Howto: SAP Security #2 – Netzwerksicherheit

Im zweiten Teil der  Serie „Howto SAP Security“ (Teil 1) wird die Netzwerksicherheit betrachtet. Hierbei sind zwei Punkte  von besonderer Bedeutung. Zuerst ist die Zugriffskontrolle zu betrachten. Dann folgt die Verschlüsselung der Kommunikation.

SAP Netzwerksicherheit

SAP beinhaltet diverse Dienste, die größtenteils aus dem Netzwerk heraus erreichbar sind. Es ist wichtig die verfügbaren Dienste zu kennen, daher zeigt der folgende Screenshot einige wichtige Dienste.

Netzwerksicherheit: SAP Portliste
SAP Portliste, Quelle: https://help.sap.com/viewer/ports

Um Remote zu erkennen, welche Dienste konkret von einem SAP-System in Netzwerk angeboten werden, ist ein Netzwerkscan des Systems ein gutes Mittel. Ein Beispiel eines Scans kann wie folgt ausfallen:

PORT STATE SERVICE VERSION
21/tcp open ftp?
22/tcp open ssh SSH (SSH-2.0-WeOnlyDo 2.1.3)
445/tcp open microsoft-ds?
3200/tcp open sapdisp SAP ABAP Dispatcher release 7010, patch level 111, database release 701 (DB name T11)
3300/tcp open sapgateway SAP Gateway (Monitoring mode disabled)
3389/tcp open ms-wbt-server Microsoft Terminal Service
3600/tcp open sapms SAP Message Server (SID T11, ID 00)
3900/tcp open sapms SAP Message Server (SID T11, ID 00)
7210/tcp open maxdb SAP MaxDB 7.7.07
8000/tcp open sapicm SAP Internet Communication Manager
8100/tcp open sapmshttp SAP Message Server httpd release 701 (SID T11)
40080/tcp open sapigs SAP Internet Graphics Server
50013/tcp open sapstartservice SAP Management Console (SID T11, NR 00)

Hier sieht man neben typischen SAP Diensten auch noch weitere kritische Dienste wie SSH, MSRDP, SMB und FTP.

„Howto: SAP Security #2 – Netzwerksicherheit“ weiterlesen

US Cloud Act als Hintertür im Datenschutz

Ohne parlamentarische Anhörung hat der US-Kongress Ende März 2018 mit dem „Cloud Act“ ein Gesetz verabschiedet, dass Dienstleister ungeachtet des physischen Server Standorts die dort gespeicherten Kundendaten herausgeben müssen.

Cloud Act Bill
Cloud Act Bill

Damit stellt die US-Regierung US-Recht über das geltende Recht des Landes in dem die Daten physikalisch gespeichert sind.

Auslöser

Einer der Auslöser für diesen Beschluss war der Streit zwischen Microsoft und den US-Behörden. Der US-Supreme Court hat sich bereits mit diesem Fall beschäftigt und für dieses Jahr wurde mit einem Urteil gerechnet.

Im Kern war zu entscheiden ob Microsoft E-Mails von einem in der EU betriebenen Server herausgeben muss. Mit dem in Kraft treten des neuen Gesetzes hat der Supreme Court den Fall nun für erledigt erklärt.

Damit ist bereits die erste Anwendung nach dem Neuen Gesetz auf dem Weg und Microsoft ist verpflichtet die angeforderten Daten herauszugeben.

Der Cloud Act und seine Folgen – Daten(un)sicherheit

Der Justiziar Neema Singh Guliani der US-Bürgerrechtsorganisation American Civil Liberties Union (ACLU) hat wesentliche Datenschutz-Probleme in dem Gesetz erkannt:

  • For the first time, the bill allows foreign governments to wiretap and intercept communications in real-time, without even requiring governments to adhere to critical privacy protections in the Wiretap Act (such as notice, probable cause, or a set duration); and

The bill permits broad information sharing between governments, allowing countries (including the U.S.) to obtain information from foreign partners under standards that may be lower than their own domestic law.

Auch die Electronic Frontier Foundation (EFF) warnt vor dem Cloud Act:

Grants real-time access and interception to foreign law enforcement without requiring the heightened warrant standards that U.S. police have to adhere to under the Wiretap Act.

Fails to require notice on any level – to the person targeted, to the country where the person resides, and to the country where the data is stored. (Under a separate provision regarding U.S. law enforcement extraterritorial orders, the bill allows companies to give notice to the foreign countries where data is stored, but there is no parallel provision for company-to-country notice when foreign police seek data stored in the United States.)

Ein Abhören von Zielpersonen ist damit deutlich vereinfacht, ebenso gibt es nahezu keine Informationspflichten mehr.

Für Unternehmen, die Dienstleistungen von US-Firmen in Anspruch nehmen, bedeutet dies ein mögliches Scheitern der DSGVO-Compliance. Denn hier können Dritte auf Daten zugreifen. Noch etwas weiter gedacht wird klar, dass US-Behörden nach eigenem Ermessen auf sämtliche Daten eines Unternehmens zugreifen können, die bei dem US-Dienstleister gespeichert sind. Dazu können auch Geschäfts- und Betriebsgeheimnisse sowie Informationen zu den getroffenen IT-Sicherheitsmaßnahmen oder bekannten Cyber-Schwachstellen zählen.

Auswege

Ein möglicher Ausweg könnte der Einsatz eines „Datentreuhändlers“ sein. So betreibt beispielsweise T-Systems als Dienstleister den Cloud-Dienst für Office 365 Deutschland. Doch ob diese Konstellation Zugriffswünsche wirkungsvoll eindämmt ist nur schwer vorherzusagen.

Besonders brisant wird es für Unternehmen die IT-Sicherheitsdienstleistungen wie Schwachstellenmanagement an US-Anbieter vergeben haben. Überspitzt gefragt kann man sagen: Wer möchte schon seine Schwachstellen frei Haus an die NSA liefern?

Zur eigenen Sicherheit muss hier hinterfragt werden ob es nicht einen EU-Anbieter mit Datenspeicherung in der EU als Alternative gibt.

Der Markt bietet hier einige Alternativen – teils sogar Lösungen die ausschließlich innerhalb der Unternehmens-IT arbeiten und keine Daten in die Cloud oder zum Anbieter übertragen.

Der werthAUDITOR ist eine solche Lösung und prüft IT- und SAP-Systeme auf Schwachstellen und die Daten bleiben dabei garantiert in der sicheren Unternehmens-IT.

Der Cloud Act trägt deutlich die Handschrift der „America First“ Initiative und sollte zum Nachdenken anregen welche Daten wie und wo sicher gespeichert und verarbeitet werden. Idealerweise verlassen sensible Daten gar nicht erst das eigene Unternehmen.

 

 

Cyber-Risk-Insurance Einstiegsübersicht – Neue BSI-Publikation von WERTH

Jeder der sich mit IT-Security beschäftigt hat früher oder später den Satz „100%ige IT-Sicherheit gibt es nicht“ zu hören bekommen.
Viele Experten teilen diese Aussage und die öffentlichen Berichte über erfolgreiche Cyber-Angriffe können ebenso als Beleg für diesen Satz angesehen werden.
Für einen bestmöglich Schutz empfiehlt es sich daher neben der kontinuierlichen Überwachung der Systeme das verbleibende Restrisiko mittels einer Cyber-Versicherung abzusichern.
Das Thema Cyber-Risk-Insurance behandelt eine noch recht junge Versicherungssparte und ist noch nicht allgegenwärtig bekannt.
Um den Einstieg zu erleichtern und die richtige Entscheidung treffen zu können finden Sie in unserer neuesten BSI-Publikation „Cyber-Risk-Insurance Einstiegsübersicht“ eine Übersicht zu dem Thema und Empfehlungen zur Auswahl einer Cyber-Risk-Versicherung.
Wenn Sie auch 100% Schutz für Ihre Systeme erreichen möchten, kontaktieren Sie unseinfach und unkompliziert.

Die Lehren aus den WannaCry-Reaktionen

Weltweit sorgt die WannaCry Ransomware für Aufsehen.  Zum Stand am 15.05.2017 sind nahezu 200.000 Systeme in mehr als 150 Ländern infiziert:

WannaCry worldwide infections

(WannaCry Infections)

WannaCry besteht aus 2 Komponenten

Im Kern besteht diese Malware aus zwei Komponenten. Der eigentliche Angriff oder Büchsenöffner ist ein EternalBlue genannter Angriff. Dieser bislang unbekannte Angriffsweg stammt aus dem Arsenal der NSA und wurde von der Gruppe Shadow Brokers am 14. April 2017 veröffentlicht. Mit diesem Angriff kann man die Kontrolle über ein Computersystem erlangen.

Hier kommt bei WannaCry dann die zweite Komponente ins Spiel. Dies ist eine typische Ransomware die Daten auf dem PC verschlüsselt. Die zweite Komponente wird ausgeführt nachdem der Angriff über den ersten Teil erfolgreich war und der Angreifer die Kontrolle über das System erreicht hat.

Mit der Geiselnahme der Daten und des Systems wird der Angriff dann für betroffene erst sichtbar.

Killswitch?

Zwischenzeitlich gab es ein kurzes Aufatmen, da ein Sicherheitsforscher einen Killswitch im Code von WannaCry gefunden hatte. Hier handelt es sich um Programmcode der prüft ob eine bestimmte Internetadresse (www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com) erreichbar ist und falls dem so ist, sämtliche Programmaktivitäten sofort beendet. Es folgt keine weitere Verbreitung oder Schadcodeausführung. Ein Sicherheitsforscher hat die entsprechende Internetadresse aktiviert und man hoffte die Ausbreitung zu stoppen.

Allerdings gibt es hier wenig Grund zur Entwarnung, denn es wurden weitere Varianten gefunden, die andere Internetadressen abfragen und es wurden Varianten gefunden, die gar keinen Killswitch enthalten.

Zudem zeigt eine Analyse von Didier Stevens, dass der Killswitch nicht hinter Internet-Proxys funktioniert – so wie dies in Unternehmen verwendet wird.

Der weitere Ausblick

Es ist klar mit weiteren Infektionen zu rechnen. Dies hat zwei Gründe:

  1. Der Killswitch funktioniert nicht wie erwartet
  2. Die Infektion ist bisher über das Wochenende gestartet, heute beginnt die Arbeitswoche und zahlreiche IT-Systeme von Unternehmen gehen Online und werden als Ziele verfügbar.
  3. *Update 23.05.2017* Eine neuer Wurm „EternalRocks“ ist inzwischen entdeckt worden. Er nutzt noch weitere Angriffswege aus dem NSA-Archive und versucht möglichst unerkannt auf den infizierten System vorzugehen.

Gegenmaßnahmen

Die Übernahme des Opfersystems erfolgt mit der ersten Komponente der Malware. Gelingt dieser Schritt nicht, kann der Virus das System nicht befallen. Daher ist der wichtigste Schutz, diese Lücke mit dem dazugehörigen Patch MS17-010 zu schließen. Das ganze wirkt wie eine Impfung für den Computer, danach ist er Resistent gegen den Virus und kann nicht mehr befallen werden.

Aufgrund der Kritikalität des Angriffs hat Microsoft auch Notfallpatches für eigentlich nicht mehr versorgte Systeme wie Windows XP, Vista oder 8 veröffentlicht.

Anmerkungen

Sieht man sich die Fakten zu der Epidemie an fallen mir folgende Punkte auf:

  1. Der wichtigste Baustein in der IT-Sicherheit ist das Patchmanagement.
  2. Dies wird jedoch offensichtlich nicht konsequent überall umgesetzt.
  3. Betroffene, Medien und Anwender reagieren nur auf offensichtliche Angriffe wie im Fall WannaCry.
    Die ersten Angriffe mit dem NSA-Exploit EternalBlue erfolgten direkt nach Veröffentlichung und Kriminelle haben so binnen einer Woche bereits ca. 40.000 Systeme unter Ihre Kontrolle gebracht. Dies jedoch im Geheimen und ohne offensichtliche Meldung an die betroffenen.
    Es darf sich jeder die Frage stellen was kritischer ist: Das System als Geisel mit 300$ bis 600$ Lösegeld oder das System unter Kontrolle eines versierten Hackers …
    Erschreckend ist, dass aufgrund der fehlenden Sensibilität für Cyberbedrohungen nahezu keine Reaktion auf die ersten Angriffe erfolgte, sonst wäre der „Erfolg“ von WannaCry gar nicht möglich gewesen.

Auswirkung auf SAP-Systeme

Wer jetzt denkt, SAP-Systeme sind davon nicht betroffen, sollte folgende Fakten prüfen:

  1. Windows Server 2003, 2008, usw. dienen durchaus als Basis für manche SAP-Systeme.
  2. Die Möglichkeit der Übernahme solcher Systeme durch Angreifer hat WannaCry höchst aktuell und eindrucksvoll unter Beweis gestellt.
  3. Der Zugriff aus der Windows-Ebene auf die SAP- und Datenbankebene ist mit wenig Aufwand möglich.
  4. Die Geiselnahme des Systems mitsamt SAP und Datenbank ist ebenfalls möglich. Vielleicht sind unter den befallenen WannaCry-Systemen bereits SAP-Systeme.
  5. Ein fehlender Patch auf vielen Systemen war die Ursache für diese Virus-Epidemie. Für SAP-Systeme gibt es ebenfalls zahlreiche Patches. Auch solche, die wie bei EternalBlue, Angriffe aus der Entfernung zulassen.

Die Frage ist: Werden bei SAP-Systemen die Patches schneller eingespielt als bei Windows?

Ein funktionierendes Patchmanagement ist eine elementare Säule der IT-Sicherheit. Die Kontrolle und Wirksamkeitsprüfung von IT-Sicherheitsmaßnahmen gehört zu dem gesetzlichen Risikomanagement. Bei der Überwachung von Systemen und Einhaltung der gesetzlichen Anforderungen aus dem Risikomanagement unterstützt unsere Lösung WerthAUDITOR mit seinem vollautomatischen Security Monitoring.

Der WerthAUDITOR schützt bereits lange vor der Veröffentlichung von EternalBlue am 14. April 2017 unsere Kunden auch vor dieser Schwachstelle.

Backdoors im Programmcode von IT-Sicherheitslösungen und wie wichtig ist der Herstellerstandort?

Backdoors im Programmcode von IT-Sicherheitslösungen

Im Dezember 2015 wurden schwerwiegende Backdoors in den Netscreen Firewall-Systemen von Juniper entdeckt. Bei einer internen Code-Prüfung wurde unautorisierter Code in dem ScreenOS Betriebssystem der Juniper Systeme entdeckt.

Ein seit 2012 eingeschleustes Code-Segment erlaubt die Entschlüsselung jeder VPN-Datenkommunikation der Firewall. Damit ist eine geheime Kommunikation über diese Geräten nicht möglich. Jede als sicher betrachtete Kommunikation konnte seit 2012 belauscht werden. Entsprechend konnten geheime Informationen und Zugangsdaten abgefangen werden. Diese Lücke beruht auf eine von der NSA forcierte Backdoor.

Folgen einer solch gezielt platzierte Schwachstelle werden an dem Beispiel des Falls Belgacom sehr deutlich. Entsprechend feuern diese neuen Backdoors in den Juniper-Geräten auch Spekulationen über den Einfallsvektor bei Belgacom neu an.

Ein weiteres Backdoor Code-Segment kann bis ins Jahr 2013 zurückdatiert werden. Dieses gewährt unautorisierten Root-Zugriff auf die Firewall System aus dem Internet. Dies bedeutet, dass JEDER mit Wissen über diese Backdoor über das Internet Vollzugriff auf die Systeme erhalten kann. Damit kann er Einstellungen verändern (Zugänge öffnen), Protokolle ansehen und Datenverkehr mitlesen.

Kurz nach bekannt werden der Schwachstelle waren ca. 26.000 verwundbare Systeme im Internet mit einer einfachen Shodan Sucheauffindbar.

 

Woher stammen die Backdoors?

Bisher kann der Firewall-Hersteller nicht erklären woher der Code stammt und wie die Backdoors ihren Weg durch die Qualitätskontrollen in die Release-Versionen finden konnten.

Unbestrittener Fakt ist jedenfalls, dass hier eine Backdoor in Kern-Systeme der IT-Sicherheit eingeschleust wurden und Endkunden statt der erwarteten höheren Sicherheit defacto angreifbarer wurden.

Mit dem Wissen um den NSA-Skandal sowie der Spionageaktivitäten von Russland und Chinasind diese beiden Backdoors in den Firewall-Systemen sicher nicht als Zufall zu betrachten.

Sind doch die Hürden für einen Geheimdienst in einem Land mit starken Befugnissen für Geheimdienste (wie USA, Russland, China, Iran,…) sehr Gering. Entweder kann das Unternehmen direkt gesteuert werden oder es reicht aus die richtigen Mitarbeiter zu „akquirieren“. Diese dürfen natürlich nicht über Ihre Aktivitäten sprechen. Wie schwer es ist gegen einen solchen Maulkorb vorzugehen zeigt dieses Beispiel.

 

Was kann man nun zum Schutz seiner Daten beachten?

Wenn man eine Schlussfolgerung aus den neuen Veröffentlichungen ziehen kann, dann die Standortbedeutung Herstellers. Dies verdeutlicht wie wichtig Gütesiegel wie „Made in Germany“ sind.

Der aktuelle Fall zeigt deutlich, dass blindes Vertrauen in Security-Produkte schwere Schäden nach sich ziehen kann. Nicht nur durch gezielte Spionage-Aktivitäten, sondern auch nach einem öffentlichen Bekanntwerden durch frei zugängliche Exploits.

 

Entsprechend lassen sich hieraus auch Handlungsempfehlungen für den Schutz von SAP-Systemen ableiten.

Gerade beim Schutz des digitalen Herzstücks eines Unternehmens darf der Herstellerstandort nun nicht mehr außer acht gelassen werden. Wie der Fall Juniper gezeigt hat ist dies nicht als Paranoia abzutun sondern eine inzwischen erforderliche Maßnahme.
Das Herkunftsland ist somit ein wichtiger Bewertungsfaktor bei der Auswahl von Sicherheitslösungen.

 

 

Quellen:

http://www.theregister.co.uk/2015/12/21/security_code_to_backdoor_juniper_firewalls_revealed_in_firmware/

http://thehackernews.com/2015/12/hacking-juniper-firewall-security.html

http://m.heise.de/security/meldung/Schnueffelcode-in-Juniper-Netzgeraeten-Weitere-Erkenntnisse-und-Spekulationen-3051260.html

http://m.heise.de/newsticker/meldung/Exploits-fuer-SSH-Backdoor-in-Junipers-Netzgeraeten-3054308.html

http://m.heise.de/newsticker/meldung/NSA-GCHQ-Skandal-Massiver-Cyberangriff-auf-Belgacom-mit-hochentwickelter-Malware-1972194.html

https://community.rapid7.com/community/infosec/blog/2015/12/20/cve-2015-7755-juniper-screenos-authentication-backdoor

http://www.theregister.co.uk/2015/12/23/juniper_analysis/

Lager-Scanner spähen Finanz- und ERP-Daten aus

Sicherheitsforscher der Firma TrapX haben kürzlich einen hoch präzisen Angriff auf ERP Systeme aufdecken können.

Die Angriffe konnten zur Lanxiang school (China) zurück verfolgt werden. Diese Universität hat bereits durch frühere Angriffe auf Google und Co. eine zweifelhafte Bekanntheit erreicht. Im Rahmen des Angriffs konnten die ERP Systeme zu 100% unter Kontrolle gebracht werden. Somit war ein Zugriff auf Finanzdaten und weitere kritische Unternehmensdaten ohne Einschränkung möglich.

 

Der Angriff selbst liest sich wie aus einem Hollywood-Film. Alle betroffenen Firmen haben Scanner derselben Chinesischen Firma für den Einsatz im Lager/Versand/Wareneingang angeschafft. Später stellte sich heraus, dass auf dem Embedded Windows Betriebssystem der Scanner ein Schadproramm ( Zombie Zero ) vorinstalliert war. Dieses hat nach Aktivierung der Scanner von Innen heraus das Netzwerk des Unternehmens anhand spezifischer Merkmale nach ERP-Finanz-Systemen durchsucht und diese kompromittiert.

 

Im zweiten Schritt wurde dann ein erweitertes Schadprogramm zur Kontrolle und Kommunikation mit dem ERP-System auf diesem nachgeladen. Diese Verbindungen konnten zur Lanxiang school verfolgt werden.
Letztlich konnte diese Verbindung genutzt werden um alle Finanz- und ERP-Daten abfließen zu lassen.

 

Abschließend lässt sich sagen, dass durch die Integration der Schadsoftware in ein “vertrauenswürdiges” Produkt ein Angriff von Innen möglich wurde. Moderne Angreifer müssen somit nicht länger die Unternehmensfirewall überwinden oder auf erfolgreiche Phishing-Emails hoffen. Schadprogramme werden einfach in Hardware eingepflanzt. Laut TrapX haben selbst die bei den betroffenen Firmen eingesetzten traditionellen Sicherheitsvorkehrungen wie ein IDS den Angriff nicht stoppen oder erkennen können.

 

Man benötigt hier einen alternativen Ansatz um potentiellen Schaden abzuwenden. Dieser besteht in der kontinuierlichen Sicherheitsüberprüfung der ERP Systeme. So lassen sich Risiken und Schwachstellen frühzeitig erkennen, priorisieren und beheben bevor Angreifer diese Ausnutzen können.

 

Wir bieten Ihnen mit unserem Werth Auditor die Möglichkeit Ihr ERP-System auf Herz und Nieren zu prüfen. Jedes potentielles Risiko wird erfasst und bewertet. Eine Prüfung auf Gefahren für Ihr ERP-System durch Gastzugänge, seitens der SAP-Anwender oder über VPN-Kanäle ist mit unserer Lösung aus jedem Winkel Ihres Netzwerks möglich.  Kontaktieren Sie uns für eine kostenlose Testversion.

 

Weitere Referenzen:

http://www.theepochtimes.com/n3/797218-china-spies-on-global-shipping-using-pre-infected-hardware/

http://www.infosecurity-magazine.com/view/39257/malware-siphons-the-brains-of-shipping-companies-in-sophisticated-supply-chain-attack/

http://www.forbes.com/sites/kurtmarko/2014/07/10/trojan-hardware-spreads-apts/

http://www.pcworld.com/article/2453100/malware-hidden-in-chinese-inventory-scanners-targeted-logistics-shipping-firms.html

http://www.csoonline.com/article/2452986/data-protection/shipping-companies-computers-compromised-by-malware-infected-chinese-scanners.html

Werth IT mit Sonderpreis IT-Sicherheit des BMWi auf der Cebit ausgezeichnet

Das Bundesministerium für Wirtschaft und Technologie (BMWi) hat unter der Führung von Vize­Kanzler Sigmar Gabriel schon länger die Bedeutung der Informations- und Kommunikationstechnologien (IKT) als wichtige Treiber von Innovation und Wachstum in
Deutschland erkannt.
In Zeiten täglich neuer Aufdeckungen im Bereich Computerspionage und aktiver
Wirtschaftsspionage durch ausländische Geheimdienste hat das BMWi ein Förderprogramm zur IT-Sicherheit beschlossen, um dem Risiko von Datenmissbrauch, Computersabotage oder
dem unentdeckten Abfluss von Unternehmens­Know­How für deutsche Unternehmen zu
begegnen. In dem Gründerwettbewerb ITK Innovativ wurden daher Lösungen gesucht, die sich
am konkreten Bedarf und den finanziellen Möglichkeiten betroffener Unternehmen orientieren.
Auf der diesjährigen CEBIT wurde der Sonderpreis an die Werth IT für deren Produkt
Werth Auditor vergeben. Der Werth Auditor ist eine Softwarelösung zur Beurteilung der
Sicherheit von SAP­ Systemen. Ein SAP System ist oftmals das digitale Herzstück eines
Unternehmens und wird zur Planung und Durchführung kritischer Geschäftsprozesse genutzt. In
solchen ERP-­Systemen sind alle Daten und Know-­How des Unternehmens wiederzufinden.
Das nicht ein mal 1 Jahr “junge” Kamener Unternehmen trifft mit ihrem Werth Auditor den Nerv
der Zeit, bereits im vergangenen Jahr wurde dieser in die TOP Ten beim
TeleTrusT­-Innovationspreis 2013 gewählt. Inzwischen zeigen nationale und internationale
Wirtschaftsgrößen intensives Interesse an dem Produkt. Der Werth Auditor zählt bereits kurz
nach seiner Markteinführung zu den weltweit technologisch führenden SAP­Security­-Lösungen.
Über Werth IT
Die Werth IT GmbH verfügt über führendes Know How in den Bereichen Softwareentwicklung,
IT­Sicherheit und Mediendesign.
Mit diesem Know How und langjähriger Erfahrung in diesen Bereichen ist mit dem Werth Auditor
eine einzigartige Sicherheitslösung für SAP Systeme entwickelt worden, die bereits 2013 für den
TeleTrusT­Innovationspreis 2013 nominiert wurde.
Die Software Werth Auditor überprüft die IT­Sicherheit von SAP­Systemen. Untersucht werden
die vergebenen Nutzerberechtigungen, die Einhaltung von IT­Sicherheitsvorgaben, die
Systemkonfiguration, die Datenintegrität und die Anfälligkeit gegenüber Hackerangriffen. Eine
Plug­in­Schnittstelle erlaubt außerdem die schnelle und einfache Erweiterung der Tests.
Ergebnis der Auswertung ist ein Bericht, der zu jedem ermittelten Risiko konkrete Maßnahmen
zur Lösung des Problems nennt. Als Zielkunden fasst Werth Auditor Unternehmen mit
SAP­Systemen ins Auge sowie Systemhäuser, IT­Dienstleister und Wirtschaftsprüfer, die mitdem Tool ihren Unternehmenskunden helfen, sichere SAP­Systeme zu betreiben.

Bitkom-Studie: 53 % der deutschen Unternehmen sind Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl

„Unternehmen müssen viel mehr für ihre digitale Sicherheit tun. Die Studie zeigt, dass die Gefahr für Unternehmen aller Branchen und jeder Größe real ist. Jeder kann Opfer von Spionage, Sabotage oder Datendiebstahl werden“

– Bitkom-Präsident Achim Berg

Die repräsentative Studie der Bitkom stellt die digitale Sicherheit der deutschen Wirtschaft in Zahlen dar:

So sind von 2015 bis 2017 53% der deutschen Unternehmen Opfer von Datendiebstahl, Industriespionage oder Sabotage geworden. Dabei ist ein Schaden von 55 Milliarden Euro entstanden.

Die Täter sind dabei vornehmlich (ehemalige) Mitarbeiter, aus dem unternehmerischen Umfeld oder Hacker. Die Verfolgung der Angriffe führte hauptsächlich nach Deutschland, dem Osten (Osteuropa, China, Russland) sowie in die USA.

Jeder dritte Angriff wurde dabei nur zufällig entdeckt, ein weiteres Drittel von aufmerksamen Mitarbeitern bemerkt.

Vornehmlich aus Angst vor Imageschäden (41%) verzichten 69% der betroffenen Unternehmen auf die Einschaltung staatlicher Stellen.

Zum jetzigen Zeitpunkt nutzen viele Unternehmen nur Basisschutzmaßnahmen wie Passwörter, Firewalls und Virenscanner. Dabei existieren seit Jahren Angriffswerkzeuge die mühelos Virenscanner und Firewalls umgehen. Auch Passwörter stellen moderne Werkzeuge vor keine große Herausforderung.

Eine wirksame Kontrolle der eigenen Sicherheitsmaßnahmen durch externe Spezialisten führen nur 24% der Unternehmen durch.

Die Studie zeigt somit klar, dass in Zeiten von Digitalisierung und Industrie 4.0 die deutsche Wirtschaft besonderes Augenmerk auf die Abwehr von Spionageangriffen wird richten müssen.

Dies hat auch Gartner erkannt und entsprechend in seinem aktuellen Hype Cycle 2017 als absoluten Top Trend Application Security ausgerufen. Dies ist auch gut nachvollziehbar, da doch die in der Studie betrachteten Punkte Datendiebstahl, Industriespionage oder Sabotage eben meist die Systeme betreffen, welche die unternehmenskritischen Geschäftsprozesse verarbeiten. Eben die ERP-Systeme als business critical applications.

Die Studie hat den Nachholbedarf dort aufgezeigt und Gartner erkennt den Trend in der Wirtschaft hier nachzubessern.

Gerne unterstützen wir Sie bei der Sicherung Ihrer Kerndaten, sprechen Sie uns an!

Chinas Militär bestätigt offiziell die Existenz von Spezialeinheiten für den Cyber-War

Chinesische Angriffe – insbesondere zum Diebstahl von Geschäftsgeheimnissen – sind seit Jahren bekannt.
Dies belegen auch Beispiele aus der Vergangenheit:

Bisher hat China jedoch jede Beteiligung an solchen Aktivitäten vehement abgestritten.
Doch in der neuesten Ausgabe des Dokuments „The Science of Military Strategy“, welches von dem Forschungsinstitut der Volksbefreiungsarmee herausgegeben wird, wird die Existenz von Cyber-Einheiten bestätigt.
Dabei gibt es drei Flügel:
1. Militärische Cyber-Einheiten
2. Einheiten des Ministeriums für Staatssicherheit
3. Einheiten außerhalb der Regierung.

Alle diese Einheiten werden verdächtigt aktiv Cyber-Spionage durchzuführen. Ihnen wird zugetraut jedes Ziel ob Unternehmen oder kritische Infrastruktur erfolgreich angreifen zu können.

Doch China ist nicht die einzige Nation, die aktiv Wirtschaftsspionage mit Cyber-Angriffen betreiben kann.
Hier sind auch Russland und die USA zu nennen. Im Rahmen des NSA-Skandals kann das Potential der USA gut wahrgenommen werden. Ebenso hat die Krise rund um die Krim gezeigt, wie stark die russischen Cyber-Truppen sind. Diese drei Nationen sind klar führend auf dem Gebiet der Cyber-Attacken. Allerdings ist der Iran dabei seine Fähigkeiten auf diesem Gebiet schnell und stark auszubauen, ebenso Nord Korea wie der Sony Hack eindrucksvoll bewiesen hat.

Damit ein Unternehmen sich vor solchen Gefahren schützen kann, muss es diese und deren Potential auch kennen. Es ist daher wichtig Informationen wie die hier geschilderten Wahrzunehmen und nun aktive Schutzmaßnahmen für die digitalen Kronjuwelen zu ergreifen. EinPenetration-Test – der Schwachstellen aufdeckt – ist sicher immer einer forensischen Analyse – die versucht Vorfälle aufzuklären – vorzuziehen soweit man dies selbst steuern kann.

2016: Neuer Rekord an Datenlecks

In dem kürzlich veröffentlichten IBM X-Force Threat Intelligence Index 2017 stellt IBM Security die Analysen der Sicherheitsdaten seiner mehr als 8.000 Kunden in 100 Ländern vor. Eine wesentliche Aussage des Berichts ist der Anstieg von gestohlenen Datensätze um 566% Prozent von 600 Millionen im Jahr 2015 auf mehr als 4 Milliarden im Jahr 2017.

Dabei geraten zunehmend Geschäftsinformationen in das Visier der Datendiebe:

E-Mail-Archive, Geschäftsdokumente, gestohlenes geistiges Eigentum oder Quellcodes eröffnen Kriminellen neue Möglichkeiten, etwa für den Insiderhandel, und setzen Unternehmen weiter unter Druck.

Daneben hat sich die Ransomware als primäre Einnahmequelle von Cyberkriminellen etabliert. Mehr als 70% der betroffenen Unternehmen zahlen das Lösegeld, um schnell wieder betriebsbereit zu sein. Ob 2017 die erste Ransomware für SAP in Erscheinung tritt?

Der Finanzsektor ist das Hauptangriffsziel, jedoch zeigen die hier getätigten Security-Investitionen Wirkung und die Branche ist „nur“ die am dritt stärksten betroffene.

Zum Schutz unserer Kunden wird der WerthAUDITOR beständig weiterentwickelt unter Berücksichtigung der aktuellen Unternehmensbedürfnisse. Durch diese bedarfsgerichtete Entwicklung wurde der Leistungsumfang neben der vollständigen Prüfung von SAP-Systemen gezielt erweitert:

Der WerthAUDITOR ist als zentraler Netzwerkscanner einsetzbar und kann alle kritischen IT-Systeme überwachen und prüfen. Hierzu kann die Lösung auf mehr als 55.000 Prüfungen für IT-Systeme (Stand April 2017) zurück greifen.

Im Rahmen der permanenten Überwachung erfolgen zudem Alarmmeldungen bei kritischen Ereignissen, sowie Fortschrittsanzeigen der Sicherheitsentwicklungen und natürlich der regelmäßige vollständige Sicherheitsbericht.

Die Anbindung an zentrale Log- oder SIEM-Server rundet den Einsatz als zentralen Sicherheitsscanner für SAP- und kritische Systeme ab und erlaubt den Verantwortlichen einen schnellen Überblick der Sicherheitslage zur Priorisierung der Aufgaben.