Zunehmende Gefährdung von SAP-Systemen
7 % mehr Security Notes gegenüber 2013, 46 % davon kritisch – SAP HANA, mobile Plattformen und SAP-User Ziele der Angriffe 2015
München/Boston, 19. Dezember 2014. SAP-Sicherheit kann nicht mehr länger ausgeblendet werden – das ist das Fazit der SAP Security Advisories für 2014 bis 2015, die Onapsis Inc., globaler Experte für die Sicherheit geschäftswichtiger Applikationen veröffentlicht hat. Das Expertenteam der Onapsis Research Labs warnt in seinem neuen Trendbericht für SAP-Security vor der zunehmenden Gefährdung von SAP-Systemen durch Bedrohungen wie Heartbleed, Shellshock, Poodle und Zombie Zero. Die Analyse zeigt, dass 2014 die Zahl der Schwachstellen und Exploits, die die Sicherheit von SAP-Systemen gefährden, gegenüber dem Vorjahr zugenommen hat. Aufwendige Bedrohungen, die auf SAP-Systeme mit geschäftswichtigen Applikationen abzielen, nehmen sogar überproportional stark zu. Für das Jahr 2015 sollte ein besonderes Augenmerk auf SAP HANA, mobile Bedrohungen und auf solche Angriffe gerichtet werden, die den SAP-Anwender direkt im Visier haben.
In diesem Jahr gab es 391 SAP Security Notes, von denen 46 Prozent Schwachstellen mit hoher Priorität beschreiben. Die Onapsis Research Labs berichten, dass 44 dieser Schwachstellen und 35 Advisories die SAP-Plattform und verwandte Produkte betreffen, die die Basis für CRM- und ERP-Systeme bilden, etwa SAP HANA, BusinessObjects und SAP Business Suite.
Organisationen nutzen SAP BusinessObjects zum Nachverfolgen und Analysieren der Geschäftsperformance sowie für die Berichterstattung. SAP BASIS hingegen ist beschränkt auf die administrativen Funktionen und Prozesse innerhalb eines SAP-Systems, zum Beispiel die Datenbank, die unterstützende Architektur und die Bedienoberfläche.
Komplexe Angriffe, die auch die Nicht-SAP-Sicherheit in Unruhe versetzten, betrafen und betreffen auch SAP-Plattformen. So die besonders kritischen Bedrohungen Heartbleed (CVE-2014-0160), Shellshock (CVE-2014-6271), Poodle (CVE-2014-3566) und Malware wie Zombie Zero. Die Zunahme im Bereich der komplexen Angriffe setzte sich 2014 fort. Dazu zählt auch das vermehrte Auftauchen von Malware, die zielgenau auf SAP-Systeme ausgerichtet ist – etwa der Win32/Gamker-Trojaner, der SAPGUI-Clients ausspionieren kann.
Daten müssen in der Cloud und auf Endgeräten geschützt werden
„Die Sicherheitsbranche war noch nie so komplex wie heute. Ab dem nächsten Jahr werden mehr und mehr Unternehmen ihre Strategien überarbeiten und damit beginnen oder fortfahren, ihre Prozesse in die Cloud zu migrieren“, erläutert Ezequiel Gutesman, Director of Research der Onapsis Research Labs. 2015 werden Hacker ohne Zweifel Schwachstellen in Schlüsselplattformen wie SAP HANA ausnutzen. SAP HANA ist ein zentrales Element des SAP-Ökosystems. Daher müssen die in der SAP-Plattform gespeicherten Daten sowohl in der Cloud als auch auf den Zugangsgeräten der Endanwender geschützt werden. Risikofaktoren wie gespeicherte Zugangsdaten und zwischengespeicherte Inhalte erfordern daher besondere Beachtung. Angesichts der Entwicklung der Bedrohungslage in der Industrie bieten wir allen SAP-Anwendern regelmäßig Sicherheitshinweise und empfehlen Schritte zur Absicherung ihrer wichtigsten Unternehmensdaten im kommenden Jahr.“
Die Onapsis Security Advisories sind öffentlich verfügbar unter: http://www.onapsis.com/research/advisories.
