Pressemitteilung

SANS ordnet die Cybersicherheit bei SAP den zwanzig wichtigsten kritischen Sicherheitskontrollen des CIS für eine wirksame Cyberabwehr zu

26. Mai 2016

Nach den jüngsten Cyberangriffen auf SAP-Systeme ordnet SANS die Cybersicherheit von SAP erstmals der Liste der „Critical Security Controls“ zu

Boston, MA – 26. Mai 2016 – Onapsis, der weltweit führende Experte für die Sicherheit geschäftskritischer Anwendungen, hat heute ein white paper vorgestellt white paper erstmals die Cybersicherheit von SAP den „CIS Critical Security Controls for Effective Cyber Defense“ zugeordnet wird. Angesichts der zunehmenden Zahl von Cyberangriffen auf SAP-Systeme wird Unternehmen dringend empfohlen, ihre SAP-Landschaft als Teil ihrer allgemeinen Sicherheitsstrategie zu schützen.

Die CIS Critical Security Controls sind eine Reihe international anerkannter Standards, die die wichtigsten Maßnahmen zur Cyberhygiene beschreiben, die jede Organisation zum Schutz ihrer IT-Netzwerke umsetzen sollte. Sie genießen in der globalen IT-Community hohes Ansehen, da sie von Cybersicherheitsexperten entwickelt, verfeinert, validiert und aktualisiert werden, die Daten aus einer Vielzahl öffentlicher und privater Bedrohungsquellen beziehen; und sie verändern die Sicherheit in Regierungsbehörden und anderen großen Unternehmen, indem sie die Ausgaben auf die wichtigsten Kontrollen konzentrieren, die bekannte Angriffe blockieren und diejenigen aufspüren, die durchkommen.

„Direkte Angriffe auf ERP-Systeme wie SAP werden immer häufiger bekannt, was die Annahme bestätigt, dass selbst komplexe Anwendungen, die in sicheren Einrichtungen untergebracht sind, spezifischen Schutz benötigen und dass deren Absicherung oberste Priorität haben sollte. Angriffe, die direkt auf komplexe, geschäftskritische Anwendungen abzielen, verursachen enorme Kosten und haben erhebliche Auswirkungen auf das Unternehmen“, so Barbara Filkins, Senior-Analystin bei SANS und Autorin eines white paper die CIS Critical Security Controls mit den Kernpunkten des SAP-Sicherheitsrahmens abgleicht. „Um ein SAP-System zu schützen, sollten Sie zunächst die aktuellen Konfigurationen rückwirkend überprüfen, um sicherzustellen, dass sie mit den neuesten Patches auf dem Stand sind und dass unbefugtes Benutzerverhalten sowie komplexe Bedrohungen kontinuierlich überwacht werden“, sagte Barbara Filkins, Senior SANS Analystin am SANS Institute.

Das SANS-Papier, in dem die CIS-Kontrollen für eine wirksame Cyberabwehr auf das Cybersicherheits-Framework von SAP abgebildet werden, skizziert einen schrittweisen Ansatz, mit dem Unternehmen ihre SAP-Implementierungen absichern können. Dieser Ansatz ist weitgehend anwendungsorientiert, sieht jedoch auch Netzwerkeinschränkungen für zugrunde liegende Netzwerkgeräte und Firewalls vor und schließt darüber hinaus Sicherheitslücken durch betriebliche Verfahren und Schulungen. Der vierstufige Ansatz zur Anwendung der kritischen Sicherheitskontrollen des CIS lautet wie folgt:

Schritt 1: Unternehmensprozesse anpassen ( Control: 1, 2, 3, 4, 5, 6, 10, 13, 14, 16)
Schritt 2: Sichern der Landschaft ( Control: 3, 7, 9, 10, 11, 12, 18)
Schritt 3: Konfigurieren Sie die technischen Kontrollmaßnahmen (CIS Control: 2, 3, 4, 5, 6, 8, 13, 14, 16)
Schritt 4: Erstellen des Rahmens für menschliches Handeln ( Control: 17, 19, 20)

„Die formelle Anerkennung der SAP-Cybersicherheit als control Unternehmen ist ein wichtiger Meilenstein bei der Sensibilisierung für den Markt der geschäftskritischen Anwendungssicherheit. Für viele Unternehmen ist dies nach wie vor ein blinder Fleck, da sie oft davon ausgehen, dass ihre SAP-Daten – oder „Kronjuwelen“ – durch herkömmliche Sicherheitsmethoden oder das SAP-Administrationsteam geschützt sind. Die jüngste Warnung des US-CERT hat uns jedoch gezeigt, auf welche sehr realen Wege Angreifer auf diese Anwendungen zugreifen und welche Schwachstellen sie dafür ausnutzen. Die Zuordnung der SAP-Cybersicherheit zu den CIS Critical Security Controls wird Unternehmen helfen, besser zu verstehen, warum SAP in die allgemeine Sicherheitsstrategie einbezogen werden muss, und bietet Schritte auf, wie dies am besten zu bewerkstelligen ist“, sagte Juan Pablo Perez-Etchegoyen, CTO bei Onapsis.

Um den „Leitfaden für Control : Sicherung der SAP-Landschaft“ herunterzuladen, besuchen Sie bitte: control.

Am 2. Juni veranstalten SANS und Onapsis einen Webcast mit dem Titel „Ein Leitfaden zur Absicherung von SAP-Anwendungen unter Verwendung der CIS-Kontrollen als Orientierung“, um dieses Thema weiter zu erörtern. Weitere Informationen sowie die Möglichkeit zur Anmeldung finden Sie unter: https://www.sans.org/webcasts/blueprint-secure-sap-applications-cis-controls-guide-102012.

Onapsis veranstaltet am 26. Mai 2016 um 12:30 Uhr EST im Wilson Ballroom im Rahmen des SANS Security Operations Center Summit in Crystal City, Virginia, ein „Lunch & Learn“. Weitere Informationen finden Sie unter: https://www.sans.org/event-downloads/43422/agenda.pdf.

Über SANS

Das SANS Institute wurde 1989 als kooperative Forschungs- und Bildungsorganisation gegründet. Seine Programme erreichen mittlerweile mehr als 165.000 Sicherheitsexperten weltweit. Eine Vielzahl von Fachleuten – von Auditoren und Netzwerkadministratoren bis hin zu Chief Information Security Officers – tauschen ihre Erfahrungen aus und finden gemeinsam Lösungen für die Herausforderungen, denen sie gegenüberstehen. Das Herzstück von SANS bilden die vielen Sicherheitsexperten in verschiedenen globalen Organisationen, von Unternehmen bis hin zu Universitäten, die zusammenarbeiten, um der gesamten Informationssicherheits-Community zu helfen.

SANS ist weltweit die renommierteste und mit Abstand größte Quelle für Schulungen und Zertifizierungen im Bereich Informationssicherheit. Darüber hinaus entwickelt, pflegt und stellt SANS kostenlos die größte Sammlung von Forschungsdokumenten zu verschiedenen Aspekten der Informationssicherheit zur Verfügung und betreibt das Frühwarnsystem des Internets – das Internet Storm Center.

Über Onapsis

Onapsis bietet die umfassendsten Lösungen für die Absicherung von SAP- und Oracle-Unternehmensanwendungen. Als führender Experte für Cybersicherheit bei SAP und Oracle ermöglichen die patentierten Lösungen von Onapsis Sicherheits- und Audit-Teams Transparenz, Vertrauen und control komplexe Bedrohungen, Cyberrisiken und Compliance-Lücken, die ihre Unternehmensanwendungen betreffen.

Onapsis mit Hauptsitz in Boston, Massachusetts, betreut über 200 Kunden, darunter viele der Global-2000-Unternehmen. Die Lösungen von Onapsis gelten zudem als De-facto-Standard für führende Beratungs- und Wirtschaftsprüfungsgesellschaften wie Accenture, Deloitte, E&Y, IBM, KPMG und PwC.

Zu den Lösungen von Onapsis gehört die Onapsis Security Platform, die marktweit am häufigsten eingesetzte SAP-zertifizierte Cybersicherheitslösung. Im Gegensatz zu generischen Sicherheitsprodukten bieten die kontextbezogenen Lösungen von Onapsis sowohl präventive Maßnahmen zur Schwachstellen- und Compliance-Kontrolle als auch Funktionen zur Echtzeit-Erkennung und Incident Response, um Risiken für kritische Geschäftsprozesse und Daten zu minimieren. Über offene Schnittstellen platform sich die platform in führende SIEM-, GRC- und Netzwerksicherheitsprodukte integrieren und bindet Unternehmensanwendungen nahtlos in bestehende Programme zum Schwachstellen-, Risiko- und Vorfallmanagement ein.

Diese Lösungen basieren auf den Erkenntnissen Onapsis Research Labs kontinuierlich führende Informationen zu Sicherheitsbedrohungen für SAP- und Oracle-Unternehmensanwendungen bereitstellen. Die Experten der Onapsis Research Labs die ersten, die Vorträge über Cyberangriffe auf SAP-Systeme hielten, und haben bis heute Hunderte von Sicherheitslücken aufgedeckt und bei deren Behebung mitgewirkt, die SAP Business Suite, SAP HANA, SAP Cloud SAP Mobile-Anwendungen sowie die Plattformen Oracle JD Edwards und Oracle E-Business Suite betrafen.

Onapsis wurde das US-Patent Nr. 9.009.837 mit dem Titel „Automated Security Assessment of Business-Critical Systems and Applications“ erteilt, das bestimmte Algorithmen und Funktionen beschreibt, die der Technologie zugrunde liegen, auf der die Softwareplattformen Onapsis Security Platform™ und Onapsis X1™ basieren. Diese patentierte Technologie ist branchenweit anerkannt und hat Onapsis die Auszeichnung als „SINET 16 Innovator 2015“ eingebracht.

Weitere Informationen finden Sie unter www.onapsis.com oder folgen Sie uns auf Twitter, Google+ oder LinkedIn.

„Onapsis“ und Onapsis Research Labs eingetragene Marken von Onapsis, Inc. Alle anderen Firmen- oder Produktnamen sind möglicherweise eingetragene Marken ihrer jeweiligen Eigentümer.

Zurück zu den Pressemitteilungen

SAP-Sicherheits- und Compliance-Bewertung

Sichern Sie Ihre Zukunft: Vorbereitung auf eine erfolgreiche SAP-RISE-Transformation

Cyberangriff auf SAP gefährdet globalen Hersteller

Hacking und Verteidigung von SAP-Anwendungen – Live

10 Gründe, warum sich immer mehr Unternehmen für Onapsis entscheiden

SANS ordnet die Cybersicherheit bei SAP den zwanzig wichtigsten kritischen Sicherheitskontrollen des CIS für eine wirksame Cyberabwehr zu

Weiterführende Literatur

Onapsis stellt branchenweit einzigartige Funktionen vor, die agentenbasierte KI-Workflows für die SAP-Cybersicherheit ermöglichen

Der CEO von Onapsis tritt gemeinsam mit führenden Branchenvertretern auf der Hauptbühne der SAPinsider Las Vegas 2026 auf

Onapsis stärkt seine Führungsposition im Bereich Markteinführung, um das weltweite Wachstum und die partnergestützte Expansion voranzutreiben

SAP-Sicherheits- und Compliance-Bewertung

Sichern Sie Ihre Zukunft: Vorbereitung auf eine erfolgreiche SAP-RISE-Transformation

Cyberangriff auf SAP gefährdet globalen Hersteller

Hacking und Verteidigung von SAP-Anwendungen – Live

10 Gründe, warum sich immer mehr Unternehmen für Onapsis entscheiden