SAP- und Oracle-Anwendungen geraten zunehmend ins Visier von Hackern

Fehlende Security-Patches und unkontrollierte Datentransfers erleichtern Cyberattacken

Die Schlagzeilen aus den USA könnte viele SAP und Oracle User beunruhigen. Cyber-Sicherheitsfirmen und das US-Heimatschutzministerium warnen vor zunehmenden, versteckten Hackerangriffen, die jedoch teilweise immer noch zu sehr auf die leichte Schulter genommen werden. [1]

Hacker nutzen gezielt Schwachstellen in SAP und Oracle

Berichten zufolge sind es jahrelange Sicherheitsprobleme, die für Hacker besonders interessant und ebenfalls leicht zugänglich geworden sind. In jüngster Vergangenheit traten diese Probleme in den führenden Unternehmensapplikationen von Oracle und SAP auf, die nicht aktualisiert oder mit Security-Patches ausgestattet wurden. Sicherheitslücken, die nicht beseitigt werden, werden schamlos ausgenutzt und verschaffen nach Nunez „uneingeschränkten Zugriff auf SAP- und Oracle-Systeme“. [1]

Langfristig gesehen könnten Unternehmen in ernstzunehmende Schwierigkeiten geraten, die weitaus schlimmer sind als eine kurzfristige Unterbrechung ihrer Unternehmensaktivitäten aufgrund der Implementierung von Security-Patches. Durch die von Hacker entwendeten Daten entsteht nicht nur ein Schaden für das operative Geschäft, am Ende muss das betroffene Unternehmen ggf. auch für einen Datenschutzverstoß aufkommen. [1] Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) umfasst verschärfte Strafen bei Verstößen. Hierbei stellt sich nun die Frage, ob das Anreiz genug ist, Sicherheitslücken zu beseitigen und in moderne Datenschutzlösungen zu investieren, bevor hohe Strafen gezahlt werden müssen.

Wieso werden Sicherheitslücken nicht behoben?

Eine Lösung für alle Sicherheitslücken zu finden stellt sich als große Herausforderung dar, der sich jedes Unternehmen stellen muss. Jedoch gibt es bekannte Sicherheitslücken für die Security-Patches angeboten werden. SAP und Oracle raten dazu diese zu installieren und Anwendungssysteme zu aktualisieren, um Angriffe abwehren zu können. Jedoch wird diesen Empfehlungen oft nicht nachgegangen. Die von den genannten Angriffen betroffenen Unternehmen und Regierungsbehörden hatten keine Patches installiert. In der Begründung dafür hieß es, man mache sich Sorgen, dass „damit Herstellungs-, Verkaufs- oder Finanzaktivitäten unterbrochen werden“. Nach einem SAP-Sprecher werden aber Sicherheits-Patches jeden Monat herausgegeben und müssen somit zeitnahinstalliert werden. [1] Man vergisst jedoch oft, dass Unternehmen durch ihre zahlreichen Projekte und fehlendes Personal dieser Empfehlung schlicht weg nicht nachkommen. Dafür ist der Aufwand für die Implementierung der Updates und dem damit verbundenen Testen zu hoch.

Herausforderung: Prozess- und anwendungsübergreifende Datensicherheit

Unternehmen müssen Prozesse etablieren, um Datensicherheitslücken rechtzeitig erkennen zu können. Dafür muss der Blick erweitert und neben den Systemen auch Business Prozesse und Datenflüsse betrachtet werden. Datentransfers zwischen den einzelnen Anwendungen oder technologischen Plattformen werden beispielsweise durch eine klassische Data Loss Prevention (DLP) nicht ausreichend geschützt. Mit HALOCORE von SECUDE wird insbesondere SAP-Kunden eine erweiterte Data Loss Prevention zur Verfügung gestellt.

Durch eine automatisierte Datenklassifikation und Verschlüsselung können Datenexporte aus SAP-Systemen kontrolliert und unautorisierte Exporte von empfindlichen Daten im Zusammenhang mit Cyberattacken verhindert werden. Darüber hinaus werden Verletzung der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) vermieden.

Mehr erfahren

Zur HALOCORE-Lösungsseite

Das könnte Sie auch interessieren

Leitfaden: SAP-Sicherheit im digitalen Zeitalter
Sicherheitsrisiko USB-Stick – So schützen sich SAP-Kunden vor Datenverlust und Schadsoftware

Quellen

[1]
reuters.com, Study warns of rising hacker threats to SAP, Oracle business software, 31.07.2018
reuters.com, Die USA warnen vor Angriffen auf anfällige Firmensoftware von SAP und Oracle, 25.07.2018