Onapsis führt eine Bewertung zur Darstellung von Geschäftsrisiken ein, mit der sich Bedrohungen mit erheblichen Auswirkungen auf geschäftskritische Anwendungen und Systeme aufdecken und priorisieren lassen

BOSTON – 5. Juni 2019 – Onapsis, der Marktführer im Bereich der Cyber-Resilienz von Unternehmensanwendungen, hat heute die branchenweit erste „Business Risk Illustration“-Bewertung für geschäftskritische Anwendungen vorgestellt. Die „Business Risk Illustration“ von Onapsis liefert wertvolle Einblicke in die aktuelle Risikosituation der SAP-Anwendungen, des benutzerdefinierten Codes und der Systeme eines Unternehmens. Die Bewertung misst den Schweregrad von Fehlkonfigurationen und Schwachstellen sowie das damit verbundene Geschäftsrisiko und liefert Führungskräften aus den Bereichen Compliance, IT und Sicherheit quantitative Daten, mit denen sie Geschäfts- und Cyberrisiken gegenüber der Geschäftsleitung und dem Vorstand effektiver kommunizieren können.

Als zentrale betriebswirtschaftliche Informationssysteme vieler Fortune-2000-Unternehmen und -Organisationen weltweit sind SAP®-Plattformen eines der lukrativsten Ziele für Cyberkriminelle und Angreifer. Am 2. Mai 2019 veröffentlichte das US-Heimatschutzministerium eine US-CERT-Warnung zu 10KBLAZE – bereits die dritte Mitteilung innerhalb von weniger als drei Jahren –, in der auf die wachsende Bedrohung für ERP-Anwendungen und -Systeme hingewiesen wurde. Onapsis veröffentlichte einen Bedrohungsbericht zu den 10KBLAZE-Exploits, die zu einer vollständigen Kompromittierung der SAP-Anwendungsinfrastruktur eines Unternehmens und zur Löschung aller Geschäftsdaten führen können, einschließlich der Änderung oder Extraktion wesentlicher, hochsensibler und regulierter Informationen.

Laut Gartner „sind Unternehmensanwendungen wie ERP, CRM und Personalmanagement attraktive Ziele, da finanziell motivierte Angreifer ihre Aufmerksamkeit ‚weiter oben in der Systemhierarchie‘ auf die Anwendungsebene richten.“*

Das Programm „Business Risk Illustration“ bietet Kundenunternehmen Zugang zum Team engagierter Forschungsexperten von Onapsis. Im Rahmen eines softwaregestützten Dienstleistungsansatzes, bei dem der Kunde keine Zugangsdaten bereitstellt, ahmt das Onapsis-Team das Verhalten eines Angreifers nach, identifiziert die Zielsysteme innerhalb des Unternehmensnetzwerks und deckt bestehende Schwachstellen, Schwächen im benutzerdefinierten Code sowie Fehlkonfigurationen auf. Die SAP-Anwendungen und -Systeme des Kunden werden anhand des „Business Application Risk Maturity Model“ von Onapsis bewertet, das die Risikoreife eines Unternehmens auf einer sechsstufigen Skala von „gesund“ bis „hohes Risiko“ einstuft. Die entsprechenden Ergebnisse bieten IT- und Sicherheitsverantwortlichen einen quantitativen, umsetzbaren Rahmen für fundierte Entscheidungen zu SAP-Cybersicherheit, Compliance und cloud .

„Es besteht eine Kluft zwischen den Sicherheitsverantwortlichen, der Geschäftsleitung und dem Vorstand, die darauf zurückzuführen ist, dass es nicht gelingt, die Minderung von Sicherheitsrisiken auf eine für das Unternehmen aussagekräftige Weise zu quantifizieren“, sagte Shane MacDonald, Vice President of Solution Engineering bei Onapsis. „Unsere ‚Business Risk Illustration‘-Analyse liefert den Verantwortlichen in den Bereichen IT, Informationssicherheit und interne Revision quantitative Daten, die aussagekräftige Gespräche darüber ermöglichen, wie Prioritäten cloud Sicherheit, Compliance und cloud gesetzt werden sollten, um geschäftskritische Anwendungen besser zu schützen.“

Die Onapsis Business Risk Illustration bewertet und erfasst Informationen zu Risiken, die SAP-Anwendungen betreffen. Zu den häufigsten Schwachstellen, die bei einer Onapsis-Analyse identifiziert werden, gehören unter anderem:

• 10 Sicherheitslücken im Zusammenhang mit KBLAZE, auf die im US-CERT-Bericht AA19-122A hingewiesen wird; diese betreffen den SAP Message Server und ermöglichen es einem Angreifer, aus der Ferne die gesamte SAP-Anwendung zu kompromittieren
• Eine Sicherheitslücke im Invoker-Servlet, auf die in der US-CERT-Warnung TA16-132A hingewiesen wird und die über einen Webbrowser ausgenutzt werden könnte, um die SAP-Anwendung zu kompromittieren
• Konfigurationsprobleme beim SAP-Gateway, die es einem Angreifer ermöglichen würden, sensible Vorgänge auszuführen und letztendlich auf alle in SAP-Systemen gespeicherten Informationen zuzugreifen
• Sicherheitslücken im benutzerdefinierten Code, den Unternehmen erstellen, um SAP an ihre Geschäftsprozesse anzupassen
• Weitere Sicherheitslücken und Fehlkonfigurationen in verschiedenen SAP-Komponenten, die von unbefugten und nicht authentifizierten Angreifern sowohl erkannt als auch ausgenutzt werden können

Weitere Informationen zum Bewertungsprogramm „Onapsis Business Risk Illustration“ finden Sie unter https://onapsis.com/bri.

*Gartner, „Hype Cycle for Application Security, 2018“, Analyst: Ayal Tirosh, veröffentlicht am 27. Juli 2018, ID: G00340359.

Über Onapsis™
Onapsis unterstützt Unternehmen dabei, ihre Cyber-Resilienz zu stärken, indem es ihre geschäftskritischen Anwendungen schützt, deren Compliance sicherstellt und sie vor Bedrohungen durch interne und externe Akteure schützt. Unsere patentierten Lösungen dienen dazu, Initiativen zur digitalen Transformation – einschließlich der Umstellung auf die cloud zu beschleunigen cloud indem sie umsetzbare Erkenntnisse, kontinuierliche Überwachung und automatisierte Governance für geschäftskritische Anwendungen Cloud ERP, CRM, PLM, HCM, SCM, BI und Cloud bieten.

Als bewährter Marktführer vertrauen globale Unternehmen auf Onapsis, um ihre SAP-Anwendungen zu modernisieren und zu stärken und sicherzustellen, dass Sicherheits-, IT-, DevOps- und Compliance-Teams bestmöglich auf die geschäftlichen Anforderungen der Zukunft vorbereitet sind.

Onapsis mit Hauptsitz in Boston, Massachusetts, ist weltweit tätig und betreut mehr als 300 der weltweit führenden Marken und Unternehmen, darunter viele der Global-2000-Unternehmen. Dank unserer einzigartigen strategischen Partnerschaften mit führenden Beratungs- und Wirtschaftsprüfungsgesellschaften wie Accenture, Deloitte, IBM, Infosys, PwC und Verizon haben sich die Lösungen von Onapsis zum De-facto-Standard entwickelt, wenn es darum geht, Unternehmen dabei zu unterstützen, das zu schützen, was wirklich zählt.

Für weitere Informationen folgen Sie uns auf Twitter oder LinkedIn.

„Onapsis“ und Onapsis Research Labs eingetragene Marken von Onapsis, Inc. Alle anderen Firmen- oder Produktnamen sind möglicherweise eingetragene Marken ihrer jeweiligen Eigentümer.