Zehn Tipps für mehr ERP-Sicherheit rund ums Jahr gibt Volker Eschenbächer, Vice President Sales Europe (Central, South & East) bei Onapsis. | Ten tips for more ERP security around the year by Volker Eschenbächer, Vice President Sales Europe (Central, South & East) at Onapsis. |
|---|---|
| Keine Pause für die Bösen: Hacker haben die Angewohnheit, genau dann zuzuschlagen, wenn die Sorglosigkeit am größten ist, an Feiertagen wie Weihnachten, aber auch in der Urlaubszeit. Und die allgemein unbeschwerte Sommerlaune gepaart mit dünn besetzten IT-Abteilungen ist wie eine Einladung für Angreifer. Umso wichtiger ist es, dass Unternehmen ihre geschäftskritischen Anwendungen, allen voran ERP-Systeme wie SAP, das ganze Jahr über adäquat schützen und optimal auf mögliche Angriffe vorbereitet sind.
Vorbeugen ist besser als heilen: Um Bedrohungen zu erkennen, bevor sie zu einem ausgewachsenen Angriff werden, ist eine ganzheitliche Sicht auf die gesamte Angriffsfläche und ERP-Systemlandschaft des Unternehmens notwendig. Spezialisierte Threat Detection and Response Tools ermöglichen es, Sicherheitsereignisse zu zentralisieren, potenzielle Bedrohungen in der SAP-Landschaft frühzeitig zu erkennen und zeitnah darauf zu reagieren. Sie ziehen Informationen aus verschiedenen Quellen und ermöglichen es den Sicherheitsteams, Probleme schnell zu erkennen und zu beheben.
ERP-Systeme wie SAP arbeiten in einem vernetzten Ökosystem, und Bedrohungsakteure sind in der Lage, sich agil durch dieses Netzwerk zu bewegen, um Daten zu sammeln oder Anwendungen zu manipulieren. Dazu benötigen sie lediglich einen einzigen Zugang zum Netzwerk, wie Untersuchungen von SAP und Onapsis zeigen. Das stellt Unternehmen vor eine große Aufgabe: Denn während Cybergangster nur ein einziges Schlupfloch benötigen, müssen Unternehmen die gesamte Angriffsfläche im Auge behalten und schützen. Unternehmen sollten daher über Prozesse und Lösungen verfügen, um nicht nur die Produktivsysteme, sondern die gesamte SAP-Landschaft abzusichern.
ERP-Systeme speichern die wertvollsten Daten und Informationen eines Unternehmens. Daher kann die gesamte SAP-Landschaft als kritischer Vermögenswert betrachtet werden. Dies kann sowohl die SAP-Technologie als auch Server, Datenbanken und alle anderen Systeme umfassen, die in SAP-basierte Geschäftsprozesse integriert sind. Problematisch ist, dass sich Unternehmen heute zwar häufig der Kritikalität ihres ERP bewusst sind, aber nicht wissen, welche spezifischen Geschäftsprozesse von SAP unterstützt werden und welche Wechselwirkungen bestehen.
Wenn klar ist, wo im Unternehmen sich kritische Daten und Prozesse befinden, ist es an der Zeit, diese zu bewerten: Schwachstellen, Patches, Konfigurationen, Benutzerberechtigungen, APIs. Um das mit den jeweiligen Anwendungen verbundene Risiko zu verstehen, sollten die verschiedenen Komponenten des SAP-Techstacks bewertet werden. Dies funktioniert am besten mit einem speziellen Schwachstellen-Scanner für ERPs, der Auskunft darüber gibt, welche konkreten Risiken und Schwachstellen die verschiedenen Komponenten betreffen.
Es müsste mittlerweile jedem bekannt sein und dennoch sieht die alltägliche Praxis häufig anders aus: Jedes Unternehmen sollte einen Prozess zur Bewertung, Analyse und Priorisierung von SAP-Sicherheitshinweisen implementieren und Sicherheitspatches so schnell wie möglich umsetzen. Die Onapsis Research Labs veröffentlichen beispielsweise monatlich eine SAP Patch Day Analyse, die IT-Teams dabei hilft, auf dem Laufenden zu bleiben und zeitnah relevante Patches einzuspielen.
Backups kritischer Anwendungen sind eine wichtige reaktive Maßnahme. Sie können Cyberangriffe zwar nicht verhindern, jedoch ihre Auswirkungen und Kosten erheblich verringern. So können sie im Fall einer Ransomware-Attacke den Unterschied ausmachen, ob ein Unternehmen Lösegeld zahlen muss oder nicht, und Ausfallzeiten deutlich reduzieren. Sicherheitsverantwortliche sollten daher Business-Continuity-Pläne definieren, kommunizieren und – wichtig! – testen, um sicherzustellen, dass sie auch SAP-Anwendungen berücksichtigen. Bei der Erstellung von BCPs ist entscheidend, alle möglichen Szenarien zu berücksichtigen und zu prüfen, ob die Teams angemessen darauf vorbereitet sind. Zu diesen Szenarien gehören die Wiederherstellung der gesamten SAP-Umgebung, der Ausfall einer kritischen Systemwiederherstellung und die Frage, wie lange es im Falle eines Ransomware-Angriffs dauert, alle betroffenen Dateien wiederherzustellen.
Benutzerdefinierter Code ist ein beliebter Vektor, den Bedrohungsakteure insbesondere bei Angriffen auf große Unternehmen nutzen, die Drittanbieter mit der Erstellung beauftragen. So können Schwachstellen und kompromittierter Code durch unbefugten Zugriff in SAP-Anwendungen eingeschleust werden. Die Fähigkeit, böswillige Änderungen an Custom Code und Konfigurationen zu erkennen, kann die Wahrscheinlichkeit von Infektionen durch externe Angreifer verringern und das Risiko eines erfolgreichen Angriffs deutlich minimieren.
Mit einem mehrstufigen Sicherheitsansatz sinkt das Risiko für eine erfolgreiche Infektion. Bei einem sogenannten „Defense-in-Depth“-Ansatz werden Sicherheitslösungen auf mehreren Sicherheitsebenen – physisch, technisch und administrativ – implementiert, um zu verhindern, dass Bedrohungsakteure z. B. in ein geschütztes Netzwerk vordringen. Herkömmliche „Defense-in-Depth“-Sicherheitsmodelle sind gut, können aber in der heutigen angespannte Cybersicherheitslage beim Schutz von SAP-Anwendungen zu kurz greifen. Mit spezialisierten Sicherheitslösungen für den Schutz von ERP-Anwendungen kann eine zusätzliche Sicherheitsebene eingezogen werden.
Security-Awareness-Trainings sind eine der effektivsten Möglichkeiten, das Malware-Risiko für ERP-Anwendungen zu minimieren. Die Erstinfektion kann über eine Vielzahl von Angriffsvektoren erfolgen, Angreifer zielen jedoch besonders häufig mit Social-Engineering-Techniken auf Endanwender. SAP-Nutzer sollten daher für die verschiedensten Angriffstaktiken sensibilisiert werden und bei der Verwendung ihrer Firmengeräte zu Wachsamkeit aufgerufen werden – vor allem wenn dies Remote oder im Kontext einer „Workation“ geschieht. Außerdem sollten IT-Administratoren Multi-Faktor-Authentifizierung, VPN und andere Sicherheitsmaßnahmen nutzen, um das Risiko einer versehentlichen „Zusammenarbeit“ von Usern und Angreifern zu minimieren.
Threat Intelligence-Programme liefern zeitnah aufschlussreiche Informationen über die aktuellen Taktiken und Techniken von Bedrohungsakteuren. Sie warnen frühzeitig vor neuen Ransomware-Kampagnen und bieten Gegenmaßnahmen und Handlungsvorschläge für die IT-Sicherheitsteams, die die Entwicklung und Implementierung von Sicherheitskontrollen verantworten. | No rest for the wicked: Hackers have a habit of striking exactly when carelessness is at its greatest, on holidays such as Christmas, but also during vacation time. And the generally carefree summer mood coupled with sparsely staffed IT departments is like an invitation for attackers. This makes it all the more important that companies adequately protect their business-critical applications, especially ERP systems such as SAP, throughout the year and are optimally prepared for possible attacks.
Prevention is better than cure: Detecting threats before they become full-blown attacks requires a holistic view of the company’s entire attack surface and ERP system landscape. Specialized threat detection and response tools make it possible to centralize security events, detect potential threats in the SAP landscape early and respond to them in a timely manner. They pull information from multiple sources and enable security teams to quickly identify and remediate issues.
ERP systems like SAP operate in a networked ecosystem, and threat actors are able to move agilely through that network to collect data or manipulate applications. To do so, they need only a single point of access to the network, as research by SAP and Onapsis shows. This presents companies with a major task: because while cyber gangsters only need a single loophole, companies need to keep an eye on and protect the entire attack surface. Companies should therefore have processes and solutions in place to secure not only production systems, but the entire SAP landscape.
3 Identify critical assets ERP systems store a company’s most valuable data and information. Therefore, the entire SAP landscape can be considered a critical asset. This can include SAP technology as well as servers, databases and all other systems that are integrated into SAP-based business processes. The problem is that while companies today are often aware of the criticality of their ERP, they do not know which specific business processes are supported by SAP and what interactions exist.
Once it is clear where critical data and processes are located in the enterprise, it is time to assess them: vulnerabilities, patches, configurations, user permissions, APIs. To understand the risk associated with each application, the various components of the SAP tech stack should be assessed. This works best with a dedicated vulnerability scanner for ERPs that provides information on what specific risks and vulnerabilities affect the different components.
It should be known to everyone by now, and yet everyday practice often looks different: Every company should implement a process to assess, analyze and prioritize SAP security advisories and implement security patches as soon as possible. For example, Onapsis Research Labs publishes a monthly SAP Patch Day Analysis that helps IT teams stay informed and apply relevant patches in a timely manner.
Backups of critical applications are an important reactive measure. While they cannot prevent cyberattacks, they can significantly reduce their impact and cost. For example, in the event of a ransomware attack, they can make the difference between a company having to pay a ransom or not, and significantly reduce downtime. Security managers should therefore define, communicate and – importantly! – test them to ensure they address SAP applications. When creating BCPs, it is critical to consider all possible scenarios and whether teams are adequately prepared for them. These scenarios include recovery of the entire SAP environment, failure of a critical system recovery, and how long it will take to recover all affected files in the event of a ransomware attack.
Custom code is a popular vector used by threat actors, especially in attacks against large enterprises that hire third-party vendors to create it. This allows vulnerabilities and compromised code to be injected into SAP applications through unauthorized access. The ability to detect malicious changes to custom code and configurations can reduce the likelihood of infection by external attackers and significantly minimize the risk of a successful attack.
With a layered security approach, the risk of a successful infection decreases. In what is known as a „defense-in-depth“ approach, security solutions are implemented at multiple layers of security – physical, technical and administrative – to prevent threat actors from penetrating a protected network, for example. Traditional „defense-in-depth“ security models are good, but can fall short in protecting SAP applications in today’s tense cybersecurity environment. Specialized security solutions for ERP application protection can add an additional layer of security.
Security awareness training is one of the most effective ways to minimize malware risk to ERP applications. Initial infection can occur through a variety of attack vectors, but attackers particularly often target end users with social engineering techniques. SAP users should therefore be made aware of a wide variety of attack tactics and urged to be vigilant when using their company devices – especially when doing so remotely or in the context of a „workation.“ In addition, IT administrators should leverage multi-factor authentication, VPN and other security measures to minimize the risk of inadvertent user and attacker „collaboration.“
Threat intelligence programs provide timely, insightful information about the current tactics and techniques of threat actors. They provide early warning of new ransomware campaigns and offer countermeasures and suggested actions for IT security teams responsible for developing and implementing security controls. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de