Ransomware und ERP

Von Viktor Neugebauer, abtis

ERP-Systeme rücken als lohnende Angriffsziele immer mehr ins Visier von Cyberkriminellen. Das Research-Unternehmen Onapsis berichtet beispielsweise in seinem Ch4tter Report für SAP über seit Jahren rasant steigende Ransomware Incidents mit kompromittierten ERP-Systemen. Auch beobachten die Security-Spezialisten eine enorme Zunahme an Beiträgen zu Vulnerabilitäten von ERP-Systemen in einschlägigen Darknet-Foren. Durch den Einsatz von Künstlicher Intelligenz werden Angriffe immer ausgefeilter und treffsicherer. KI ermöglicht es, Schwachstellen in ERP-Systemen schneller zu identifizieren, Angriffe präziser zu gestalten und herkömmliche Sicherheitsmaßnahmen einfacher zu umgehen.

Den Hackern stehen im Mittelstand häufig IT-Teams gegenüber, die oftmals personell unterbesetzt und von vielen parallelen Projekten zur Digitalisierung ausgezehrt sind und daher kaum in der Lage, sich die rasant steigenden Mengen an notwendigem Detailwissen zeitnah anzueignen.

So ist eine Situation entstanden, die offensichtlich erhebliche Schäden verursacht. In einer Studie nennt Onapsis folgende Zahlen für Deutschland, Österreich und die Schweiz: 86% der für diese Studie befragten Unternehmen erleben mindestens einen Ransomware-Angriff im Jahr – die Mehrheit sogar deutlich mehr. 62% der geschädigten Unternehmen hatten Ausfälle von mehr als 24 Stunden zu verkraften und bei 9 von 10 Unternehmen war das ERP-System betroffen. 55% der Unternehmen haben mindestens einmal das geforderte Lösegeld gezahlt.

Das ist eine sehr ernüchternde Bilanz. Ein Blick auf die typischen Ursachen bringt weitere Ernüchterung: Häufig sind die genutzten Exploits in den ERP-Systemen seit langem bekannt und die Hersteller bieten entsprechende Patches an, die aber aus verschiedenen Gründen nicht eingespielt wurden. Die IT-Teams sind von der Menge und Komplexität der notwendigen Maßnahmen in der IT-Security schlichtweg überfordert. Zudem können sie das erforderliche 24/7 Security Monitoring mit hochspezialisierten Werkzeugen weder personell noch mit Blick auf Erfahrung und Toolausstattung leisten.

Einen Ausweg aus diesem Dilemma bietet eine grundlegende Neuorganisation der IT-Security im Unternehmen. Dazu sollte der Mittelstand die IT-Sicherheit in die Hände externer Profis legen, die mit dedizierten Security Operations Center as a Service (SOCaaS) Angeboten alle notwendigen Sicherheitsmaßnahmen rund um die Uhr überwachen und umsetzen können. Das ist eine ebenso wirksame wie kosteneffiziente Lösung, um Unternehmen vor den wachsenden Bedrohungen zu schützen. Bei der Anbieterauswahl sind mittelständische Unternehmen gut beraten, sich für einen Anbieter zu entscheiden, der ihnen die gesamte Bandbreite an Beratungs- und Serviceleistungen aus einer Hand bieten kann.

Für die Bewertung des Anbieters hilft ein Blick auf folgende neun Leistungsmerkmale, die das notwendige Spektrum eines SOC ausmachen und die genannten Vorteile mit sich bringen.

• 24/7-Überwachung und Echtzeit-Schutz: Ein SOC bietet eine kontinuierliche Überwachung der gesamten IT-Infrastruktur, einschließlich ERP-Systemen, Cloud-Umgebungen und verbundenen Netzwerken. Bedrohungen werden in Echtzeit erkannt und abgewehrt, was die Reaktionszeit bei Angriffen erheblich verkürzt und Ausfallzeiten minimiert.
• KI-gestützte Bedrohungserkennung: Mithilfe modernster Technologien erkennt das SOC auch hochentwickelte, KI-gestützte Angriffe, bevor diese Schaden anrichten können. Diese präzise Bedrohungserkennung stellt sicher, dass potenzielle Angriffe schnell gestoppt werden, bevor sie die kritischen ERP-Systeme gefährden.
• Proaktives Threat Hunting: Statt nur auf Vorfälle zu reagieren, geht das SOC aktiv auf die Suche nach potenziellen Bedrohungen in der Infrastruktur eines Unternehmens. Das reduziert das Risiko, dass unentdeckte Schwachstellen ausgenutzt werden können. Dabei wird eine Vielzahl von Datenquellen wie Firewalls, IoT/OT-Umgebungen, Cloud-Umgebungen und SAP-Systemen integriert, um umfassende Sicherheitsinformationen bereitzustellen.
• Erweiterter Identitätsschutz: Einen besonderen Fokus legen gute SOC-Services auf den Schutz von Benutzeridentitäten. Durch den Einsatz von Microsoft Defender for Identity ist das SOC in der Lage, kompromittierte Benutzerkonten zu sperren, seitliche Bewegungen von Angreifern zu unterbinden und Angriffe auf Active Directory frühzeitig zu erkennen. Diese Maßnahmen sind besonders wichtig, da viele Angriffe durch gestohlene Zugangsdaten ermöglicht werden.
• Schnelle Incident Response: Im Falle eines Angriffs sorgt das SOC für eine unmittelbare Alarmierung und gibt konkrete Handlungsempfehlungen, damit der Vorfall schnell eingedämmt werden kann. Ein erfahrenes Team steht rund um die Uhr bereit, um Bedrohungen zu beseitigen und den Schaden zu minimieren. Zudem bietet das SOC maßgeschneiderte Alerts und eine telefonische Alarmierung bei kritischen Incidents, damit Unternehmen in Krisensituationen rasche Unterstützung erhalten.
• Ganzheitlicher Überblick über die Sicherheitslage: Ein Angriff auf einen Teil des Netzwerks kann sich schnell auf andere Bereiche auswirken. Das SOC überwacht daher nicht nur das ERP-System, sondern auch verbundene Systeme wie Firewalls, Benutzerverhalten und Cloud-Umgebungen. Eine erweiterte Sichtbarkeit durch zusätzliche integrierte Tools ermöglicht ein umfassendes Verständnis der Sicherheitslage und proaktive Reaktionen.
• Compliance und Sicherheitsstandards: Gute Anbieter unterstützen ihre Kunden dabei, branchenspezifische Sicherheits- und Compliance-Anforderungen wie ISO einzuhalten. Das ist besonders wichtig, da viele ERP-Systeme sensible Daten enthalten, deren Schutz gesetzlich vorgeschrieben ist. Auch der Schutz von Microsoft Entra ID und der damit verbundenen Benutzerkonten wird überwacht und sichergestellt.
• Kosteneffizienz und Flexibilität: Unternehmen sollten nicht nur von einem verbesserten Sicherheitsniveau, sondern auch von einer hohen Kosteneffizienz profitieren. SOC as a Service reduziert die Betriebskosten, da weniger interne IT-Ressourcen erforderlich sind und keine Investitionen in teure Hardware oder ständige Upgrades nötig sind. Zudem ist SOC flexibel skalierbar und passt sich den sich ändernden Geschäftsanforderungen an.
• Erweiterter Schutz für Endpoints: Ein geeignetes SOC integriert auch Endpoint-Technologien wie beispielsweise DeepInstinct und Microsoft Defender for Endpoint, um Endpoints vor Ransomware und Zero-Day-Bedrohungen zu schützen. Diese Kombination aus proaktiver Prävention und schneller Erkennung bietet einen umfassenden Schutz für das gesamte IT-Ökosystem.

Da Microsoft im Mittelstand in der Regel eine zentrale Rolle einnimmt, ist es sehr von Vorteil, wenn der Anbieter Security und SOC as a Service mit einem Microsoft-Technologie-Stack abbildet. Ein Indiz für die Leistungsfähigkeit eines Microsoft Partners ist beispielsweise die Auszeichnung als Verified MXDR Solution Partner von Microsoft oder eine Mitgliedschaft in der Microsoft Intelligent Security Association (MISA). Durch den Fokus auf Microsoft besteht zudem die Möglichkeit, moderne Sicherheitslösungen nahtlos in bestehende Microsoft-Umgebungen zu integrieren. Dies umfasst beispielsweise fortschrittliche Features wie Multi-Faktor-Authentifizierung, automatisiertes Schwachstellenmanagement und Risikobewertungen, die den Schutz von ERP-Systemen und anderen kritischen Infrastrukturen weiter erhöhen.

Ganzheitlicher, proaktiver Schutz ist der Schlüssel

Die zunehmenden Angriffe auf ERP-Systeme erfordern ein Umdenken in der Cybersicherheitsstrategie vieler Unternehmen. ERP-Systeme sind das Rückgrat eines Unternehmens und ihre Absicherung darf nicht dem Zufall überlassen werden. Ein guter SOC-Service bietet eine umfassende, kosteneffiziente und zukunftsorientierte Lösung, um ERP-Systeme und die sie umgebenden kritischen Infrastrukturen optimal zu schützen. 24/7-Überwachung, KI-gestützte Bedrohungserkennung, erweiterte Identitätssicherheit und proaktive Maßnahmen bieten den Schutz, den moderne Unternehmen benötigen, um den immer raffinierteren Cyberangriffen einen Schritt voraus zu sein. Unternehmen, die ihre Sicherheitsstrategie in die Hände eines hochqualifizierten SOC-Partners legen, sind in der Lage, die aktuellen Herausforderungen der Cybersicherheit effektiv zu meistern und sich auf ihre Kernprozesse zu konzentrieren. Die interne IT wird aus dem wenig befriedigenden Hamsterrad des Wettlaufs mit Cyberkriminellen befreit und kann sich stärker ihrer eigentlichen Rolle als Motor für Innovation und Veränderung im Unternehmen widmen. Durch SOC as a Service geht der Mittelstand sicher und gestärkt in eine digitale Zukunft.