Business Anwendung SAP unsicher?

Posted on Veröffentlicht in Blog, Security News, Software Tagged with , , , , ,

Business Anwendung SAP unsicher?

Erneut ist eine Business Software in Verruf geraten – SAP.
Über 95% der untersuchten Systeme weisen Schwachstellen auf die dazu führen können das wichtige Daten korrumpiert werden oder wichtige Geschäftsprozesse unterbrochen werden.
Behaupten die Experten von Onapsis basierend auf eine durchgeführte Studie.

Die Studie fördert auch zu Tage, dass die meisten Unternehmen bis zu 18 Monate benötigen um ein Fenster für das Einspielen der aktuellen Patches zu finden. 2014 wurden im Durchschnitt 20 Patche pro Monat von der SAP veröffentlicht, wobei die Hälfte als “high priority” eingestuft wurden.

Erschreckend ist jedoch, dass dieses Problem entsteht, weil die Verantwortlichkeiten zwischen dem SAP-Betriebsteam und dem Security-Team nicht klar geregelt sind. Oft treten bereits Sicherheitsvorfälle auf, die von den CISOs nicht erkannt werden, da ihnen ein Reporting für SAP-Systeme fehlt.

Viele Unternehmen verwenden neuste Techniken wie Cloud Computing, Mobile Device Access für Anwender usw. Dadurch entstehen jedoch neue Risiken, denn letztendlich greifen viele Anwendungen im Hintergrund auf Systeme wie SAP oder Datenbanken zurück, die vorher nur aus den eigenen vier Wänden erreichbar waren. Diese Systeme stehen damit in einem neuen Kontext und müssen abgesichert werden. Ein neuer Prozess muss für eine kontinuierliche Betrachtung der Sicherheit eingerichtet werden. Damit diese System vor Cyber Security Vorfällen geschützt sind.

Die drei wichtigsten Cyber Attack Vektoren von SAP-Systemen:

  1. Zugriff auf Kundeninformationen und Kreditkarten-Daten durch Pivoting zwichen SAP-Systemen
  2. Kunden- oder Lieferanten-Portal Angriffe führen Backdoor Benutzer im SAP J2EE User Management
  3. Database Warehousing Angriffe über das SAP proprietäre Protokoll.

Was sind die nächsten Schritte für CISOs in ihren Unternehmen:

  • Regelmässiges Reporting über die SAP-Systeme um Risiken zu erkennen
  • Kontinuierliches Monitoring der SAP-Systeme, nicht nur bzgl. Verfügbarkeit, sondern auch mit den Blick auf Anomalien
  • Vorfälle, Ausfälle oder ungewöhnliches Benutzerverhalten müssen als Angriffe gewertet und untersucht werden, um daraus Rückschlüsse für Verbesserungen zu ziehen
  • Treffen Sie Vereinbarungen mit ihren Lieferanten und Kunden, um bei ihnen das Bewusstsein um die Sicherheit zu erhöhen.

 

Weiter Infos:

http://www.onapsis.com/onapsis-research-study-reveals-top-three-cyber-attack-vectors-sap-systems

http://www.theregister.co.uk/2015/05/08/sap_95_percent_vulnerable/