IT-Onlinemagazin
Im Rahmen eigener Prüfungen hat SAP festgestellt und mitgeteilt, dass einige SAP Cloud-Produkte derzeit einen oder mehrere vertraglich vereinbarte oder gesetzlich vorgeschriebene IT-Sicherheitsstandards nicht erfüllen. Betroffen sein sollen SAP Success Factors, SAP Concur, SAP / CallidusCloud Commissions, SAP / Callidus Cloud CPQ, SAP C4C / Sales Cloud, SAP Cloud Platform und SAP Analytics Cloud.
Nach eigenen Angaben sind damit etwa 9 Prozent der insgesamt 440.000 SAP-Kunden betroffen, und die Überprüfung dauert noch an. SAP geht derzeit nicht davon aus, dass aufgrund der festgestellten Mängel Daten von SAP-Kunden kompromittiert wurden. Neben technischen Abhilfemaßnahmen müssen offenbar auch die sicherheitsbezogenen Geschäftsbedingungen aktualisiert werden.
Die notwendigen Maßnahmen sollen im zweiten Quartal 2020 weitgehend abgeschlossen werden. SAP will die betroffenen Kunden individuell informieren und unterstützen. Wir baten einige SAP Security-Experten um einen Kommentar [und haben diesen Artikel am 07.05. ab hier ergänzt]
Thomas Werth (Werth IT) meint: „Diese Meldung ist ein Weckruf und zeigt, dass Cybersicherheit auf vielen verschiedenen Eckpfeilern steht. Hier treffen sich die Sicherheit des Betriebssystems und der Netzwerkdienste wie SSH oder Web-Server sowie die Security der jeweiligen implementierten Lösung. Je nach Fokus bei der initialen Absicherung kann das ein oder andere Einfallstor übersehen werden. Dies kann zum Risiko werden, denn Angreifer beschränken sich auch nicht auf nur einen Angriffsweg. Zum Verständnis ein Blick auf die SAP-Berechtigungen: Nur weil die System-Administratoren diese als „Haupt-Sicherung“ sehen, können Angreifer dennoch ganz andere Wege zu SAP_ALL verfolgen. Daher ist es richtig und wichtig die Sicherheit wie in diesem Fall ganzheitlich zu prüfen.
Mit knapp 9 Prozent sind vergleichsweise viele Kunden betroffen. Jeder sollte nun kontrollieren, ob tatsächlich ein Missbrauch sicher ausgeschlossen werden kann. Da die Verantwortung für den sicheren Betrieb nicht von der Geschäftsführung delegierbar und unbedingt zu kontrollieren ist,
stellt sich mir die Frage, wieso die Unsicherheiten nicht bereits früher durch eine externe Prüfung erkannt wurden? Letztlich kann es hier schnell zu hohen Schadenssummen kommen, da ist blindes Vertrauen in den Hoster kein guter Ratgeber.“
Thomas Tiede (IBS Schreiber) kommentiert: „Bisher haben wir nur von wenigen Kunden negative Rückmeldungen zu den aktuell umgesetzten IT-Sicherheitsstandards der SAP Cloud-Produkte erhalten. Dies waren größere Unternehmen, die unter anderem bei Penetrationstests auf SAP SuccessFactors (in Abstimmung mit der SAP) durchgeführt haben. Dabei wurden Sicherheitslücken aufgedeckt.
Dass SAP die IT-Sicherheitsstandards in den Cloud-Produkten nicht vollständig umgesetzt hat, ist auf Grund der technischen Unterschiedlichkeit und Komplexität der Produkte (die ja meist nicht eigenentwickelt, sondern zugekauft sind) zwar nachvollziehbar, aber nicht hinnehmbar. Daher ist es sehr zu begrüßen, dass SAP die vollständige Umsetzung der IT-Sicherheitsstandards nun proaktiv angeht.“
Das IT-Onlinemagazin führt derzeit eine anonyme Umfrage zur SAP-Sicherheit durch.
Nehmen Sie gerne teil:
