Pressemitteilung
Onapsis hilft SAP-Kunden dabei, weit verbreitete kritische Sicherheitsrisiken bei der Konfiguration zu erkennen und zu beheben
Vorreiter im Bereich der Sicherheit geschäftskritischer Anwendungen machen auf die stille Gefahr unsicherer Konfigurationen aufmerksam
BOSTON, MA – 26. April 2018 – Onapsis, der weltweit führende Experte für Cybersicherheit und Compliance bei SAP- und Oracle-Anwendungen, hat heute eine kritische Sicherheitslücke in der Konfiguration aufgedeckt, die auf Standardinstallationen in SAP-Systemen zurückzuführen ist. Bleibt diese Schwachstelle ungeschützt, könnte dies in ungeschützten Umgebungen zu einer vollständigen Kompromittierung des Systems führen. Bei Ausnutzung dieser Schwachstelle könnten Hacker control vollständige control das System erlangen, wodurch geschäftskritische Daten und Prozesse in den Bereichen ERP, HR, personenbezogene Daten, Finanzen und Lieferkette gefährdet würden.
Die Sicherheitslücke, die hauptsächlich auf eine ursprünglich von SAP im Jahr 2005 dokumentierte Sicherheitskonfiguration zurückzuführen ist, besteht nach wie vor in den meisten SAP-Implementierungen – entweder weil Sicherheitskonfigurationen nicht angewendet wurden oder aufgrund unbeabsichtigter Konfigurationsabweichungen bei zuvor gesicherten Systemen. Onapsis hat in den letzten sechs Monaten SAP-Kunden kontaktiert, um sie zu warnen und sicherzustellen, dass sie das Risiko in ihren Systemlandschaften angehen. Nach der Analyse von Hunderten realer SAP-Kundenimplementierungen stellte Onapsis fest, dass 9 von 10 SAP-Systemen vor Platform der Onapsis Business Risk Assessment oder Platform Onapsis Security Platform anfällig waren.
Die Sicherheitslücke befindet sich in SAP NetWeaver und kann von einem nicht authentifizierten Angreifer aus der Ferne ausgenutzt werden, der lediglich über Netzwerkzugriff auf das System verfügt. Angreifer können sich uneingeschränkten Zugriff auf SAP-Systeme verschaffen, wodurch sie die platform aller darin enthaltenen Informationen kompromittieren, diese Informationen verändern oder extrahieren oder das System lahmlegen können. SAP NetWeaver bildet die Grundlage aller SAP-Implementierungen, weshalb die Sicherheitslücke alle Versionen von SAP NetWeaver betrifft – das sind weltweit 378.000 Kunden und 87 % der Global-2000-Unternehmen. Dieses Risiko besteht weiterhin bei den Standard-Sicherheitseinstellungen aller NetWeaver-basierten SAP-Produkte, einschließlich der neuesten Versionen wie cloud der digitalen Business-Suite der nächsten Generation, S/4HANA.
„Während in diesem Jahr viel Aufmerksamkeit auf neue Sicherheitslücken wie IoT, Meltdown und Spectre gerichtet sein wird, lauert hinter den Kulissen eine stillere Bedrohung, die ebenso schwerwiegend und sicherlich ebenso weitreichend sein kann. Viele SAP-Landschaften sind so stark vernetzt und komplex, dass das Offline-Schalten eines Systems zur Implementierung einer sicheren Konfiguration erhebliche Störungen im Unternehmen verursachen kann. Dennoch ist es von entscheidender Bedeutung, dass Unternehmen sich die Zeit nehmen, die Konfiguration umzusetzen. Diese Upgrades müssen so geplant und terminiert werden, dass sie möglichst geringe Auswirkungen auf den Geschäftsbetrieb haben“, sagte JP Perez-Etchegoyen, CTO bei Onapsis.
„Außerdem ist es, sobald die Konfiguration gesichert ist, fast unmöglich zu gewährleisten, dass einzelne Teams die Konfiguration nicht aufgrund der Hinzufügung, Migration oder Aktualisierung eines Systems auf eine unsichere Einstellung zurücksetzen“, fuhr Perez-Etchegoyen fort.
Onapsis Research Labs einen umfassenden Sicherheitsbericht verfasst, um SAP-Kunden die Risiken und geschäftlichen Auswirkungen einer unsicheren Konfiguration dieser Funktion zu verdeutlichen. Der Bericht beschreibt zudem Maßnahmen, mit denen Unternehmen das System so konfigurieren können, dass die Sicherheit gewährleistet bleibt.
Laden Sie den Bedrohungsbericht auf der Onapsis-Website herunter.
Die Onapsis Research Labs diese Ergebnisse und die wichtigsten nächsten Schritte außerdem im Rahmen eines Webcasts am 8. Mai um 14:00 Uhr (ET) vorstellen.
Über Onapsis
Die Cybersicherheitslösungen von Onapsis automatisieren die Überwachung und den Schutz Ihrer SAP- und Oracle-ERP-Systeme sowie Ihrer geschäftskritischen Anwendungen und sorgen dafür, dass diese die gesetzlichen Vorschriften einhalten und vor Bedrohungen durch interne und externe Akteure geschützt sind. Als bewährter Marktführer genießen wir das Vertrauen globaler Unternehmen, die Onapsis den Schutz ihrer geschäftskritischen Informationen und Prozesse anvertrauen.
Onapsis mit Hauptsitz in Boston, Massachusetts, betreut über 200 Kunden, darunter viele der Global-2000-Unternehmen. Die Lösungen von Onapsis gelten zudem als De-facto-Standard für führende Beratungs- und Wirtschaftsprüfungsgesellschaften wie Deloitte, IBM, Infosys und PwC.
Zu den Lösungen von Onapsis gehört die Onapsis Security Platform™, die am weitesten verbreitete SAP-zertifizierte Cybersicherheitslösung auf dem Markt. Im Gegensatz zu generischen Sicherheitsprodukten bieten die kontextbezogenen Lösungen von Onapsis sowohl präventive Maßnahmen zur Schwachstellen- und Compliance-Kontrolle als auch Funktionen zur Echtzeit-Erkennung und Incident Response, um Risiken für kritische Geschäftsprozesse und Daten zu minimieren. Über offene Schnittstellen platform sich die platform in führende SIEM-, GRC- und Netzwerksicherheitsprodukte integrieren und bindet Unternehmensanwendungen nahtlos in bestehende Programme zum Schwachstellen-, Risiko- und Vorfallmanagement ein.
Diese Lösungen basieren auf den Erkenntnissen Onapsis Research Labs, die kontinuierlich führende Informationen zu Sicherheitsbedrohungen für SAP- und Oracle-Unternehmensanwendungen bereitstellen. Die Experten der Onapsis Research Labs die ersten, die Vorträge über Cyberangriffe auf SAP-Systeme hielten, und haben bis heute Hunderte von Sicherheitslücken aufgedeckt und bei deren Behebung mitgewirkt, die SAP Business Suite, SAP HANA, SAP Cloud SAP Mobile-Anwendungen sowie die Plattformen Oracle JD Edwards und Oracle E-Business Suite betrafen. Diese patentierte Technologie ist branchenweit bekannt und hat Onapsis eine Platzierung in den Deloitte Technology Fast-500, als Red Herring North America Top 100-Unternehmen und als SINET 16 Innovator eingebracht.
Weitere Informationen finden Sie unter www.onapsis.com oder folgen Sie unsauf Twitter,Google+oder LinkedIn.
Onapsis und Onapsis Research Labs eingetragene Marken von Onapsis, Inc. Alle anderen Firmen- oder Produktnamen sind möglicherweise eingetragene Marken ihrer jeweiligen Eigentümer.