SAP aus der Cloud - aber sicher

Hacker entdecken SAP – Kronjuwelen in Gefahr

SAP-Systeme speichern oftmals die Kronjuwelen der Unternehmen: wertvolle Vertriebs-, Forecast- und Planungsdaten, sensible Mitarbeiter- und Kundeninformationen, Kreditkartendaten und mehr. Das wissen auch Kriminielle. Daher rücken SAP-Systeme immer stärker in den Fokus professioneller Hacker. Ein erfolgreicher Cyber-Angriff auf diese Schaltzentrale des Geschäftsbetriebs kann die Existenz eines Unternehmens gefährden – unabhängig davon, ob die ERP-Software im eigenen Datenzentrum oder dem eines CSP läuft. Diese Gefahr ist real – wie aufsehenerregende Hacks auf Unternehmen wie Nvidia oder auf US-Behörden immer wieder zeigen.

Trotzdem ist SAP in vielen Unternehmen nach wie vor ein blinder Fleck auf der Landkarte der IT-Sicherheit. SAP-Systeme dienen in erster Linie der Prozesssteuerung und damit der Produktivität – da ist der direkte Zusammenhang zur IT-Sicherheit offenbar nicht immer offensichtlich. Von SAP-Security-Spezialist Onapsis im Auftrag von Kunden durchgeführte Penetrations-tests zeigen: Über 95 Prozent der mehr als 1.000 bislang untersuchten SAP-Systeme hatten gravierende Sicherheitslücken. Mit einfachsten Mitteln – Internetzugang und IP-Adresse der zu untersuchenden SAP-Server – konnten sich die Tester uneingeschränkten Zugriff verschaffen. Bei fünf Prozent waren die Logging-Funktionen zum Durchführen von Sicherheitsaudits nicht korrekt aktiviert. Kein einziges System war in punkto SAP-Updates auf dem aktuellen Stand – manche Sicherheitslücken bestanden, obwohl Updates schon seit mehreren Jahren verfügbar sind.

Aus dem Internet erreichbar – und angreifbar
Anders als klassische, nach außen abgeschottete Datenzentren in Unternehmen müssen SAP-Cloud-Lösungen aus dem Internet erreichbar sein – darauf basiert schließlich das Geschäftsmodell der Cloud-Service-Provider. Dadurch sind die Server jedoch eher Bedrohungen aus dem Internet ausgesetzt. Prominente Beispiele sind Heartbleed, Shellshock oder Poodle – allesamt Attacken, die direkt oder indirekt auch SAP-Systeme tangieren. Schafft es ein Hacker, zum Beispiel in SAP-Web-Komponenten einzudringen, kann er darüber weitere interne Server kompromittieren. Gelingt ihm der Zugriff auf Datenbanken, kann er einen instanzenübergreifenden SAP_All-User mit Vollzugriff anlegen, der bei Audits unentdeckt bleibt. Über dieses Benutzerkonto kann er Daten, die innerhalb der SAP-Plattform im Sinne der Segregation of Duties verteilt sind, zusammenführen und Transaktionen durchführen.

Möglich ist auch das Auspionieren und Veruntreuen von Daten über Kunden, Zulieferern, Personal, Finanzplanung oder Geschäftszahlen. Der Hacker kann finanzielle Informationen modifizieren, Verkaufs- und Kaufordern manipulieren, neue Verkäufer anlegen und sich so mit einer gefälschten Rechnung Geld überweisen. Oder er zielt auf Sabotage und droht mit dem Shut-Down des Systems – für viele Unternehmen ein Horrorszenario.

Tatsächlich zeichnet sich ab, dass heute immer mehr Bedrohungen wie Malware, Zero-Day-Attacken, Backdoors und Trojaner ausgenutzt werden, um darüber SAP-Systeme zum Beispiel auf der Anwendungsschicht oder der Netweaver-Ebene anzugreifen. Der Umstieg auf die Echtzeit-Plattform SAP-HANA bringt dabei keine Besserung: Die Zahl neuer Sicherheitspatches, die speziell diese neue Plattform betreffen, hat um 450 Prozent zugenommen. Hinzu kommt, dass SAP-HANA als Kernkomponente im Zentrum des SAP-Ökosystems platziert ist. Ein erfolgreicher Angriff darauf ist für Hacker daher besonders lukrativ.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. SAP aus der Cloud - aber sicher
2. Hacker entdecken SAP – Kronjuwelen in Gefahr
3. Tote Winkel ausleuchten

Lesen Sie mehr zum Thema

Weitere Artikel zu SAP Deutschland AG & Co. KG

Für Auf- und Ausbau des Channels

Julia Steer ist Partner Marketing Managerin bei Natuvion

Neue Cloud für Geschäftsdaten

SAP kündigt Partnerschaft mit Databricks an

Restrukturierungsprogramm

3.500 SAP-Mitarbeiter müssen in Deutschland gehen

Rise with SAP: Syntax-Manager erläutert

SAP unkompliziert in die Cloud bringen

Cloud-ERP-Bereitstellung

Grow with SAP künftig auf AWS

Weitere Artikel zu SAP AG

Technologie-Abhängigkeit vom US-Anbieter

„Private Cloud der Bundeswehr" kommt von Google

Schwarz Digits rüstet seine Cloud auf

StackIT soll der erste deutsche Hyperscaler werden

Handelsunsicherheit bleibt jedoch

SAP-Chef Klein sieht Gesprächsbereitschaft bei Trump

E-Commerce-Spezialist mit Doppelspitze

Dominik Witte ist neuer CEO bei DialogData

Top-Management erweitert

Ulrich Faisst ist CTO bei All for One

Weitere Artikel zu Public Cloud

Pharia AI-as-a-Service

Souveräne KI-Komplettlösung von Aleph Alpha und Schwarz Digits

Business Backup-Cloud

Geschäftsdaten georedundant sichern mit M-net

Hybrid-Cloud-Security-Studie von Gigamon

Komplexität und Sichtbarkeitslücken als Risiken

Virtualisierung

Morpheus-Software ins HPE-Portfolio integriert

Erstes Quartal 2025

Ionos mit starkem Wachstum

Weitere Artikel zu Server, Datacenter

Fokus auf Colocation-Services

Christian Zipp ist neuer CEO bei Nexspace

Schnell, skalierbar und nachhaltig

Siemens, Cadolto und Legrand zeigen modulares Edge-Rechenzentrum

Energieinfrastruktur für Rechenzentren

Siemens Energy und Eaton planen modulare Komplettlösungen

Security und Cloud aus einer Hand

Plusserver kauft MSSP Cosanta

Fsas Technologies Summit 2025

Community-Treff unter neuer Flagge

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied