Pressemitteilung

Onapsis hilft SAP-Kunden, weit verbreitete kritische Sicherheitskonfigurationsrisiken zu identifizieren und zu beheben

Vordenker für geschäftskritische Anwendungssicherheit machen auf die stille Bedrohung unsicherer Konfigurationen aufmerksam

BOSTON, MA – 26. April 2018 – Onapsis, der globale Experte für Cybersicherheit und Compliance von SAP- und Oracle-Anwendungen, hat heute eine kritische Schwachstelle in der Sicherheitskonfiguration aufgedeckt, die aus Standardinstallationen in SAP-Systemen resultiert und bei Unsicherheit zu einer vollständigen Systemkompromittierung in ungeschützten Umgebungen führen könnte. Wenn die Auswirkungen ausgenutzt werden, könnten Hacker die vollständige Kontrolle über das System erlangen und geschäftskritische ERP-, HR-, PII-, Finanz- und Lieferkettendaten und -prozesse gefährden.

Die Schwachstelle, die hauptsächlich auf eine Sicherheitskonfiguration zurückzuführen ist, die ursprünglich von SAP im Jahr 2005 dokumentiert wurde, ist in den meisten SAP-Implementierungen immer noch vorhanden, entweder weil die Anwendung von Sicherheitskonfigurationen vernachlässigt wurde oder weil es zu unbeabsichtigten Konfigurationsabweichungen zuvor gesicherter Systeme kam. Onapsis hat die letzten sechs Monate damit verbracht, SAP-Kunden zu kontaktieren, um sie zu warnen und sicherzustellen, dass sie das Risiko in ihren Landschaften angehen. Nach der Analyse von Hunderten realer SAP-Kundenimplementierungen stellte Onapsis fest, dass 9 von 10 SAP-Systemen vor der Onapsis Business Risk Assessment- oder Onapsis Security Platform-Implementierung anfällig waren.

Die Schwachstelle befindet sich in SAP Netweaver und kann von einem nicht authentifizierten Remote-Angreifer kompromittiert werden, der nur Netzwerkzugriff auf das System hat. Angreifer können sich uneingeschränkten Zugriff auf SAP-Systeme verschaffen und so die Plattform mit allen darin enthaltenen Informationen kompromittieren, diese Informationen verändern oder extrahieren oder das System herunterfahren. SAP Netweaver ist die Grundlage aller SAP-Bereitstellungen und daher betrifft die Schwachstelle alle Versionen von SAP Netweaver und repräsentiert 378,000 Kunden weltweit und 87 % der Global 2000. Dieses Risiko besteht immer noch innerhalb der Standardsicherheitseinstellungen jedes Netweaver-basierten SAP-Produkts. einschließlich der neuesten Versionen wie Cloud und der digitalen Business-Suite S/4HANA der nächsten Generation.

„Während in diesem Jahr neuen Schwachstellen wie IoT, Meltdown und Spectre große Aufmerksamkeit gewidmet wird, lauert hinter den Kulissen eine stillere Bedrohung, die möglicherweise ebenso schwerwiegend und mit Sicherheit ebenso weitreichend ist. Viele SAP-Landschaften sind so vernetzt und komplex, dass es für das Unternehmen sehr störend sein kann, ein System offline zu schalten, um eine sichere Konfiguration zu implementieren. Dennoch ist es von entscheidender Bedeutung, dass Unternehmen sicherstellen, dass sie sich die Zeit nehmen, die Konfiguration zu implementieren. Diese Upgrades müssen so geplant und zeitlich abgestimmt werden, dass sie die geringsten Auswirkungen auf das Unternehmen haben“, sagte JP Perez-Etchegoyen, CTO bei Onapsis.

„Darüber hinaus ist es fast unmöglich sicherzustellen, dass einzelne Teams die Konfiguration nicht auf eine unsichere Einstellung zurücksetzen, wenn ein System hinzugefügt, migriert oder aktualisiert wird, sobald die Konfiguration gesichert ist“, fuhr Perez-Etchegoyen fort.

Die Onapsis Research Labs haben einen ausführlichen Bedrohungsbericht verfasst, um SAP-Kunden das Risiko und die geschäftlichen Auswirkungen zu verdeutlichen, wenn diese Konfiguration unsicher bleibt. Der Bericht beschreibt auch Methoden, mit denen eine Organisation dieses System konfigurieren und sicherstellen kann, dass es sicher bleibt.

Laden Sie den Bedrohungsbericht auf der Onapsis-Website herunter.

Die Onapsis Research Labs werden diese Erkenntnisse und wichtige nächste Schritte ebenfalls vorstellen während eines Webcasts am 8. Mai um 2:00 Uhr ET.

Über Onapsis

Die Cybersicherheitslösungen von Onapsis automatisieren die Überwachung und den Schutz Ihrer SAP- und Oracle-ERP- und geschäftskritischen Anwendungen und sorgen dafür, dass sie konform und vor Bedrohungen von innen und außen geschützt sind. Als bewährter Marktführer vertrauen globale Unternehmen auf Onapsis, wenn es darum geht, die wesentlichen Informationen und Prozesse zu schützen, die ihre Geschäfte betreiben.

Onapsis hat seinen Hauptsitz in Boston, MA und bedient über 200 Kunden, darunter viele der Global 2000. Die Lösungen von Onapsis sind auch der De-facto-Standard für führende Beratungs- und Prüfungsunternehmen wie Deloitte, IBM, Infosys und PwC.

Zu den Onapsis-Lösungen gehört die Onapsis Security Platform™, die am weitesten verbreitete SAP-zertifizierte Cybersicherheitslösung auf dem Markt. Im Gegensatz zu generischen Sicherheitsprodukten bieten die kontextsensitiven Lösungen von Onapsis sowohl präventive Schwachstellen- und Compliance-Kontrollen als auch Echtzeiterkennungs- und Vorfallreaktionsfunktionen, um Risiken für kritische Geschäftsprozesse und Daten zu reduzieren. Durch offene Schnittstellen kann die Plattform in führende SIEM-, GRC- und Netzwerksicherheitsprodukte integriert werden und Unternehmensanwendungen nahtlos in bestehende Schwachstellen-, Risiko- und Incident-Response-Managementprogramme integrieren.

Diese Lösungen werden von den Onapsis Research Labs betrieben, die kontinuierlich führende Informationen zu Sicherheitsbedrohungen liefern, die SAP- und Oracle-Unternehmensanwendungen beeinträchtigen. Experten der Onapsis Research Labs hielten als erste einen Vortrag über SAP-Cyberangriffe und haben bis heute Hunderte von Sicherheitslücken aufgedeckt und behoben, die SAP Business Suite-, SAP HANA-, SAP Cloud- und SAP Mobile-Anwendungen sowie Oracle JD Edwards und Oracle betreffen E-Business Suite-Plattformen. Diese patentierte Technologie ist branchenweit bekannt und wurde von Onapsis im Deloitte Technology Fast-500, als Red Herring North America Top 100-Unternehmen und als SINET 16 Innovator anerkannt.

Weitere Informationen finden Sie unter www.onapsis.comoder verbinden Sie sich mit uns aufTwitter,Google+, oder LinkedIn.
Onapsis und Onapsis Research Labs sind eingetragene Marken von Onapsis, Inc. Alle anderen Firmen- oder Produktnamen können eingetragene Marken ihrer jeweiligen Eigentümer sein.