Pressemitteilung

Studie des Ponemon Institute zeigt: Das Risiko von Cyberangriffen auf SAP-Systeme wird von der Unternehmensleitung massiv unterschätzt

24. Februar 2016

Umfragedaten zeigen, dass zwischen der Unternehmensleitung und den Sicherheitsexperten unterschiedliche Auffassungen hinsichtlich der aktuellen Vorsorge und der möglichen Auswirkungen von Sicherheitsverletzungen bestehen

TRAVERSE CITY, Michigan, und BOSTON, Massachusetts, 24. Februar 2016 – Das Ponemon Institute hat heute die Ergebnisse der branchenweit ersten, von Onapsis gesponserten Umfrage zur SAP-Cybersicherheit veröffentlicht. Daraus geht hervor, dass mehr als die Hälfte der befragten Unternehmen – nämlich 56 Prozent – davon ausgeht, dass es in ihrem Unternehmen aufgrund unsicherer SAP-Anwendungen wahrscheinlich zu einer Datenpanne kommen wird. Dieselbe Gruppe gibt an, dass platform ihres Unternehmens in den letzten 24 Monaten durchschnittlich zweimal angegriffen platform . Dennoch geben 63 Prozent an, dass Führungskräfte auf C-Level dazu neigen, die Risiken zu unterschätzen, die mit unsicheren SAP-Anwendungen verbunden sind – den Systemen, die die kritischsten Geschäftsabläufe und Daten für Global-2000-Unternehmen verwalten.

Diese Wahrnehmungslücke wird durch den begrenzten Einblick verstärkt, den Unternehmen in die Sicherheit von SAP-Anwendungen haben, und viele verfügen nicht über das erforderliche Fachwissen, um Cyberangriffe schnell zu verhindern, zu erkennen und darauf zu reagieren – ein Problem, das laut 60 Prozent der Befragten katastrophale oder sehr schwerwiegende Folgen hätte und bei einem Ausfall der Systeme durchschnittliche Kosten in Höhe von 4,5 Millionen US-Dollar verursachen könnte.

„Eine der größten Überraschungen dieser Studie ist die Zunahme stiller Sicherheitsverletzungen, von denen Unternehmen zunehmend betroffen sind. Diese sind schwer zu erkennen und haben erhebliche Auswirkungen auf die Wirtschaft und die Gesamtwirtschaft“, sagte Dr. Larry Ponemon, Vorsitzender und Gründer des Ponemon Institute. „Besorgniserregend ist, dass die Umfragedaten zwar darauf hindeuten, dass SAP-Sicherheitsverletzungen voraussichtlich zunehmen werden, es jedoch keine einzelne Gruppe oder Funktion gibt, die dafür am meisten verantwortlich ist. Es scheint, als falle die SAP-Cybersicherheit durch die Lücken zwischen den SAP-Sicherheitsteams und den InfoSec-Teams, die nun aktiv werden müssen, um diese Lücke zu schließen und ihr Priorität einzuräumen.“

Die Umfragedaten zeigen, dass die Unternehmensleitung zwar die Bedeutung von SAP für den Gewinn anerkennt, dessen Cybersicherheitsrisiken jedoch außer Acht lässt: 76 Prozent der Befragten geben an, dass ihre Unternehmensleitung die Bedeutung und die entscheidende Rolle von SAP-Installationen für die Rentabilität versteht. Allerdings sagen nur 21 Prozent der Befragten, dass ihre Führungskräfte die Cybersicherheitsrisiken von SAP erkennen.

Mit über 600 qualifizierten Befragten ist die Studie mit dem Titel „Uncovering the Risks of SAP Cyber Breaches“ die erste umfassende Untersuchung unter IT- und Informationssicherheitsfachleuten, deren Aufgabe es ist, die SAP-Systeme zu schützen, in denen die wertvollsten Daten ihrer Unternehmen gespeichert sind.

„Während die Branche allmählich begreift, welche Auswirkungen der Verlust von Daten aus ihrem SAP-System aufgrund einer Datenpanne oder eines Cyberangriffs auf den Wert dieser Daten haben könnte, vergrößert sich die Angriffsfläche durch neue Technologien wie das Internet der Dinge, Mobilgeräte und cloud rasant“, sagte Mariano Nunez, CEO von Onapsis. „Eine klare Abgrenzung der Verantwortlichkeiten und der Einsatz von Tools von Drittanbietern zur Integration von Teams, zur Etablierung von Prozessen und zur Operationalisierung der Prävention und Erkennung von SAP-Schwachstellen werden zu einer Priorität, um erhebliche wirtschaftliche Auswirkungen zu vermeiden.“

Weitere wichtige Erkenntnisse sind:

  • Ist es wahrscheinlich, dass SAP-Plattformen Malware enthalten? 75 Prozent der Befragten geben an, dass es sehr wahrscheinlich (33 Prozent) oder wahrscheinlich (42 Prozent) ist, dass SAP-Plattformen eine oder mehrere Malware-Infektionen aufweisen.
  • Wie lange würde es dauern, einen Sicherheitsverstoß zu erkennen? Es besteht kaum Zuversicht, dass ein Sicherheitsverstoß im Zusammenhang mit der platform sofort oder innerhalb einer Woche entdeckt platform . Tatsächlich waren fast 100 Prozent der Teilnehmer der Meinung, dass sie einen SAP-Sicherheitsverstoß nicht sofort erkennen könnten. Selbst ein Jahr später waren 78 Prozent der Befragten der Ansicht, dass sie einen SAP-Sicherheitsverstoß nicht erkennen könnten.
  • Wer ist für die SAP-Sicherheit verantwortlich? Die Befragten sind der Ansicht, dass es in der Verantwortung von SAP und nicht ihres Unternehmens liegt, die Sicherheit der Anwendungen und platform zu gewährleisten – dies geben 54 Prozent der Befragten an. Intern ist das SAP-Sicherheitsteam selten für die Sicherheit der SAP-Systeme verantwortlich: 25 Prozent der Befragten geben an, dass in ihren Unternehmen keine einzelne Funktion die Hauptverantwortung für die SAP-Sicherheit trägt, gefolgt von der IT-Infrastruktur (21 Prozent), dem SAP-Sicherheitsteam (19 Prozent) und der Informationssicherheit (18 Prozent).
  • Wer würde die Schuld tragen, wenn es zu einer Datenpanne im Zusammenhang mit dem SAP-System käme? 30 Prozent der Befragten geben an, dass niemand die Hauptverantwortung trüge, sollte es in ihrem Unternehmen zu einer SAP-Datenpanne kommen; an zweiter Stelle folgen der CIO (26 Prozent der Befragten) und der CISO (18 Prozent der Befragten).
  • Welche Auswirkungen haben das Internet der Dinge und andere neue Technologien? 59 Prozent der Befragten sind der Meinung, dass neue Technologien und Trends wie cloud, Mobilgeräte, Big Data und das Internet der Dinge die Angriffsfläche ihrer SAP-Anwendungen vergrößern.
  • Was können Unternehmen tun, um ihre Cybersicherheit im SAP-Umfeld zu verbessern? 73 Prozent der Befragten geben an, dass Kenntnisse über die neuesten Bedrohungen und Schwachstellen bei SAP-Anwendungen die Fähigkeit ihres Unternehmens verbessern, Cybersicherheitsrisiken zu bewältigen. Bestimmte Vorgehensweisen sind zudem von großer Bedeutung für die Gewährleistung der Sicherheit in der SAP-Infrastruktur:
    • 83 Prozent der Befragten geben an, dass es sehr wichtig ist, Zero-Day-Schwachstellen in SAP-Anwendungen erkennen zu können.
    • 81 Prozent geben an, dass die Möglichkeit besteht, Bedrohungen für SAP-Anwendungen danach zu priorisieren, wann ein Angriff wahrscheinlich erfolgreich sein wird.
    • 81 Prozent geben an, dass eine kontinuierliche Überwachung sehr wichtig ist, um die Sicherheit von SAP-Anwendungen zu gewährleisten.

Der vollständige Bericht steht hier zum Download bereit: https://onapsis.com/ponemon-report.

Am Donnerstag, dem 24. März, veranstalten Onapsis und das Ponemon Institute einen Webcast, um die Ergebnisse der Studie näher zu erörtern. Zur Anmeldung besuchen Sie bitte: https://onapsis.com/news-and-events/webcasts/uncovering-the-risk-of-SAP-cyber-breaches.

Über das Ponemon Institute

Das Ponemon Institute© hat es sich zur Aufgabe gemacht, verantwortungsbewusste Praktiken im Bereich Informations- und Datenschutzmanagement in Wirtschaft und Verwaltung zu fördern. Um dieses Ziel zu erreichen, führt das Institut unabhängige Forschungsarbeiten durch, schult Führungskräfte aus dem privaten und öffentlichen Sektor und überprüft die Datenschutzpraktiken von Organisationen in verschiedenen Branchen.

xxx

Über Onapsis

Onapsis bietet die umfassendsten Lösungen für die Absicherung geschäftskritischer SAP- und Oracle-Anwendungen. Als führender Experte für Cybersicherheit bei SAP und Oracle ermöglicht Onapsis Sicherheits- und Audit-Teams Transparenz, Vertrauen und control komplexe Bedrohungen, Cyberrisiken und Compliance-Lücken, die ihre Unternehmensanwendungen betreffen.

Onapsis mit Hauptsitz in Boston betreut über 200 Global-2000-Kunden, darunter 10 der führenden Einzelhandelsunternehmen, 20 der führenden Energieunternehmen und 20 der führenden Hersteller. Die Lösungen von Onapsis sind zudem der De-facto-Standard für führende Beratungs- und Wirtschaftsprüfungsgesellschaften wie Accenture, IBM, Deloitte, E&Y, KPMG und PwC.

Zu den Lösungen von Onapsis gehört die Onapsis Security Platform OSP), die am häufigsten eingesetzte SAP-zertifizierte Cybersicherheitslösung auf dem Markt. Im Gegensatz zu generischen Sicherheitsprodukten bieten die kontextbezogenen Lösungen von Onapsis präventive Maßnahmen zur Schwachstellen- und Compliance-Kontrolle sowie Funktionen zur Erkennung in Echtzeit und zur Reaktion auf Vorfälle, um Risiken für kritische Geschäftsprozesse und Daten zu minimieren. Über offene Schnittstellen platform sich die platform in führende SIEM-, GRC- und Netzwerksicherheitsprodukte integrieren und bindet Unternehmensanwendungen nahtlos in bestehende Programme zum Schwachstellen-, Risiko- und Vorfallmanagement ein.

Diese Lösungen basieren auf den Onapsis Research Labs™, die kontinuierlich führende Erkenntnisse zu Sicherheitsbedrohungen für SAP- und Oracle-Unternehmensanwendungen liefern. Die Experten der Onapsis Research Labs die ersten, die Vorträge über Cyberangriffe auf SAP-Systeme hielten, und haben bis heute Hunderte von Sicherheitslücken aufgedeckt und bei deren Behebung mitgewirkt, die SAP Business Suite, SAP HANA, SAP Cloud SAP Mobile-Anwendungen sowie die Plattformen Oracle JD Edwards und Oracle E-Business Suite betrafen.

Weitere Informationen finden Sie unter www.onapsis.com oder folgen Sie uns auf Twitter, Google+ oder LinkedIn.

„Onapsis“ und Onapsis Research Labs eingetragene Marken von Onapsis, Inc. Alle anderen Firmen- oder Produktnamen sind möglicherweise eingetragene Marken ihrer jeweiligen Eigentümer.

Zurück zu den Pressemitteilungen

Weiterführende Literatur