Pressemitteilung

Onapsis identifiziert und unterstützt SAP bei der Absicherung kritischer Schwachstellen in SAP HANA

Die Forschungs- und Bedrohungsinformationen von Onapsis Research Labs schützen SAP-Kunden vor schwerwiegenden Risiken, die HANA-basierte Produkte, einschließlich HANA 2, S/4 HANA und HANA-basierte Cloud-Anwendungen, beeinträchtigen

BOSTON, MA – 14. März 2017 – Onapsis, der globale Experte für Cybersicherheit und Compliance von SAP- und Oracle-Anwendungen, gab heute die Entdeckung mehrerer hochriskanter Schwachstellen bekannt, die SAP HANA-Plattformen betreffen. Bei Ausnutzung dieser Schwachstellen würde es einem Angreifer innerhalb oder außerhalb des Unternehmens ermöglichen, aus der Ferne die vollständige Kontrolle über die SAP HANA-Plattform zu erlangen, ohne dass ein Benutzername und ein Passwort erforderlich sind.

SAP HANA, die In-Memory-Cloud-Plattform der nächsten Generation, vereinfacht die Datenbank- und Datenverwaltung. Die neuen Funktionen der Plattform sind auf Innovationen optimiert, die Unternehmen dabei helfen, in der digitalen Wirtschaft effektiver zu konkurrieren.

„Diese Zugriffsebene würde es einem Angreifer ermöglichen, beliebige Aktionen an den von HANA unterstützten Geschäftsinformationen und -prozessen durchzuführen, einschließlich der Erstellung, des Diebstahls, der Änderung und/oder der Löschung vertraulicher Informationen. Wenn diese Schwachstellen ausgenutzt werden, können Unternehmen schwerwiegende geschäftliche Folgen haben“, sagte Sebastian Bortnik, Forschungsleiter bei Onapsis. Die Schwachstellen betreffen eine bestimmte SAP HANA-Komponente namens SAP HANA User Self Service, die standardmäßig nicht aktiviert ist. „Wir hoffen, dass Organisationen diese Bedrohungsinformationen nutzen, um ihre Systeme zu bewerten und zu bestätigen, dass sie diese Komponente derzeit nicht verwenden und daher nicht von diesen Risiken betroffen sind. Auch wenn der Dienst nicht aktiviert ist, empfehlen wir diesen Organisationen dennoch, die Patches anzuwenden, falls in Zukunft eine Änderung am System vorgenommen wird“, fuhr Bortnik fort.

Onapsis Research Labs entdeckte die Schwachstellen ursprünglich auf der neu veröffentlichten SAP HANA 2-Plattform, stellte jedoch nach weiteren Analysen fest, dass auch mehrere ältere Versionen angreifbar waren. Basierend auf dieser Bewertung wurde festgestellt, dass die Schwachstellen in HANA bereits seit fast zweieinhalb Jahren vorhanden waren, als die User Self Service-Komponente erstmals veröffentlicht wurde. Dies erhöht die Wahrscheinlichkeit erheblich, dass diese Schwachstellen von Angreifern entdeckt werden, um in die SAP-Systeme des Unternehmens einzudringen.

Als führender SAP-Partner für Cybersicherheit arbeitete Onapsis eng mit den Produktsicherheits- und Engineering-Teams von SAP zusammen, um sie bei der Entwicklung der Sicherheitspatches zu unterstützen. „Wie immer haben wir die Risiken sofort an SAP SE gemeldet, damit ein Patch entwickelt und für SAP-Kunden freigegeben werden konnte, was im Vergleich zu früheren Schwachstellenmeldungen sehr schnell erfolgte.“ Da der Schutz unserer Kunden für uns oberste Priorität hat, haben wir ihnen auch erweiterte Sicherheitsupdates für ihre Installationen der Onapsis Security Platform sowie alternative Ansätze zur Risikominderung bereitgestellt, bis die Sicherheitspatches verfügbar sind“, erklärte Mariano Nunez, CEO und Co- Gründer, Onapsis.

Nach einem weiteren Schwachstellenbericht von Onapsis Research Labs veröffentlicht SAP auch den ersten Patch überhaupt für SAP HANA 2. In diesem Fall sind Standardinstallationen betroffen und ein Angreifer kann bei Ausnutzung die Berechtigungen erhöhen.

Im Rahmen ihrer Richtlinie zur verantwortungsvollen Offenlegung werden die Onapsis Research Labs nach 90 Tagen technische Details zu diesen Schwachstellen veröffentlichen, um SAP-Kunden Zeit zu geben, den SAP-Sicherheitshinweis Nr. 2424173 „Schwachstellen in den User Self-Service Tools von SAP HANA“ anzuwenden und zu konfigurieren ” und Sicherheitshinweis Nr. 2429069 in ihren Organisationen. 

Die Onapsis Research Labs haben mehr als 500 Schwachstellen in SAP- und Oracle-Geschäftsanwendungen entdeckt, SAP bei der Absicherung von über 65 % aller gemeldeten HANA-Schwachstellen geholfen und bisher über 150 Sicherheitshinweise veröffentlicht. In jeder Empfehlung wird die Geschäftskontextrelevanz einer identifizierten Schwachstelle detailliert beschrieben, einschließlich der Auswirkungen auf ein Unternehmen, einer Beschreibung der betroffenen Komponenten und Schritten zur Lösung, wie z. B. Patch-Download-Links und empfohlenen Sicherheitskorrekturen.

Über Onapsis

Die Cybersicherheitslösungen von Onapsis automatisieren die Überwachung und den Schutz Ihrer SAP-Anwendungen und sorgen dafür, dass sie konform und vor Bedrohungen von innen und außen geschützt sind. Als bewährter Marktführer vertrauen globale Unternehmen auf Onapsis, wenn es darum geht, die wesentlichen Informationen und Prozesse zu schützen, die ihre Geschäfte betreiben.

Onapsis hat seinen Hauptsitz in Boston, MA und bedient über 200 Kunden, darunter viele der Global 2000. Die Lösungen von Onapsis sind auch der De-facto-Standard für führende Beratungs- und Prüfungsunternehmen wie Accenture, Deloitte, E&Y, IBM, KPMG und PwC.

Zu den Onapsis-Lösungen gehört die Onapsis Security Platform, die am weitesten verbreitete SAP-zertifizierte Cybersicherheitslösung auf dem Markt. Im Gegensatz zu generischen Sicherheitsprodukten bieten die kontextsensitiven Lösungen von Onapsis sowohl präventive Schwachstellen- und Compliance-Kontrollen als auch Echtzeiterkennungs- und Vorfallreaktionsfunktionen, um Risiken für kritische Geschäftsprozesse und Daten zu reduzieren. Durch offene Schnittstellen kann die Plattform in führende SIEM-, GRC- und Netzwerksicherheitsprodukte integriert werden und Unternehmensanwendungen nahtlos in bestehende Schwachstellen-, Risiko- und Incident-Response-Managementprogramme integrieren.

Diese Lösungen werden von den Onapsis Research Labs betrieben, die kontinuierlich führende Informationen zu Sicherheitsbedrohungen liefern, die SAP- und Oracle-Unternehmensanwendungen beeinträchtigen. Experten der
Onapsis Research Labs hielten als erste einen Vortrag über SAP-Cyberangriffe und haben bis heute Hunderte von Sicherheitslücken aufgedeckt und behoben, die SAP Business Suite-, SAP HANA-, SAP Cloud- und SAP Mobile-Anwendungen sowie Oracle JD Edwards und Oracle E betreffen -Business Suite-Plattformen.

Onapsis wurde das US-Patent Nr. 9,009,837 mit dem Titel „Automated Security Assessment of Business-Critical Systems and Applications“ erteilt, das bestimmte Algorithmen und Fähigkeiten hinter der Technologie beschreibt, die die Softwareplattformen Onapsis Security Platform™ und Onapsis X1™ antreibt. Diese patentierte Technologie ist branchenweit anerkannt und hat Onapsis die Auszeichnung als SINET 2015 Innovator 16 eingebracht.

Weitere Informationen finden Sie unter www.onapsis.comoder verbinden Sie sich mit uns auf Twitter, Google+, oder LinkedIn.

Onapsis und Onapsis Research Labs sind eingetragene Marken von Onapsis, Inc. Alle anderen Firmen- oder Produktnamen können eingetragene Marken ihrer jeweiligen Eigentümer sein.