Pressemitteilung
Onapsis stellt Erkennungssignaturen als Open Source zur Verfügung, um SAP-Kunden weltweit beim Schutz vor neuen kritischen Sicherheitslücken namens „10KBLAZE“ zu unterstützen
BOSTON – 2. Mai 2019— Onapsis, der weltweit führende Anbieter von Cyber-Resilience für Unternehmensanwendungen, gab heute die sofortige Veröffentlichung von threat intelligence bekannt threat intelligence SAP-Kunden dabei helfen, kürzlich veröffentlichte Exploits für häufige kritische SAP-Fehlkonfigurationen zu erkennen und darauf zu reagieren. Diese können, wenn sie nicht ordnungsgemäß gesichert sind, von Hacktivisten, Cyberkriminellen und staatlich gestützten Akteuren missbraucht werden, um control vollständige control geschäftskritische Informationen und Prozesse zu erlangen. Der vollständige 10KBLAZE-Bedrohungsbericht und die Open-Source-Signaturen sind hier verfügbar.
Angesichts der hohen Gefährdung durch 10KBLAZE und der Erkenntnisse aus threat intelligence eigenen threat intelligence hat Onapsis beschlossen, Teile seiner Onapsis Security Platform als Open Source zur Verfügung zu stellen Platform Signaturen zur Erkennung von Eindringlingen ab sofort allen SAP-Kunden kostenlos zugänglich zu machen. Darüber hinaus hat Onapsis eine weltweite Reaktion in Abstimmung mit internationalen Regierungsbehörden, globalen SAP-Dienstleistern und führenden Anbietern von Lösungen zur Erkennung von Cyberbedrohungen und zur Reaktion auf Vorfälle koordiniert, um die Erkennung, Überwachung und Behebung der Auswirkungen in betroffenen Unternehmen weltweit zu ermöglichen.
Die Forschungslabore von Onapsis wurden am 23. April auf die Veröffentlichung dieser neuen Exploits aufmerksam. Die Exploits können genutzt werden, um eine kritische Konfigurationslücke in SAP-NetWeaver-Installationen (einschließlich S4/HANA) auszunutzen, die – sofern sie nicht gemäß den Empfehlungen von SAP behoben wird – dazu führen könnte, dass Angreifer das gesamte System kompromittieren, ohne dass sie dafür eine gültige SAP-Benutzer-ID und ein Passwort benötigen.
„Dieses Risiko für SAP-Kunden kann eine Schwachstelle in betroffenen börsennotierten Unternehmen darstellen, die zu wesentlichen Falschangaben im Jahresabschluss des Unternehmens (Formular 10-K) führen kann“, sagte Larry Harrington, ehemaliger Vorstandsvorsitzender des Institute of Internal Auditors (IIA). „Darüber hinaus würde ein Angriff auf diese geschäftskritischen Anwendungen angesichts der jüngsten Leitlinien der SEC zur Offenlegung von Cybersicherheitsrisiken wahrscheinlich eine Offenlegungspflicht nach sich ziehen.“
Auf der Grundlage öffentlich zugänglicher Informationen schätzt Onapsis, dass derzeit mehr als 50.000 Unternehmen und insgesamt 1.000.000 SAP-Systeme die potenziell betroffenen Komponenten einsetzen. Die von Onapsis über einen Zeitraum von mehr als 10 Jahren gesammelten Forschungsergebnisse zeigen, dass fast 90 % dieser Systeme unter den Fehlkonfigurationen leiden, für die nun Exploits öffentlich verfügbar sind.
„SAP hat bereits vor einigen Jahren entsprechende Sicherheitshinweise und Leitfäden veröffentlicht, um Kunden bei der Absicherung dieser kritischen Konfigurationen zu unterstützen. Es liegt in der Verantwortung von Dienstleistern und Kunden, strengere Sicherheitskontrollen auf den Systemen zu implementieren, durchzusetzen und zu überwachen. Dies kann eine große Herausforderung darstellen und erhebliche Ressourcen erfordern, doch steht einfach zu viel auf dem Spiel, um die empfohlenen Konfigurationsänderungen nicht vorzunehmen“, sagte Mariano Nunez, CEO und Mitbegründer von Onapsis, Inc. „Zwar sind Onapsis-Kunden bereits seit mehr als fünf Jahren vor den 10KBLAZE-Exploits geschützt, doch angesichts dieses erhöhten Risikos sehen wir es als unsere Pflicht an, alle SAP-Kunden zu unterstützen, indem wir Erkennungsfunktionen, die ihnen beim Schutz ihrer geschäftskritischen Anwendungen helfen, offen und frei verfügbar machen.“
Onapsis hat einen umfassenden Bedrohungsbericht mit detaillierten Informationen zu den 10KBLAZE-Exploits veröffentlicht, einschließlich Anleitungen zur Überwachung, Erkennung und Abwehr von Sicherheitsrisiken für Unternehmen sowie von Anwendungsschwachstellen, auf die 10KBLAZE abzielt.
Über Onapsis
Onapsis unterstützt Unternehmen dabei, ihre Cyber-Resilienz zu stärken, indem es ihre geschäftskritischen Anwendungen schützt, deren Compliance sicherstellt und sie vor Bedrohungen durch interne und externe Akteure schützt. Unsere patentierten Lösungen dienen dazu, Initiativen zur digitalen Transformation – einschließlich der Umstellung auf die cloud zu beschleunigen cloud indem sie umsetzbare Erkenntnisse, kontinuierliche Überwachung und automatisierte Governance für geschäftskritische Anwendungen Cloud ERP, CRM, PLM, HCM, SCM, BI und Cloud bieten.
Als bewährter Marktführer vertrauen globale Unternehmen auf Onapsis, um ihre SAP- und Oracle E-Business Suite-Anwendungen zu modernisieren und zu stärken und sicherzustellen, dass Sicherheits-, IT-, DevOps- und Compliance-Teams bestmöglich auf die geschäftlichen Anforderungen der Zukunft vorbereitet sind.
Onapsis mit Hauptsitz in Boston, Massachusetts, ist weltweit tätig und betreut mehr als 300 der weltweit führenden Marken und Unternehmen, darunter viele der Global-2000-Unternehmen. Dank unserer einzigartigen strategischen Partnerschaften mit führenden Beratungs- und Wirtschaftsprüfungsgesellschaften wie Accenture, Deloitte, IBM, Infosys, PwC und Verizon haben sich die Lösungen von Onapsis zum De-facto-Standard entwickelt, wenn es darum geht, Unternehmen dabei zu unterstützen, das zu schützen, was wirklich zählt.
Für weitere Informationen folgen Sie uns auf Twitter oder LinkedIn.