Eine Studie zum Thema SAP Cyber-Security zeigt, dass mehr als die Hälfte der befragten Unternehmen einen Datenverlust aufgrund unsicherer SAP-Applikationen für möglich hält. Außerdem sei ihre SAP-Plattform innerhalb der letzten 24 Monate durchschnittlich zweimal angegriffen wurde. 63 Prozent berichten, dass Mitglieder der Geschäftsführung die mit unsicheren SAP-Anwendungen einhergehenden Risiken unterschätzen. Brisant: Weltweit verarbeiten SAP-Systeme geschäftskritische Daten und Prozesse der Global 2000-Konzerne. Die Studie wurde vom Ponemon Institut durchgeführt und von Onapsis gesponsert.
Diese unterschiedliche Wahrnehmung werde durch die eingeschränkte Transparenz der Security von SAP-Applikationen gefördert. Viele Verantwortliche haben laut onapsis zudem nicht die notwendige Expertise, um Cyber-Angriffen vorzubeugen, diese zu erkennen oder geeignete Abwehrmaßnahmen zu ergreifen. Die Auswirkung solcher Cyberangriffe bezeichnen 60 Prozent der Antwortenden als katastrophal oder sehr ernst. Ein Angriff kann zu einem Schaden von durchschnittlich 4,5 Mio. Dollar führen, sollten die Systeme abgeschaltet werden müssen.
Angriffe auf SAP-Systeme nehmen zu
„Eine der größten Überraschungen dieser Studie ist die zunehmende Flut an Cyber-Angriffen, die Unternehmen treffen und die schwierig zu entdecken sind. Sie fügen den Unternehmen und der Wirtschaft materiellen Schaden zu,“ sagt Dr. Larry Ponemon, Chairman und Gründer des Ponemon Instituts. „Die Untersuchungsergebnisse zeigen, dass Angriffe auf SAP-Systeme zunehmen, es aber keine klar geregelten Zuständigkeiten in Bezug auf bestimmte Gruppen oder Positionen gibt. Das ist sehr beunruhigend. Es scheint, als ob die SAP-CyberSecurity genau in eine Zuständigkeitslücke zwischen SAP-Sicherheitsteams und Verantwortlichen für die Informationssicherheit fällt. Diese müssen diese Verantwortungslücke priorisieren und schließen.“
Der Bericht zeigt, dass leitende Angestellte SAP zwar als geschäftskritisch einstufen, aber die Gefahren von zielgerichteten Cyber-Bedrohungen ignorieren: 76 Prozent der Antwortenden geben an, dass Mitarbeiter in Führungspositionen die geschäftskritische Bedeutung der SAP-Systeme für die Profitabilität des Unternehmens verstehen. Zugleich sagen aber nur 21 Prozent der Befragten, dass ihr Führungspersonal die Risiken der SAP-Cyber-Security wahrnimmt.
„Unternehmen können durch das Kompromittieren ihres SAP-Systems aufgrund eines Datenlecks oder einer Cyber-Attacke sehr wertvolle Daten verlieren. Die Industrie beginnt, die möglichen Auswirkungen zu verstehen. Gleichzeitig dehnt sich die Angriffsfläche immer schneller aus, etwa durch neue Technologien wie dem Internet der Dinge, Mobile und Cloud,“ sagt Mariano Nunez, CEO von Onapsis. „Klar zugewiesene Zuständigkeiten und der Einsatz von Drittanbieter-Tools zum Integrieren von Teams, Etablieren von Prozessen und Betreiben der nötigen Maßnahmen für eine sichere Prävention und das Erkennen von SAP-Schwachstellen werden immer wichtiger, um gravierende wirtschaftliche Auswirkungen zu vermeiden.“
Die Studie liefert weitere wichtige Erkenntnisse:
Können SAP-Plattformen Malware enthalten?: 75 Prozent der Antwortenden geben an, das bei SAP-Plattformen sehr wahrscheinlich (33 %) oder wahrscheinlich (42 %) eine oder mehrere Malware-Infektionen vorliegen.
Wie lange dauert das Erkennen eines Datenlecks?: Kaum einer der Befragten vertraut darauf, dass eine die SAP-Plattform betreffende Schwachstelle sofort oder innerhalb einer Woche aufgespürt wird. Fast 100 Prozent der Teilnehmer sind überzeugt, dass sie eine SAPSchwachstelle nicht sofort erkennen können. 78 Prozent geben an, dass eine SAP-Schwachstelle selbst nach einem Jahr noch nicht entdeckt wurde.
Wer ist für SAP-Sicherheit verantwortlich?: 54 Prozent der Studienteilnehmer finden, dass es Aufgabe von SAP sei, die Integrität seiner Applikationen und Plattformen sicherzustellen – und nicht die Aufgabe ihres eigenen Unternehmens. Innerhalb ihrer Organisation gilt das SAP-Security-Team als verantwortlich für die Sicherheit der SAP-Systeme: 25 Prozent der Antwortenden geben an, dass niemand für die SAP-Sicherheit in ihrer Organisation hauptverantwortlich zuständig ist, gefolgt vom IT Infrastrukturteam (21 %), SAP-Security-Team (19 %) und Informations-Sicherheitsteam (18 %).
Wer wird verantwortlich gemacht, falls ein Datenleck auftritt, bei dem das SAP-System involviert ist?: 30 Prozent der Teilnehmer, die auf diese Frage geantwortet haben, geben an, dass niemand hauptverantwortlich ist, falls das SAP-System ihres Unternehmens erfolgreich angegriffen wird. 26 Prozent halten den CIO für hauptverantwortlich, 18 Prozent den CISO.
Wie wirken sich das Internet der Dinge (IoT) und andere neue Technologien aus?: 59 Prozent der Antwortenden geben an, dass neue Technologien und Trends wie Cloud, Mobile, Big Data und das Internet der Dinge die Angriffsfläche ihrer SAP-Anwendungen vergrößern.
Was können Unternehmen und Organisationen tun, um ihre SAP-Sicherheit zu verbessern?: 73 Prozent der antwortenden Teilnehmer halten das Wissen um die neuesten Bedrohungen und SAP-betreffenden Schwachstellen für wichtig, um die Fähigkeit ihres Unternehmens zum Managen von Cyber-Gefahren zu verbessern.
Zu den wichtigsten Maßnahmen zur Verbesserung der Sicherheit der SAP-Infrastruktur zählen:
– 83 Prozent der antwortenden Teilnehmer halten die Fähigkeit für sehr wichtig, Zero-Day-Schwachstellen in SAP-Applikationen zu erkennen.
– 81 Prozent werten die Fähigkeit sehr hoch, Bedrohungen von SAP-Anwendungen basierend auf ihrem voraussichtlichen Erfolg zu priorisieren.
– 81 Prozent halten eine kontinuierliche Überwachung der Infrastruktur für sehr wichtig, um sicherzustellen, dass SAP-Applikationen sicher sind.