Holistische Cybersicherheit: ERP-Systeme – ein unterschätztes IT-Risiko

Obwohl viele Unternehmen umfassende Sicherheitsmaßnahmen ergreifen, bleibt ein wesentlicher Bereich oft ­unbeachtet: Anwendungssicherheit und der Schutz von ERP-Systemen. Doch warum sind Sicherheits­verantwortliche auf diesem Auge häufig blind und was können Unternehmen tun, um sich zu schützen?

Die Lage der ERP-Sicherheit in Unternehmen ist alarmierend. So fand eine aktuelle Studie von Onapsis und Flashpoint heraus, dass geschäftskritische SAP-Anwendungen zunehmend in den Fokus von Cyberkriminellen rücken und eine deutlich zunehmende Zahl an Bedrohungsakteuren auf SAP-Schwachstellen abzielen [1].

Während sich die Cyberkriminalität zu einem hochprofessionellen Geschäft entwickelt hat und Angreifer gezielt auf bestimmte Unternehmen, Daten und Anwendungen zielen, ist die Sicherheit von ERP-Systemen häufig der weiße Fleck auf der Security-Landkarte [2]. Und obwohl viele Unternehmen ein großes Repertoire an Sicherheitslösungen im Einsatz haben – von der Firewall über End-Point-Protection bis hin zum IAM-System – unterschätzen Entscheider häufig das Risiko oder sehen in der gezielten SAP-Absicherung lediglich einen weiteren Kostenpunkt. Das kann schnell zur »Milchmädchenrechnung« werden, denn wenn das ERP ausfällt, werden Produktion und Geschäftstätigkeit im schlimmsten Fall wochenlang lahmgelegt.

Ein wesentlicher Grund für die Vernachlässigung der ERP-Sicherheit ist oftmals der Mangel an spezifischem Wissen bei CISOs und Sicherheitsverantwortlichen. Diese sind Experten für allgemeine IT-Sicherheit, verfügen jedoch häufig nicht über die notwendigen Kenntnisse im Bereich ERP beziehungsweise SAP. Entsprechend wird die Komplexität von SAP-Umgebungen oft unterschätzt und notwendige Schutzmaßnahmen nicht ergriffen.

Alte Schwachstellen, immer neue Gefahren. Angreifer nutzen vor allem Phishing-Techniken, Zero-Days, aber auch ältere ungepatchte Schwachstellen, um sich Zugang zu geschäftskritischen Anwendungen zu verschaffen. Der Threat Report von Onapsis und Flashpoint ergab, dass Cyberangriffe auf SAP-Anwendungen im letzten Jahr einen neuen Höchststand erreicht haben und das Interesse von Bedrohungsakteuren deutlich zugenommen hat. Auffällig dabei: alle im Bericht beobachteten SAP-Schwachstellen wurden von SAP bereits vor mehreren Jahren gepatcht. Die dennoch hohe Cyberaktivität deutet darauf hin, dass Bedrohungsakteure gezielt Unternehmen mit schwacher SAP-Cybersecurity-Governance ins Visier nehmen. Sie nutzen meist bekannte, jedoch ungepatchte SAP-Schwachstellen und Fehlkonfigurationen aus. Die Problematik verschärft sich weiter, weil immer mehr Kunden SAP-Anwendungen in die Cloud migrieren, wodurch sie der Bedrohung noch stärker ausgesetzt sein können.

Die Gründe für die mangelnde Governance sind vielfältig: Häufig fehlt ein umfassender Überblick über die IT-Infrastruktur. Während bei historisch gewachsenen SAP-Landschaften die produktiven Systeme noch bekannt sind, bleibt oft unklar, welche nachgelagerten oder älteren Systeme noch im Einsatz sind. Sie werden von Auditoren oft übersehen und erhalten seltener oder nie notwendige Patches. Das ermöglicht es Angreifern, »durch die Hintertür« einzudringen. Hinzu kommt, dass häufig das Fachwissen fehlt, um Bedrohungen richtig einzuschätzen und angemessene Schutzmaßnahmen zu ergreifen. Zudem mangelt es an Ressourcen, um Patches zeitnah einzuspielen. Die IT-Teams sind unterbesetzt und mit ihren administrativen Aufgaben ausgelastet.

Mehr Transparenz und automatisiertes Patching. Zur Verbesserung der ERP- beziehungsweise SAP-Sicherheit braucht es daher zunächst eine detaillierte Inventarisierung aller Systeme, einschließlich der Alt- und Nachfolgesysteme. Nur so können potenzielle Sicherheitslücken identifiziert und geschlossen werden. Regelmäßige Audits und 24/7-Log-Monitoring sind ebenfalls essenziell, um verdächtige Aktivitäten frühzeitig zu erkennen und schnell zu reagieren.

Spezielle, automatisierte ERP-Sicherheitslösungen bieten eine wertvolle Unterstützung. Sie ermöglichen regelmäßige Audits und automatisiertes Patching. Durch die Zusammenarbeit mit spezialisierten Security-Anbietern können sich Unternehmen darauf verlassen, dass ihre ERP-Systeme stets auf dem neuesten Stand und bestmöglich geschützt sind. Außerdem unterstützen sie bei der kontinuierlichen Überwachung der Systeme und der Erkennung von Anomalien, um auf potenzielle Sicherheitsvorfälle schnell reagieren zu können.

IT-Sicherheit ist (auch) Chefsache. Digitale Prozesse sind das Rückgrat fast aller Unternehmen und wenn IT-Systeme inklusive des ERP lahmgelegt sind, steht der Betrieb still. Genau deshalb darf IT-Sicherheit nicht länger ausschließlich als Aufgabe der IT-Abteilung betrachtet werden. Zum einen müssen alle Mitarbeitenden durch Schulungen für das Thema sensibilisiert und zur Vorsicht animiert werden. Gleichzeitig muss dieses geschäftskritische Thema ganz oben auf der Agenda der Geschäftsführung stehen. CISOs sollten nicht nur als Stabsstelle eine beratende Funktion übernehmen, sondern über Budget und Entscheidungsmacht verfügen, um notwendige Sicherheitsmaßnahmen durchsetzen zu können. Eine angemessene Repräsentation der IT im C-Level ist entscheidend, um Cybersicherheit holistisch anzugehen, im gesamten Unternehmen zu verankern und den Schutz geschäftskritischer Systeme sicherzustellen.

Holistische Strategien mit Weitblick. Die Kosten für einen ERP-Sicherheitsvorfall können enorm sein und gefährden die Existenz von Unternehmen. Eine langfristige Planung und Investition in die ERP-Sicherheit sind unerlässlich, um Cyberrisiken zu minimieren, die Resilienz zu stärken und geschäftskritischste Daten und Prozesse zu schützen. Nur so können Unternehmen in der heutigen digitalen Landschaft erfolgreich bestehen und wachsen.

 


Paul Laudanski,
Director Security Research
bei Onapsis

 

[1] https://onapsis.com/de/press-releases/new-report-reveals-evidence-of-increased-cybercriminal-interest-in-erp-applications/ 
[2] https://www.bmi.bund.de/DE/themen/sicherheit/kriminalitaetsbekaempfung-und-gefahrenabwehr/cyberkriminalitaet/cyberkriminalitaet-node.html

 

Illustration: © Scaliger | Dreamstime.com, AI generated

 

6413 Artikel zu „Sicherheit ERP“

Integrierte Enterprise-Plattform setzt Mobile-First-Sicherheitsstrategie durch

Zimperium, Sicherheitsexperte für Echtzeitschutz auf Mobilgeräten, hat eine einheitliche Sicherheitsplattform zur Erkennung und Abwehr von Bedrohungen für Endpunkte and Apps vorgestellt. Die »Zimperium Mobile-First Security Platform« kombiniert Mobile Threat Defense (MTD) und Mobile Device Management (MDM) zum Schutz gegen aktuelle Mobilsystem-, Netzwerk-, Phishing- und App-Attacken. Über eine einheitliche Webkonsole haben Anwender zentrale Zugriffs- und IT-Verwaltungsmöglichkeiten für…

10 Fragen zur Selbstüberprüfung der unternehmenseigenen SAP-Sicherheitspolitik

Sicherheit von SAP-Implementierungen erfordert Transparenz, Kommunikation, exakt definierte Prozesse und deren Dokumentation. SAP-Sicherheit ist nicht nur ein Problem von nicht installierten Abwehrtechnologien. Diese lassen sich schnell einrichten. Die Experten von Onapsis stellen in ihren Gesprächen aber immer wieder fest, dass fehlende Transparenz, Kommunikation, unklare Prozesse und Verantwortlichkeiten die Hauptursachen für die Unsicherheit vieler SAP-Infrastrukturen sind.…

Die Qualität der Sicherheitsmaßnahmen verbessern – »NIS2 wird zur neuen Norm in der Sicherheits­landschaft werden«

In Zeiten zunehmender Cybersicherheitsbedrohungen sind Unternehmen gefordert, ihre Schutzmaßnahmen kontinuierlich zu verbessern. Dr. Matthias Rosche, Managing Director bei Orange Cyberdefense, erklärt, dass nicht nur die klassischen Bedrohungen, sondern auch neue Compliance-Anforderungen und -Regularien wie NIS2 die Unternehmen vor Probleme stellen.

Gartner® Magic Quadrant™ für Enterprise: Veritas zum 19. Mal Leader für Backup and Recovery Software Solutions

Anerkennung für die Vollständigkeit der Vision und der Fähigkeit zur Umsetzung.   Veritas Technologies, ein führender Anbieter von sicheren Lösungen für das Multi-Cloud-Datenmanagement, wurde von Gartner als Leader im Magic Quadrant für Enterprise Backup and Recovery Software Solutions (EBRSS) positioniert. Veritas ist der einzige Anbieter, der von Gartner in jedem der letzten 19 Berichte über…

Cybersicherheit: Werden Versicherungsprämien gegen Cyberkriminalität unbezahlbar?

Der Markt für Cyberversicherungen hat sich in den letzten Jahren teils drastisch verändert. Die steigenden Ausgaben aufgrund von Cyberkriminalität setzen Versicherungsnehmer und Versicherer gleichermaßen unter Druck. Laut jüngster Prognosen belaufen sich diese Ausgaben weltweit voraussichtlich innerhalb der nächsten vier Jahre auf schwindelerregende 23,8 Billionen Dollar [1]. Eine der Folgen ist, dass Versicherer künftig vor Rentabilitätsproblemen stehen…

Datensicherheit und Datenschutz in Edge-Umgebungen  

In der heutigen, sich rasch entwickelnden technologischen Landschaft hat sich Edge Computing als zentrale Strategie für Unternehmen herauskristallisiert, die ihre betriebliche Effizienz und Reaktionsfähigkeit verbessern möchten. Weil Daten näher an der Datenquelle verarbeitet werden, reduziert Edge Computing die Latenz, verbessert die Entscheidungsfindung in Echtzeit und minimiert die Belastung zentralisierter Rechenzentren. Wie bei jedem technologischen Fortschritt…

Sicherheit wird noch sichtbarer – IT-Sicherheitskennzeichen für mobile Endgeräte

Mobile IT-Geräte wie Smartphones und Tablets speichern und verarbeiten eine Vielzahl relevanter und zum Teil persönlicher Daten wie Fotos, Videos, Textnachrichten und Kontakte. Ein angemessenes IT-Sicherheitsniveau mobiler Endgeräte ist ein wesentlicher Baustein für den Schutz dieser Daten und damit auch der Verbraucherinnen und Verbraucher. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt nun die…

Das KI-Gesetz der EU ist (bislang) eine verpasste Chance

Kommentar von Christian Guttmann, Vice President of Engineering, Decisioning & AI, Pegasystems »In den vergangenen Wochen habe ich immer wieder gelesen, das KI-Gesetz der EU sei ein Meilenstein bei der Regulierung Künstlicher Intelligenz und könne als Vorbild für den Rest der Welt dienen. Tatsächlich verfolgen einige Länder wie Brasilien und Kanada ähnliche risikobasierte Ansätze, doch…

SAP Fiori Apps Monitoring: Fehler identifizieren und Sicherheitslücken schließen

SAP Fiori Apps sollen den Zugang zu und den Umgang mit SAP deutlich vereinfachen und so Effizienz und Produktivität erhöhen. Doch nicht immer funktionieren sie einwandfrei – natürlich kommt es im Alltag zu Abstürzen, Downtimes, Fehlern und Sicherheitsproblemen. Nun stellen gerade bei komplexen Integrationen die Suche nach den Ursachen, die Fehlerbehebung und die Verbesserung der…

NIS2: In 5 Schritten zu mehr OT-Cybersicherheit

Die Digitalisierung der Industrie hat kritische Infrastrukturen zu einem beliebten Ziel von Cyberangriffen gemacht. Die potenziell verheerenden Schäden für Unternehmen als auch für die Gesellschaft machen das Thema Cybersicherheit für Gesetzgeber immer relevanter. Die NIS2-Richtlinie greift dieses Problem auf, indem sie rechtliche Maßnahmen zur Verbesserung der allgemeinen Cybersicherheit in der EU vorsieht, wobei der Schwerpunkt…

EDR vs. XDR vs. MDR: Die passende Sicherheitslösung finden

Bedrohungen durch Hacker werden immer raffinierter, umfangreicher und effizienter. Über die Hälfte deutscher Unternehmen fühlt sich durch Cyberangriffe in ihrer wirtschaftlichen Existenz bedroht – so eine Umfrage des Branchenverbands Bitkom. Zum Vergleich: 2021 waren es nur 9 Prozent. Unternehmen erkennen zunehmend die Gefahren, die Cyberangriffe auf ihren Geschäftsbetrieb haben können und reagieren mit Abwehrmaßnahmen. Auf…

IT-Sicherheit als zentrale Herausforderung

Unternehmen in Deutschland und weltweit stufen laut des Allianz Risk Barometer 2024 Cybervorfälle als ihr größtes Risiko ein. Managed Security Service Provider wie byon unterstützen mit Herstellern wie Fortinet gerade mittelständische Unternehmen dabei, dieses Risiko in den Griff zu bekommen.   Die IT-Sicherheit ist für mittelständische Unternehmen in Deutschland eine zentrale Herausforderung. Sie ist mit…

Vier Tipps für verbesserte Cybersicherheit in KMU

Cyberangriffe betreffen nur Großunternehmen, soziale Netzwerke oder IT-Dienstleister? Weit gefehlt – inzwischen werden immer häufig auch Produktionsbetriebe, Mittelständler oder sogar Kleinunternehmen Ziel der Attacken. Doch gerade dort fehlen oft die Ressourcen, um effektive Prävention zu ergreifen und die eigenen Systeme stets auf dem neusten Stand zu halten. Nils Gerhardt, CTO von Utimaco gibt vier Tipps,…

Cybersicherheit bei Online-Spielen: Schutz der persönlichen Daten der Spieler

Online-Spielen wurde zu dem wichtigsten Teil unseres Lebens und kann neben dem Spaß auch einige Bedrohungen bringen.   Die aufregende Welt der Online-Spiele bietet für Sie virtuelle Abenteuer und Herausforderungen. In den letzten Jahren ist es zu einer der beliebtesten Formen der Unterhaltung geworden. Der Wert der Branche wird weltweit auf über 152 Milliarden Dollar…

Cybersicherheit nicht kaputtsparen: Unternehmen stehen auf der Investitionsbremse

Kaum Fortschritte bei der Cybersicherheit: Im Vergleich zum Jahr 2023 ist der Reifegrad der Cybersicherheit großer, international agierender Unternehmen um lediglich ein Prozent auf nun 53 Prozent gestiegen. Das ist das Ergebnis der Wavestone Cyber Benchmark 2024. In einer umfassenden Analyse hat Wavestone fast 200 Sicherheitsmaßnahmen von mehr als 150 Unternehmen unter die Lupe genommen.…