IT-Matchmaker news

SAP-Sicherheitslücken proaktiv erkennen und schließen

Die Strategien für den Umgang mit Fehlkonfigurationen und Zero-Day-Schwachstellen in SAP-Systemen sind vielerorts unzureichend. Eine Security-Plattform hilft dabei, SAP-Sicherheitslücken proaktiv zu erkennen und organisiert zu beheben.

IT-Security
Quelle: ©Thapana Onphalai | istockphoto.com

Nachholbedarf: Die Strategie zum Absichern von SAP-Systemen hat in vielen Fällen eine Überholung nötig, wie zwei Beispiele aus der jüngeren Vergangenheit zeigen. Im November 2021 ließ eine Schwachstelle in der Apache Protokollierungsbibliothek Log4j IT-Sicherheitsteams und SAP-Kunden aufschrecken. Diese SAP-Sicherheitslücke hatte es in sich. Zunächst einmal mussten Security-Teams untersuchen, in welchen Modulen diese Komponente zum Einsatz kommt, bevor sie sich an individuelle Abhilfemaßnahmen machten. SAP bestätigte kurz nach Bekanntwerden der Log4j-Problematik, dass noch weitere für die Internet-Kommunikation zuständige SAP-Komponenten betroffen waren und Kunden auf Patches warten mussten.

Kaum hatte sich die Log4j-Welle beruhigt, ereilte SAP-Kunden im Februar 2022 eine weitere Hiobsbotschaft: SAP vermeldete im Rahmen des monatlichen Security Patch Days eine kritische SAP-Sicherheitslücke in SAP Gateways und Internet Communication Manager – später ICMAD genannt – und veröffentlichte einen Fix. Die Installation dieses Patches brachte eine weitere Ausfallzeit.

SAP-Sicherheitslücken proaktiv erkennen und schließen

Beide Ereignisse zeigen die Schwächen vieler Strategien zum Umgang mit Zero-Day-Schwachstellen. Idealweise sollten Organisationen SAP-Sicherheitslücken proaktiv erkennen, deren Ausnutzung vorhersehen und dann organisiert damit umgehen. Künftige Taktiken sollten unter dieser Prämisse aufgesetzt werden. Es braucht eine nachhaltige Sicherheitsstruktur, wie Unternehmen auf unbekannte Schwachstellen reagieren.

Anzeige | Webinartipp

SAP S/4HANA®-Migration erfolgreich bewältigen

Kostenfreies 45-Minuten-Webinar: Erhalten Sie einen neutralen Überblick zu Migrationsstrategien, Partnerauswahl, Projektstart und Risikoreduktion.

Zunächst gilt es anzuerkennen, dass die bisherige Sicherheitsstrategie unzureichend ist, so der Software-Anbieter SecurityBridge. Dafür muss das Management sensibilisiert werden, denn ein Strategie-Update gibt es nicht kostenlos. Die damit verbundenen Investitionen müssen immer den finanziellen Auswirkungen und dem potenziellen Imageschaden gegenübergestellt werden, den eine Sicherheitsverletzung für das Unternehmen bedeuten würde.


Vertiefung


Inventar aller Anwendungen mit Risikokennzahlen

Eine nachhaltige Cybersicherheitsstrategie ist kein einmaliges Projekt, sondern ein permanentes Programm mit dem Grundsatz: Anwendungen sollten dem User besser nicht zu sehr vertrauen und stattdessen durch strenge Authentifikationsmaßnahmen geschützt werden. Ein effektiver Ansatz besteht darin, ein Inventar der vorhandenen Softwareanwendungen zu erstellen und diese nach den Risikokennzahlen des Unternehmens zu sortieren. SAP-Anwendungen sind in diesem Inventar oft unter den Top 10 zu finden.

Neben einem allgemeinen Sicherheitsprogramm, das traditionelle Sicherheitskomponenten wie Netzwerksegmentierung, Viren-Scanning und Client-Monitoring umfasst, empfiehlt sich ein anwendungsspezifisches Sicherheitsprogramm. Viele Unternehmen verzichten auf derartige Initiativen, da hierfür spezifisches Know-how erforderlich ist und es keine standardisierten Schnittstellen zu etablierten Cybersicherheits-Frameworks (NIST CSF, MITRE) und Security Information Event Management (SIEM) gibt.

Ein mehrschichtiger Ansatz mit ständigen Updates

Ein mehrschichtiger Sicherheitsansatz ist enorm wichtig, da nur er genügend Einblicke bietet, um SAP-Sicherheitslücken proaktiv zu erkennen und darauf angemessene Reaktionen einzuleiten. Ziel ist es, chaotische Situationen zu vermeiden, die bislang durch das Auftreten bisher unbekannter Sicherheitslücken verursacht wurden.

Unternehmen brauchen künftig einen dynamischen Standard, den sie kontinuierlich überprüfen und optimieren. Dieses Verfahren enthält drei Elemente:

• Monitoring

Beim Überwachen der Applikationssicherheit erkennen Administratoren Anomalien. Monitoring hilft dabei, Bedrohungen und deren Auswirkungen rechtzeitig zu erkennen. Und es führt zur Fähigkeit, adäquat zu reagieren.

• Abhärten

Aufgrund der Komplexität von SAP-Anwendungen fehlt vielen Unternehmen ein Verständnis für deren individuelle Angriffsflächen. Dies ist aber notwendig, um eine effiziente Sicherheitshärtung zu implementieren. Kombiniert mit einer regelmäßigen Bewertung verbessern Unternehmen ihre Cyber-Resilienz. Bei jeder Änderung – etwa beim Erstellen einer neuen RFC-Destination über die SAP-Transaktion SM59- sollten Administratoren die Auswirkungen auf die Sicherheit hinterfragen. Um der sich schnell ändernden Angriffslandschaft Rechnung zu tragen, muss dieser Bereich kontinuierlich angepasst werden.

• Regelmäßige Audits

Kontinuierliche Bewertungen, die bei Abweichungen von den Richtlinien zur Sicherheitshärtung Alarm schlagen, sind erforderlich, um das gewünschte Schutzniveau aufrechtzuerhalten. Da sich IT-Landschaften ständig ändern, reicht es nicht aus, die Systemsicherheit einmal im Quartal zu überprüfen. Jede Abweichung vom etablierten Standard sollte umgehend getestet werden. Darüber hinaus ist ein definierter Prozess nötig, um Abweichungen schnell zu korrigieren.

Eine interessante Möglichkeit für eine derartige Cyberabwehr bietet die vollständig in SAP integrierte Plattform SecurityBridge. Neben der Überwachung bringt diese Lösung Analysewerkzeuge mit, um nicht nur unsichere Konfiguration und fehlende Sicherheitsupdates, sondern auch Schwachstellen in kundeneigenen SAP-Entwicklungen zu erkennen. Jf


Der Autor

Verwandte Artikel

Der IT-Matchmaker® Newsletter erscheint alle 14 Tage und informiert Sie über Neues und Interessantes rund um den Einsatz von Business Software.

Aktuelle Marktübersichten

IT-Matchmaker®.guide KI-Lösungen für Business Software 2026

IT-Matchmaker®.guide ERP-Lösungen 2026

IT-Matchmaker®.guide Industrie 4.0 Lösungen 2026

Abschluss der Webinaranmeldung

Ihre gewählten Webinare

Information

Vielen Dank für Ihre Webinaranmeldung.

Wir prüfen die Verfügbarkeit und senden Ihnen in Kürze eine Mail mit den Webinardaten.

Anmeldung Webinare

Sie haben die folgenden Webinare ausgewählt:

Sie wollen Sich für mehrere Webinare gleichzeitig anmelden? Dann klicken Sie auf 'Weitere Webinare anzeigen‘ und setzen für jeden Termin einen Haken.

Bitte geben Sie Ihre E-Mail-Adresse an. Wir schicken Ihnen einen Bestätigungslink per Mail. Bitte folgen Sie diesem Link, um die Anmeldung abzuschließen. Der Link verliert seine Gültigkeit nach 3 Tagen.

Information

Vielen Dank. Sie erhalten in Kürze eine E-Mail mit dem Link zur Vollendung der Anmeldung für unser Webinar.

Fehler

Der Link ist nicht mehr gültig

Bitte starten Sie die Registrierung / Anmeldung erneut.

Information

Alle Downloads sind jetzt freigeschaltet.

Wir haben Ihnen soeben einen Freischaltlink geschickt, mit dem Sie in Zukunft ohne erneute Registrierung auf alle Downloads zugreifen können.

Abschluss der Registrierung
Download-Freischaltung

Bitte geben Sie Ihre E-Mail-Adresse an. Wir schicken Ihnen einen Bestätigungslink per Mail. Bitte folgen Sie diesem Link, um die Registrierung abzuschließen. Der Link verliert seine Gültigkeit nach 3 Tagen.

Information

Vielen Dank. Sie erhalten in Kürze eine E-Mail mit dem Link zum Abschluss der Registrierung für unser Download-Center.