, die Anforderungen der Interoperabilität im jeweiligen Unternehmen zu erfüllen“, erläutert Horan weiter. „Aufgrund der immer individuelleren SAP-Implementierungen gibt es keine Standards für die Überwachung und den endgültigen Schutz vor Angriffen, die auf Fehlkonfigurationen im System abzielen. Mit unseren patentierten und SAP-zertifizierten Lösungen sowie durch unsere Partnerschaften bietet Onapsis das spezialisierte Wissen für einen umfassenden Schutz von SAP-Anwendungen.“

Weitere Informationen zu den neuen Funktionen bietet Onapsis am Donnerstag, den 26. Mai 2016, im Rahmen eines Webcasts. Anmeldung unter: https://onapsis.com/news-and-events/webcasts/reducing-sap-attack-exposure-virtual-security-patching

xxx

Über Onapsis

Onapsis bietet die umfassendste Sicherheitslösung für den Schutz geschäftskritischer SAP- und Oracle-Anwendungen. Als führender Experte für SAP- und Oracle-Cybersicherheit verschafft Onapsis IT-Sicherheits- und Audit-Teams Transparenz, Sicherheit und Kontrolle über komplexe Bedrohungen, Cyberrisiken und Compliance-Lücken, die ihre Unternehmensanwendungen gefährden.

Onapsis hat seinen Hauptsitz in Boston, Massachusetts (USA), und unterstützt mit seinen Lösungen 180 der Global-2000-Unternehmen, darunter 10 führende Handelsunternehmen, 20 führende Energiekonzerne und 20 führende produzierende Unternehmen. Die Lösungen von Onapsis sind darüber hinaus der De-facto-Standard für führende Beratungs- und Wirtschaftsprüfungsgesellschaften wie Accenture, IBM, Deloitte, Ernest & Young, KPMG und PwC.

Zu den Lösungen von Onapsis gehört die Onapsis Security Platform (OSP) – die am häufigsten genutzte SAP-zertifizierte Cybersicherheitslösung auf dem Markt. Im Gegensatz zu generischen Sicherheitsprodukten bieten die kontextsensitiven Lösungen von Onapsis sowohl präventive Kontrollen zur Überwachung von Schwachstellen und Compliance-Anforderungen als auch Echtzeitfunktionen zur Erkennung und sofortigen Reaktion auf ungewöhnliche Ereignisse, die geschäftskritische Prozesse und Daten gefährden.

Über offene Schnittstellen lässt sich die Plattform mit SIEM-, GRC- und Netzwerksicherheitsprodukten kombinieren. Dies ermöglicht eine nahtlose Integration von Unternehmensanwendungen in bestehende Programme für Schwachstellen-, Risiko- und Response-Management.

Die Lösungen Onapsis Research Labs auf das Onapsis Research Labs , das mithilfe intelligenter Analyseverfahren kontinuierlich Sicherheitsbedrohungen aufdeckt, die SAP-Systeme betreffen. Die Experten des Onapsis Research Labs die ersten, die über Cyberangriffe auf SAP-Systeme berichteten. Sie haben inzwischen Hunderte von Sicherheitslücken aufgedeckt und Unternehmen dabei unterstützt, diese zu beheben. Schwachstellen können die SAP Business Suite, SAP HANA, SAP Cloud SAP Mobile-Installationen sowie Oracle JD Edwards und Plattformen der Oracle E-Business Suite betreffen.

Weitere Informationen finden Sie unter www.onapsis.com sowie auf Twitter, Google+ oder LinkedIn.

„Onapsis“ und Onapsis Research Labs eingetragene Marken von Onapsis Inc. Alle anderen genannten Unternehmen und Produkte sind möglicherweise eingetragene Marken ihrer jeweiligen Eigentümer.

Zurück zu den Pressemitteilungen

Weiterführende Literatur