2016: Neuer Rekord an Datenlecks

In dem kürzlich veröffentlichten IBM X-Force Threat Intelligence Index 2017 stellt IBM Security die Analysen der Sicherheitsdaten seiner mehr als 8.000 Kunden in 100 Ländern vor. Eine wesentliche Aussage des Berichts ist der Anstieg von gestohlenen Datensätze um 566% Prozent von 600 Millionen im Jahr 2015 auf mehr als 4 Milliarden im Jahr 2017.

Dabei geraten zunehmend Geschäftsinformationen in das Visier der Datendiebe:

E-Mail-Archive, Geschäftsdokumente, gestohlenes geistiges Eigentum oder Quellcodes eröffnen Kriminellen neue Möglichkeiten, etwa für den Insiderhandel, und setzen Unternehmen weiter unter Druck.

Daneben hat sich die Ransomware als primäre Einnahmequelle von Cyberkriminellen etabliert. Mehr als 70% der betroffenen Unternehmen zahlen das Lösegeld, um schnell wieder betriebsbereit zu sein. Ob 2017 die erste Ransomware für SAP in Erscheinung tritt?

Der Finanzsektor ist das Hauptangriffsziel, jedoch zeigen die hier getätigten Security-Investitionen Wirkung und die Branche ist „nur“ die am dritt stärksten betroffene.

Zum Schutz unserer Kunden wird der WerthAUDITOR beständig weiterentwickelt unter Berücksichtigung der aktuellen Unternehmensbedürfnisse. Durch diese bedarfsgerichtete Entwicklung wurde der Leistungsumfang neben der vollständigen Prüfung von SAP-Systemen gezielt erweitert:

Der WerthAUDITOR ist als zentraler Netzwerkscanner einsetzbar und kann alle kritischen IT-Systeme überwachen und prüfen. Hierzu kann die Lösung auf mehr als 55.000 Prüfungen für IT-Systeme (Stand April 2017) zurück greifen.

Im Rahmen der permanenten Überwachung erfolgen zudem Alarmmeldungen bei kritischen Ereignissen, sowie Fortschrittsanzeigen der Sicherheitsentwicklungen und natürlich der regelmäßige vollständige Sicherheitsbericht.

Die Anbindung an zentrale Log- oder SIEM-Server rundet den Einsatz als zentralen Sicherheitsscanner für SAP- und kritische Systeme ab und erlaubt den Verantwortlichen einen schnellen Überblick der Sicherheitslage zur Priorisierung der Aufgaben.

Lagebericht SAP-Sicherheit 2014

Das Jahr 2014 hat gezeigt, dass SAP-Systeme verstärkt in das Visier von Cyberangriffen geraten sind. Dies belegen unter anderem die Angriffe auf die AAI und NVIDIA . Eine Zunahme solcher Angriffe ist auch nicht verwunderlich, da in den SAP-Systemen die digitalen Kronjuwelen eines Unternehmens lagern. Vielmehr war es nur eine Frage der Zeit wann SAP-Systeme gezielt angegriffen werden. 2014 ist daher eindeutig als Stunde 0 der SAP-Sicherheit zu kennzeichnen. Ab sofort ist die Sicherheit von SAP-Systemen ein Muss zum Schutz der dort gelagerten Daten.

Im wesentlichen forcieren zwei Faktoren die Notwendigkeit von SAP-Sicherheit:

  1. Die Vernetzung der SAP-Systeme nimmt drastisch zu.
    Die Systeme sind aus dem kompletten Intranet erreichbar, zusätzlich auch verstärkt aus dem Internet (Portalserver) und natürlich mittels mobilen Endgeräten. Der Trend „Cloud“ wird die globale Erreichbarkeit noch deutlich verstärken.
  2. Die SAP-Systeme „nur“ im Intranet zu betreiben bietet keinen ausreichenden Schutz vor externen Angriffen.
    Moderne Spionage- und Schadprogramme ermöglichen externen Angreifern direkten Zugriff auf das Intranet. Zum Einen belegen dies die Veröffentlichungen rund um die Tools der NSA, zum Anderen gibt es konkrete Beispiele für entsprechende Angriffe auf ERP-Systeme. Exemplarisch sei hier auf den Windows-Trojaner zur Ausspähung von SAP-Systemen und Zugangsdaten sowie dem Angriff via manipulierte Handscanner auf ERP-Systeme verwiesen.

Glücklicherweise verbessern sich die Bordmittel zur Härtung von SAP-Systemen zusehends. Leider steigt damit auch die Komplexität zur Bedienung der angebotenen Hilfsmittel. Daher ist es absolut notwendig die errichteten digitalen Schutzwälle und Sicherheitsmaßnahmen des SAP-Systems auf korrekte und „wie vorgesehene“ Funktion und Wirkung zu prüfen.

Zur Verdeutlichung soll ein reales Beispiel aus der Praxis dienen:

Ein Audit bei einem Großunternehmen sollte durchgeführt werden. Das Thema SAP-Sicherheit hatte in dem Unternehmen bereits seinen Stellenwert. So werden die SAP-Systeme regelmäßig durch eine Prüfgesellschaft aus dem Kreis der Big-Four kontrolliert und zertifiziert. Zusätzliche Tools zur Steigerung der Sicherheit sind ebenfalls im Einsatz. Das Ziel des Audits war somit die Wirksamkeit der ergriffenen Maßnahmen zu belegen.
Die Ergebnisse waren jedoch alarmierend: Schwerwiegende Sicherheitslücken konnten identifiziert werden.

Wie konnte dies geschehen obwohl doch aktiv die Sicherheit der Systeme forciert wurde?

Die Antwort ist erschreckend simpel: Nur eine vollständige Prüfung der Sicherheit des Systems kann zur korrekten Bewertung ohne „blinde Flecken“ führen. Ein Unternehmen muss demnach wissen wie ein umfassendes Risikomanagement aussieht und entsprechend selbst die Systeme prüfen oder einen Dienstleister auswählen, der in der Lage ist eine solch umfassende Prüfung korrekt durchzuführen. Zusätzlich ist es empfehlenswert die Log-Dateien der Systeme regelmäßig nach forensichen Gesichtspunkten auf Angriffsspuren zu untersuchen.

Fazit:

Die Bedrohung der Daten und SAP-Systeme selbst hat deutlich zugenommen. Zum Schutz der digitalen Kronjuwelen wird die Härtung der SAP-Systeme und die Prüfung deren Wirksamkeit dringend empfohlen. Ein Berechtigungskonzept oder der „reine Betrieb im Intranet“ sind allein keine ausreichenden Schutzmaßnahmen mehr. Eine automatisierte Lösung, die zuverlässig alle sicherheitsrelevanten Bereiche überprüft und in kurzer Zeit den Systemstatus ermittelt, bietet sich für diese Aufgabe an.