News | Trends Security | IT-Security

Führungskräfte unterschätzen das Gefahrenpotenzial von SAP-Cyber-Angriffen

Neue Studie zeigt: Geschäftsführung und IT-Sicherheitsverantwortliche bewerten Fähigkeit zur Abwehr von Bedrohungen und deren potenzielle Auswirkungen sehr unterschiedlich.

illu cc0 pixabay aa_

Das Ponemon Institute hat die Ergebnisse der industrieweit ersten, von Onapsis gesponserten Studie zum Thema SAP Cyber-Security vorgestellt. Sie zeigt, dass mehr als die Hälfte der befragten Unternehmen, nämlich 56 Prozent, einen Datenverlust aufgrund unsicherer SAP-Applikationen für möglich hält. Dieselbe Gruppe gibt an, dass ihre SAP-Plattform innerhalb der letzten 24 Monate durchschnittlich zweimal angegriffen wurde. 63 Prozent berichten, dass Mitglieder der Geschäftsführung die mit unsicheren SAP-Anwendungen einhergehenden Risiken unterschätzen. Brisant: Weltweit verarbeiten SAP-Systeme geschäftskritische Daten und Prozesse der Global-2000-Konzerne.

Zunehmende Flut an Cyber-Angriffen

Diese stark unterschiedliche Wahrnehmung wird durch die eingeschränkte Transparenz der Security von SAP-Applikationen gefördert. Viele Verantwortliche haben zudem nicht die notwendige Expertise, um Cyber-Angriffen vorzubeugen, diese zu erkennen oder geeignete Abwehrmaßnahmen zu ergreifen. Die Auswirkung solcher Cyberangriffe bezeichnen 60 Prozent der Antwortenden als katastrophal oder sehr ernst. Ein Angriff kann zu einem Schaden von durchschnittlich 4,5 Millionen Dollar führen, sollten die Systeme abgeschaltet werden müssen.

»Eine der größten Überraschungen dieser Studie ist die zunehmende Flut an Cyber-Angriffen, die Unternehmen treffen und die schwierig zu entdecken sind. Sie fügen den Unternehmen und der Wirtschaft materiellen Schaden zu«, sagt Dr. Larry Ponemon, Chairman und Gründer des Ponemon-Instituts. »Die Untersuchungsergebnisse zeigen, dass Angriffe auf SAP-Systeme zunehmen, es aber keine klar geregelten Zuständigkeiten in Bezug auf bestimmte Gruppen oder Positionen gibt. Das ist sehr beunruhigend. Es scheint, als ob die SAP-Cyber-Security genau in eine Zuständigkeitslücke zwischen SAP-Sicherheitsteams und Verantwortlichen für die Informationssicherheit fällt. Diese müssen diese Verantwortungslücke priorisieren und schließen.«

Geschäftskritische Bedeutung

Der Bericht zeigt, dass leitende Angestellte SAP zwar als geschäftskritisch einstufen, aber die Gefahren von zielgerichteten Cyber-Bedrohungen ignorieren: 76 Prozent der Antwortenden geben an, dass Mitarbeiter in Führungspositionen die geschäftskritische Bedeutung der SAP-Systeme für die Profitabilität des Unternehmens verstehen. Zugleich sagen aber nur 21 Prozent der Befragten, dass ihr Führungspersonal die Risiken der SAP-Cyber-Security wahrnimmt.

Mit über 600 qualifizierten Antwortenden ist der Bericht mit dem Titel »Uncovering the Risks of SAP Cyber Breaches« die erste tiefgehende Untersuchung, die IT- und Informations-Sicherheitsexperten befragte, die mit dem Schutz von SAP-Systemen, den Kronjuwelen der Unternehmen, beauftragt sind.

»Unternehmen können durch das Kompromittieren ihres SAP-Systems aufgrund eines Datenlecks oder einer Cyber-Attacke sehr wertvolle Daten verlieren. Die Industrie beginnt, die möglichen Auswirkungen zu verstehen. Gleichzeitig dehnt sich die Angriffsfläche immer schneller aus, etwa durch neue Technologien wie dem Internet der Dinge, Mobile und Cloud«, sagt Mariano Nunez, CEO von Onapsis. »Klar zugewiesene Zuständigkeiten und der Einsatz von Drittanbieter-Tools zum Integrieren von Teams, Etablieren von Prozessen und Betreiben der nötigen Maßnahmen für eine sichere Prävention und das Erkennen von SAP-Schwachstellen werden immer wichtiger, um gravierende wirtschaftliche Auswirkungen zu vermeiden.«

Die Studie liefert weitere wichtige Erkenntnisse:

  • Können SAP-Plattformen Malware enthalten? 75 Prozent der Antwortenden geben an, dass bei SAP-Plattformen sehr wahrscheinlich (33 Prozent) oder wahrscheinlich (42 Prozent) eine oder mehrere Malware-Infektionen vorliegen.
  • Wie lange dauert das Erkennen eines Datenlecks? Kaum einer der Befragten vertraut darauf, dass eine die SAP-Plattform betreffende Schwachstelle sofort oder innerhalb einer Woche aufgespürt wird. Fast 100 Prozent der Teilnehmer sind überzeugt, dass sie eine SAP-Schwachstelle nicht sofort erkennen können. 78 Prozent geben an, dass eine SAP-Schwachstelle selbst nach einem Jahr noch nicht entdeckt wurde.
  • Wer ist für SAP-Sicherheit verantwortlich? 54 Prozent der Studienteilnehmer finden, dass es Aufgabe von SAP ist, die Integrität seiner Applikationen und Plattformen sicherzustellen – und nicht die Aufgabe ihres eigenen Unternehmens. Innerhalb ihrer Organisation gilt das SAP-Security-Team als verantwortlich für die Sicherheit der SAP-Systeme: 25 Prozent der Antwortenden geben an, dass niemand für die SAP-Sicherheit in ihrer Organisation hauptverantwortlich zuständig ist, gefolgt vom IT-Infrastrukturteam (21 Prozent), SAP-Security-Team (19 Prozent) und Informations-Sicherheitsteam (18 Prozent).
  • Wer wird verantwortlich gemacht, falls ein Datenleck auftritt, bei dem das SAP-System involviert ist? 30 Prozent der Teilnehmer, die auf diese Frage geantwortet haben, geben an, dass niemand hauptverantwortlich ist, falls das SAP-System ihres Unternehmens erfolgreich angegriffen wird. 26 Prozent halten den CIO für hauptverantwortlich, 18 Prozent den CISO.
  • Wie wirken sich das Internet der Dinge (IoT) und andere neue Technologien aus? 59 Prozent der Antwortenden geben an, dass neue Technologien und Trends wie Cloud, Mobile, Big Data und das Internet der Dinge die Angriffsfläche ihrer SAP-Anwendungen vergrößern.
  • Was können Unternehmen und Organisationen tun, um ihre SAP-Sicherheit zu verbessern? 73 Prozent der antwortenden Teilnehmer halten das Wissen um die neuesten Bedrohungen und SAP-betreffenden Schwachstellen für wichtig, um die Fähigkeit ihres Unternehmens zum Managen von Cyber-Gefahren zu verbessern. Zu den wichtigsten Maßnahmen zur Verbesserung der Sicherheit der SAP-Infrastruktur zählen:

o        83 Prozent der antwortenden Teilnehmer halten die Fähigkeit für sehr wichtig, Zero-Day-Schwachstellen in SAP-Applikationen zu erkennen.

o        81 Prozent werten die Fähigkeit sehr hoch, Bedrohungen von SAP-Anwendungen basierend auf ihrem voraussichtlichen Erfolg zu priorisieren.

o        81 Prozent halten eine kontinuierliche Überwachung der Infrastruktur für sehr wichtig, um sicherzustellen, dass SAP-Applikationen sicher sind.

Den vollständigen Bericht finden Sie nach Registrierung unter diesem Link: https://www.onapsis.com/ponemon-report
Am Donnerstag, den 24. März 2016 werden in einem Onapsis-Webcast die Studienergebnisse weiter erläutert. Registrierung unter: https://www.onapsis.com/news-and-events/webcasts/uncovering-the-risk-of-SAP-cyber-breaches

Kritische Cyber-Sicherheitslücken bei SAP HANA

 

Indirekte Nutzung von SAP-Lizenzen: unkalkulierbare Kosten und Risiken

 

Zur Startseite →

← Zurück