Eine Studie des Ponemon-Instituts zeigt, dass Führungskräfte das Risiko von Cyberangriffen auf SAP-Systeme erheblich unterschätzen

Die Ergebnisse der Studie zeigen, dass zwischen der Risikowahrnehmung von Führungskräften und der von Sicherheitsexperten hinsichtlich der Vorbereitung auf solche Angriffe und ihrer potenziellen Auswirkungen eine Kluft besteht.

Paris, 24. Februar 2016 Das Ponemon Institute präsentiert heute die Ergebnisse der ersten Branchenstudie zur Cybersicherheit von SAP-Anwendungen , die von Onapsis gesponsert wurde. Mehr als die Hälfte der befragten Unternehmen, nämlich 56 %, hält es für möglich, dass ihr Unternehmen aufgrund unsicherer SAP-Anwendungen Opfer eines Datenlecks wird. Dieselbe Gruppe von Teilnehmern gibt an, dass die SAP-Plattform ihres Unternehmens in den letzten 24 Monaten durchschnittlich zweimal angegriffen wurde, doch 63 % weisen darauf hin, dass Führungskräfte dazu neigen, das Risiko durch ungesicherte SAP-Anwendungen zu unterschätzen – Systeme, die die für Global-2000-Unternehmen strategisch wichtigsten Anwendungen und Daten hosten.

Dieser Wahrnehmungsunterschied wird dadurch verstärkt, dass Unternehmen nur einen begrenzten Einblick in die Sicherheit ihrer SAP-Anwendungen haben und möglicherweise nicht über das erforderliche Fachwissen verfügen, um Cyberangriffe zu verhindern, zu erkennen und schnell darauf zu reagieren – ein Problem, das für 60 % der Befragten katastrophale oder sehr schwerwiegende Folgen haben könnte, und das bei einem Ausfall der Systeme durchschnittlich 4,5 Millionen Dollar kosten könnte.

„Eine der größten Überraschungen dieser Studie ist die Zunahme stiller Angriffe auf Unternehmen. Sie sind schwer zu erkennen und können erhebliche Auswirkungen auf den Geschäftsbetrieb oder die Wirtschaft insgesamt haben“, erklärt Larry Ponemon, Präsident und Gründer des Ponemon-Instituts. „Beunruhigend ist, dass die Daten der Studie darauf hindeuten, dass Angriffe auf SAP-Anwendungen zunehmen könnten, es jedoch kein spezielles Team oder keine spezielle Stelle gibt, die sich darum kümmert. Es scheint, als falle die SAP-Cybersicherheit weder in den Zuständigkeitsbereich der für die SAP-Sicherheit zuständigen Teams noch in den der Verantwortlichen für die Informationssicherheit. Es ist wichtig, dass sie sich mobilisieren, um diese Lücke zu schließen und sie zu einer Priorität zu machen.“

Die Daten der Studie zeigen, dass Führungskräfte sich der Bedeutung von SAP-Systemen für die Unternehmensleistung bewusst sind, jedoch die damit verbundenen Cybersicherheitsrisiken unterschätzen: 76 % der Befragten geben an, dass ihre Führungskräfte die Bedeutung und die kritische Rolle der SAP-Anwendungen verstehen.

Mit mehr als 600 befragten Fachleuten ist die Studie mit dem Titel „Uncovering the Risks of SAP Cyber Breaches“ die erste groß angelegte Untersuchung, die von IT- und Informationssicherheitsexperten durchgeführt wurde, die für den Schutz der SAP-Systeme zuständig sind, in denen die sensibelsten Daten ihres Unternehmens gespeichert sind. „Während die Akteure der Branche allmählich die potenziellen Auswirkungen einer Datenpanne oder eines Cyberangriffs auf ihr SAP-System im Hinblick auf den Wert der Daten, die verloren gehen könnten, zu begreifen beginnen, vergrößert sich die Angriffsfläche rapide – durch neue Technologien wie das Internet cloud, Mobilgeräte und cloud, erklärt Mariano Nunez, CEO von Onapsis. „Die klare Festlegung von Verantwortlichkeiten und der Einsatz von Tools von Drittanbietern zur Integration der Teams, die Etablierung von Prozessen sowie die Operationalisierung der Prävention und Erkennung von SAP-Schwachstellen sind allesamt Prioritäten, wenn man weitreichende wirtschaftliche Auswirkungen verhindern will.“

Weitere wichtige Informationen:

• Können SAP-Plattformen Schadsoftware enthalten?75 % der Befragten halten es für sehr wahrscheinlich (33 %) oder wahrscheinlich (42 %), dass SAP-Plattformen mit einer oder mehreren Schadprogrammen infiziert sind.
• Wie lange dauert es, einen Angriff zu erkennen? Niemand glaubt wirklich, dass ein Angriff auf eine SAP-Plattform sofort oder innerhalb einer Woche entdeckt werden kann. Tatsächlich sind fast 100 % der Teilnehmer der Meinung, dass es unmöglich ist, einen Angriff auf ein SAP-System sofort zu entdecken. Und selbst ein Jahr später halten es 78 % der Teilnehmer für unmöglich, einen Angriff auf ein SAP-System zu entdecken.
• Wer ist für die SAP-Sicherheit verantwortlich? 54 % der befragten Teilnehmer sind der Meinung, dass es Aufgabe von SAP und nicht ihres Unternehmens ist, die Sicherheit der SAP-Anwendungen und -Plattformen zu gewährleisten. Intern ist das SAP-Sicherheitsteam selten für die Sicherheit der SAP-Systeme verantwortlich: 25 % der Befragten geben an, dass es in ihrem Unternehmen keine Stelle gibt, die für die Sicherheit der SAP-Anwendungen zuständig ist, 21 % geben an, dass diese Aufgabe von der IT-Infrastruktur übernommen wird, 19 % vom SAP-Sicherheitsteam und 18 % von der Informationssicherheitsabteilung.
• Wer wird im Falle einer Datenpanne im Zusammenhang mit dem SAP-System zur Verantwortung gezogen? 30 % der Befragten sind der Meinung, dass niemand beschuldigt werden sollte, wenn ihr Unternehmen Opfer eines SAP-Angriffs wird. An zweiter Stelle folgen diejenigen, die den IT-Leiter dafür verantwortlich machen (26 % der Befragten), gefolgt von denjenigen, die den Datenschutzbeauftragten dafür verantwortlich machen (18 % der Befragten).
• Welche Auswirkungen haben das Internet der Dinge und andere neue Technologien? 59 % der Befragten sind der Meinung, dass neue Technologien und Trends wie cloud, Mobilgeräte, Big Data und das Internet der Dinge die Angriffsfläche ihrer SAP-Anwendungen vergrößern.
• Welche Maßnahmen können Unternehmen ergreifen, um ihren Ansatz zur SAP-Cybersicherheit zu verbessern? 73 % der Befragten sind der Ansicht, dass Kenntnisse über die neuesten Bedrohungen und Schwachstellen bei SAP-Anwendungen die Fähigkeit ihres Unternehmens verbessern, Risiken im Bereich der SAP-Cybersicherheit zu bewältigen. Bestimmte Vorgehensweisen sind ebenfalls unerlässlich, um die Sicherheit zu gewährleisten. Der vollständige Bericht ist hier verfügbar:
  • 83 % der Befragten halten es für entscheidend, Zero-Day-Schwachstellen in SAP-Anwendungen erkennen zu können.
  • 81 % nennen die Fähigkeit, Bedrohungen für SAP-Anwendungen danach zu priorisieren, wann mit Angriffen zu rechnen ist.
  • 81 % halten es für wichtig, eine kontinuierliche Überwachung sicherzustellen, um die Sicherheit der SAP-Anwendungen zu gewährleisten.

Der vollständige Bericht ist hier verfügbar: https://onapsis.com/ponemon-report.

Am Donnerstag, den 24. März, veranstalten Onapsis und das Ponemon Institute einen Webcast, um die Ergebnisse der Studie zu diskutieren. Anmeldung unter: www.onapsis.com, oder folgen Sie Onapsis auf Twitter, Google+ oder LinkedIn.

Onapsis und Onapsis Research Labs eingetragene Marken von Onapsis, Inc. Alle anderen Firmen- oder Produktnamen sind möglicherweise eingetragene Marken ihrer jeweiligen Eigentümer.