C-Level-Management unterschätzt das Gefahrenpotenzial von SAP CyberAngriffen

Neue Ponemon-Studie zeigt: Geschäftsführung und IT-Sicherheitsverantwortliche bewerten Fähigkeit zur Abwehr von Bedrohungen und deren potenzielle Auswirkungen sehr unterschiedlich.

München/Boston, 24.2.2016 Ponemon Institute ,Das Ponemon Institut hat die Ergebnisse der industrieweit ersten, von Onapsis gesponserten Studie zum Thema SAP Cyber-Security vorgestellt. Sie zeigt, dass mehr als die Hälfte der befragten Unternehmen, nämlich 56 Prozent, einen Datenverlust aufgrund unsicherer SAP-Applikationen für möglich hält. Dieselbe Gruppe gibt an, dass ihre SAPPlattform innerhalb der letzten 24 Monate durchschnittlich zweimal angegriffen wurde. 63 Prozent berichten, dass Mitglieder der Geschäftsführung die mit unsicheren SAP-Anwendungen einhergehenden Risiken unterschätzen. Brisant: Weltweit verarbeiten SAP-Systeme geschäftskritische Daten und Prozesse der Global 2000-Konzerne.

Diese stark unterschiedliche Wahrnehmung wird durch die eingeschränkte Transparenz der Security von SAP-Applikationen gefördert. Viele Verantwortliche haben zudem nicht die notwendige Expertise, um Cyber-Angriffen vorzubeugen, diese zu erkennen oder geeignete Abwehrmaßnahmen zu ergreifen. Die Auswirkung solcher Cyberangriffe bezeichnen 60 Prozent der Antwortenden als katastrophal oder sehr ernst. Ein Angriff kann zu einem Schaden von durchschnittlich 4,5 Mio. Dollar führen, sollten die Systeme abgeschaltet werden müssen.

"Eine der größten Überraschungen dieser Studie ist die zunehmende Flut an Cyber-Angriffen, die Unternehmen treffen und die schwierig zu entdecken sind. Sie fügen den Unternehmen und der Wirtschaft materiellen Schaden zu," sagt Dr. Larry Ponemon, Chairman und Gründer des Ponemon Instituts. "Die Untersuchungsergebnisse zeigen, dass Angriffe auf SAP-Systeme zunehmen, es aber keine klar geregelten Zuständigkeiten in Bezug auf bestimmte Gruppen oder Positionen gibt. Das ist sehr beunruhigend. Es scheint, als ob die SAP-CyberSecurity genau in eine Zuständigkeitslücke zwischen SAP-Sicherheitsteams und Verantwortlichen für die Informationssicherheit fällt. Diese müssen diese Verantwortungslücke priorisieren und schließen."

Der Bericht zeigt, dass leitende Angestellte SAP zwar als geschäftskritisch einstufen, aber die Gefahren von zielgerichteten Cyber-Bedrohungen ignorieren: 76 Prozent der Antwortenden geben an, dass Mitarbeiter in Führungspositionen die geschäftskritische Bedeutung der SAP-Systeme für die Profitabilität des Unternehmens verstehen. Zugleich sagen aber nur 21 Prozent der Befragten, dass ihr Führungspersonal die Risiken der SAP-Cyber-Security wahrnimmt.

Mit über 600 qualifizierten Antwortenden ist der Bericht mit dem Titel "Uncovering the Risks of SAP Cyber Breaches" die erste tiefgehende Untersuchung, die IT- und Informations-Sicherheitsexperten befragte, die mit dem Schutz von SAPSystemen, den Kronjuwelen der Unternehmen, beauftragt sind.

"Unternehmen können durch das Kompromittieren ihres SAP-Systems aufgrund eines Datenlecks oder einer Cyber-Attacke sehr wertvolle Daten verlieren. Die Industrie beginnt, die möglichen Auswirkungen zu verstehen. Gleichzeitig dehnt sich die Angriffsfläche immer schneller aus, etwa durch neue Technologien wie dem Internet der Dinge, Mobile und Cloud," sagt Mariano Nunez, CEO von Onapsis. "Klar zugewiesene Zuständigkeiten und der Einsatz von DrittanbieterTools zum Integrieren von Teams, Etablieren von Prozessen und Betreiben der nötigen Maßnahmen für eine sichere Prävention und das Erkennen von SAPSchwachstellen werden immer wichtiger, um gravierende wirtschaftliche Auswirkungen zu vermeiden."

Die Studie liefert weitere wichtige Erkenntnisse:

  • Können SAP-Plattformen Malware enthalten?75 % 75 Prozent der Antwortenden geben an, das bei SAP-Plattformen sehr wahrscheinlich (33 Prozent) oder wahrscheinlich (42 Prozent) eine oder mehrere Malware-Infektionen vorliegen.
  • Wie lange dauert das Erkennen eines Datenlecks? Kaum einer der Befragten vertraut darauf, dass eine die SAP-Plattform betreffende Schwachstelle sofort oder innerhalb einer Woche aufgespürt wird. Fast 100 Prozent der Teilnehmer sind überzeugt, dass sie eine SAPSchwachstelle nicht sofort erkennen können. 78 Prozent geben an, dass eine SAP-Schwachstelle selbst nach einem Jahr noch nicht entdeckt wurde.
  • Wer ist für SAP-Sicherheit verantwortlich? 54 Prozent der Studienteilnehmer finden, dass es Aufgabe von SAP ist, die Integrität seiner Applikationen und Plattformen sicherzustellen – und nicht die Aufgabe ihres eigenen Unternehmens. Innerhalb ihrer Organisation gilt das SAP-Security-Team als verantwortlich für die Sicherheit der SAPSysteme: 25 Prozent der Antwortenden geben an, dass niemand für die SAP-Sicherheit in ihrer Organisation hauptverantwortlich zuständig ist, gefolgt vom IT Infrastrukturteam (21 Prozent), SAP-Security-Team (19 Prozent) und Informations-Sicherheitsteam (18 Prozent).
  • Wer wird verantwortlich gemacht, falls ein Datenleck auftritt, bei dem das SAP-System involviert ist? 30 Prozent der Teilnehmer, die auf diese Frage geantwortet haben, geben an, dass niemand hauptverantwortlich ist, falls das SAP-System ihres Unternehmens erfolgreich angegriffen wird. 26 Prozent halten den CIO für hauptverantwortlich, 18 Prozent den CISO.
  • Wie wirken sich das Internet der Dinge (IoT) und andere neue Technologien aus? 59 Prozent der Antwortenden geben an, dass neue Technologien und Trends wie Cloud, Mobile, Big Data und das Internet der Dinge die Angriffsfläche ihrer SAP-Anwendungen vergrößern.
  • Was können Unternehmen und Organisationen tun, um ihre SAPSicherheit zu verbessern? 73 Prozent der antwortenden Teilnehmer halten das Wissen um die neuesten Bedrohungen und SAP-betreffenden Schwachstellen für wichtig, um die Fähigkeit ihres Unternehmens zum Managen von Cyber-Gefahren zu verbessern. Zu den wichtigsten Maßnahmen zur Verbesserung der Sicherheit der SAP-Infrastruktur zählen:
    • 83 Prozent der antwortenden Teilnehmer halten die Fähigkeit für sehr wichtig, Zero-Day-Schwachstellen in SAP-Applikationen zu erkennen.
    • 81 Prozent werten die Fähigkeit sehr hoch, Bedrohungen von SAP-Anwendungen basierend auf ihrem voraussichtlichen Erfolg zu priorisieren.
    • 81 Prozent halten eine kontinuierliche Überwachung der Infrastruktur für sehr wichtig, um sicherzustellen, dass SAPApplikationen sicher sind.

Der vollständige Report unter diesem Link: https://www.onapsis.com/ponemon-report.

Am Donnerstag, den 24. März 2016 werden in einem Onapsis-Webcast die Studienergebnisse weiter erläutert. Registrierung unter: www.onapsis.com, sowie über Twitter, Google+ oder LinkedIn erhältlich..

Onapsis und Onapsis Research Labs sind eingetragene Markenzeichen von, Onapsis Inc. Alle anderen genannten Unternehmen und Produkte sind möglicherweise eingetragene Markenzeichen ihrer jeweiligen Eigentümer.

Request a
Business Risk Illustration

OPERATIONAL RESILIENCY ASSESSMENT

Prevent application downtime and costly business disruption

Request an Assessment
AUDIT EFFICIENCY ASSESSMENT

Eliminate resource consuming manual audit processes

Request an Assessment
CYBER RISK 
ASSESSMENT

Reduce vulnerabilities and misconfiguration to protect the business

Request an Assessment