SAP Sicherheit Umfrage: Viele SAP Systeme dürften sehr leicht angreifbar sein

2
Posted 15. Mai 2017 by Redaktion IT-Onlinemagazin in IT-Leiter

Haupttreiber für Investitionen in SAP-Sicherheit sind eigene Compliance-Richtlinien und der Schutzbedarf des geistigen Eigentums. Obwohl die Sensibilität für SAP Security weiter steigt, bleibt bei den tatsächlich durchgeführten Maßnahmen noch reichlich Luft nach oben.

SAP-Systeme dürften weiterhin sehr leicht angreifbar sein, SAP Security Patches werden bei 33 Prozent der Unternehmen nicht zeitnah eingespielt. Nur 35 Prozent der Unternehmen sehen ihr Unternehmen zur Erkennung von Angriffen gut aufgestellt.

Erfreulich: Die kontinuierliche Überprüfung von ABAP-Code und Eigenentwicklungen wird von deutlich mehr Unternehmen (42 Prozent) durchgeführt, das bedeutet einen Anstieg um 15 Prozent gegenüber dem Vorjahr. Das ergab die aktuelle Onlineumfrage des IT-Onlinemagazins.

„Besonders interessant ist für mich die Erkenntnis, dass IT-Verantwortliche das wichtige Thema der Erkennung von Cyberangriffen auf die SAP-Umgebung immer noch nicht auf dem Radar haben“, findet Dr. Markus Schumacher, Geschäftsführer vom SAP-Sicherheitsspezialisten VIRTUAL FORGE, der die Umfrage fachlich unterstützt und gesponsert hat.

 

 

Relevanz der SAP Sicherheit steigt permanent und stark weiter

Der Trend der letzten Jahre ist ungebrochen und die Bedeutung der SAP-Sicherheit steigt im dritten Jahr in Folge signifikant. 66 Prozent der Teilnehmer gaben an, dass in ihren Unternehmen die Sensibilität bezüglich der SAP-Sicherheit im Vergleich zum Vorjahr gestiegen ist. (2016: +53% / 2015: +51%). Bei 32 Prozent ist sie unverändert, bei nur 2 Prozent ist sie gesunken.

Schaut man auf die Antworten der folgenden Frage kann man vermuten, dass sich diese dauerhaft steigende Sensibilität auch in konkreten Handlungsanweisungen wiederfindet und bei vielen Unternehmen offenbar fester im Alltag verankert ist.

 

Treiber für SAP Sicherheit: Interne Einsicht statt externer Druck

Wir stellten die Frage, was in den Unternehmen die Investitionstreiber zur Erhöhung der SAP-Sicherheit sind. Als wichtigsten Auslöser nannten 57 Prozent der Teilnehmer interne Compliance Richtlinien und 44 Prozent den Schutzbedarf des geistigen Eigentums.

Die „Ausweitung der ERP-Infrastruktur in Richtung Cloud“ spielte mit 26 Prozent eine eher untergeordnete Rolle. „Erfolgreiche Angriffsversuche / Schadensfall“ nannten immerhin 15 Prozent als Motivator für Investitionen. Mehrfachnennungen waren möglich.

Erfreulich: Demnach ist die eigene Einsicht in SAP-Sicherheit investieren zu wollen größer als der externe Druck durch Vorgaben oder Gesetzgebung. Mit welchen konkreten Maßnahmen die Unternehmen ihre SAP Sicherheit erhöhen wollen, fragten wir ebenfalls:

 

Anspruch höher als die Wirklichkeit: Maßnahmen oft unzulänglich

Spitzenplatz bei den Maßnahmen zur Erhöhung der SAP Security sind die „kontinuierliche Überprüfung von Benutzer-Rollen und -Berechtigungen“ (72 Prozent / 2016: 53 Prozent) und die regelmäßige Überprüfung der SAP-Systemkonfiguration (Passwortvorgaben, Verschlüsselung, etc.). Bei beiden Aktivitäten ist ein Anstieg gegenüber den Vorjahren festzustellen.

Weitere Umfrageerkenntnisse: (Nur) zwei von drei Unternehmen schaffen das „zeitnahe Einspielen von SAP Security Patches“ (67 Prozent). Diese Zahlen decken sich mit vergangenen Umfragen.

Auf ähnlichem Niveau finden sich im Mittelfeld die Maßnahmen Identity Management, Sicherheitsaudits in Projekten, Monitoring von kritischen Ereignissen (Threat Detection) und Sicherheitstests bei Eigenentwicklungen. Aufsteiger ist hier die Prüfung von kundenindividuellem ABAP-Code.

Die „Durchführung von Penetrationstests“ bestätigt mit 32 Prozent das Vorjahresniveau — von 2015 zu 2016 hatte es bei den eigenen Angriffsversuchen auf SAP Systeme eine Verdreifachung gegeben. Schlusslicht bleiben – wie im Vorjahr auch – SAP Sicherheitstrainings für Anwender (23 Prozent).

 

Der eigene Sicherheitsanspruch und die Realität in den Unternehmen scheinen nach diesen Ergebnissen noch nicht im Einklang zu stehen. Es bleibt weiterhin Luft nach oben.

 

Verantwortlich für SAP-Sicherheit: SAP Basisadministration

Wir fragten wieder, wer maßgeblich für den stabilen und sicheren Betrieb der SAP-Systeme und Anwendungen verantwortlich ist. Die Tendenz des Vorjahres wurde bestätigt: Die Hauptverantwortung für SAP Sicherheit liegt bei der SAP Basisadministration (83 Prozent). 45 Prozent der Befragten nannten einen SAP-Security Verantwortlichen, 18 Prozent die Fachabteilungen und 18 Prozent den externen Systembetreiber als maßgeblich zuständig.

Die SAP-Sicherheit hat bei vielen SAP-Kunden demnach offenbar eher eine operative Bedeutung. Ein weiterer Interpretationsversuch könnte sein, dass die SAP-Landschaft im Zusammenspiel mit der IT-Sicherheit oft noch einen „blinden Fleck“ darstellt, weil SAP-Fachwissen notwendig ist.

 

Hoher Anstieg bei kontinuierlicher Sicherheitsprüfung von ABAP-Code und externer Software

Einen positiven Trend kann man bei der Sicherheitsprüfung von ABAP-Code, externen Entwicklungen, Drittprodukten und SAP Add-Ons feststellen. Diese werden bei 42 Prozent der Unternehmen kontinuierlich auf mögliche Risiken überprüft – das ist eine Steigerung um 15 Prozent. Weitere 37 Prozent (minus 3 Prozent zum Vorjahr) prüfen externe Entwicklungen zumindest stichprobenartig, 21 Prozent (minus 12 Prozent) eher nicht.

Bei dieser Verbesserung des Sicherheitslevels könnte eine Rolle spielen, dass derartige Sicherheitstests automatisiert und ohne großen Aufwand möglich sind. Trotzdem ist immerhin jedes fünfte SAP-System weitgehend ungeschützt gegen bekannte Sicherheitsrisiken durch schadhaften ABAP-Code und Programmierfehler. Statistisch gesehen, befinden sich in jedem ungeprüften SAP-System mehr als 2.000 kritische Sicherheitslücken (Quelle: ABAP Benchmark Report).

 

Angriffe auf SAP verhindern, erkennen oder bekämpfen?

Erstmalig wollten wir wissen, in welchen Bereichen die Unternehmen am besten aufgestellt sind. Hier nannten 53 Prozent der Teilnehmer bei der „Prävention von Angriffen“, 35 Prozent bei der „Erkennung von Angriffen“ und 29 Prozent die „Reaktionsfähigkeit bei Angriffen“ — 19 Prozent gaben an „in keinem der genannten Bereiche“. Mehrfachnennungen waren möglich.
SAP Sicherheit prävention Erkennung Reaktion

 

Unternehmen sollten versuchen, bei der Erkennung von Angriffen besser zu werden. Das kann sich auszahlen, denn je schneller man einen Angriff erkennt, desto eher können Gegenmaßnahmen ergriffen, der Schaden minimiert und die Kosten zur Abwehr reduziert werden.

 

Ausgewählte Kommentare zur SAP-Sicherheit in der Praxis

Im Folgenden haben wir einige Kommentare der Teilnehmer aus der diesjährigen SAP Security-Umfrage ausgewählt:

„Es ist gut, dass die DSAG sich dem Thema mit einem eigenen Arbeitskreis angenommen hat und auch SAP hier konstruktiv mitwirkt. Doch wäre es besser, hier noch stärker proaktiv vorgehen zu können – um nicht immer erst reagieren zu müssen, wenn ein Schadensfall eingetreten ist. Sinnvolle Anregungen für generelle IT-Sicherheit gibt es häufig vom Chaos-Computer-Club (CCC) Deutschland – vielleicht lässt dies auf die Sicherheit in ERP-Systemen (u.a. SAP) adaptieren.“

„Außer dem Thema Berechtigungen wird der SAP Security zu wenig Zeit eingeräumt.“

„Leider fehlt häufig die Bereitschaft, in Sicherheit der Applikation zu investieren, da nicht immer ein finanzieller Nutzen zu berechnen ist. Dadurch bedingt sind viele Ansätze, die Sicherheit zu erhöhen, im Ansatz schon erstickt worden.“

 

Bewertung der Ergebnisse

Dr. Markus Schumacher bewertet die Umfrageergebnisse und aktuellen Entwicklungen zur SAP-Sicherheit folgendermaßen:

„Viele haben mittlerweile erkannt, dass SAP-Systeme Teil der kritischen Unternehmensinfrastruktur sind und von daher besonders geschützt werden müssen. Was aber bei vielen noch zu kurz kommt ist die Überlegung, dass ohne besondere Maßnahmen im Bereich der Erkennung und Abwehr von Cyberangriffen kein effektiver Schutz der SAP-Umgebung möglich ist.“

Wir stellten Dr. Markus Schumacher noch weitergehende Fragen. Seine Antworten finden Sie im separaten Interview.

 

Helge Sanden, IT-Onlinemagazin Chefredakteur, bewertet die Antworten der SAP-Anwender so: „Das Bewusstsein für SAP-Sicherheit scheint mittlerweile weiter verbreitet zu sein. Beim Überspringen der Handlungsschwelle gibt es aber offensichtlich noch Nachholbedarf.

Auffällig ist, dass die etablierten und durchgeführten Aktivitäten — wenn überhaupt — maximal eine Grundabsicherung darstellen dürften. Schaut man sich die Ergebnisse genauer an, ist es eher die Ausnahme, dass Unternehmen mehr als die Pflichtaufgaben umsetzen. Wenn beispielsweise jedes dritte Unternehmen nicht zeitnah SAP Security Patches einspielt, ist ein Angriff durch bekannte Sicherheitsschwachstellen jederzeit möglich — fraglich bleibt auch, ob ein Diebstahl geistigen Eigentums den Betroffenen überhaupt auffallen würde.“

 

 

Mehr zu diesem Thema erfahren Sie auch auf der C-FORGE Konferenz für SAP-Sicherheit (30.-31.05.17 in Heidelberg). Helge Sanden (IT-Onlinemagazin Chefredakteur) berichtet ausführlich über die Umfrageergebnisse und Trends der letzten Jahre. Es liegen bereits über 200 Anmeldungen vor. Die Anmeldung ist derzeit noch möglich.

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:


Newsletter-Abo


Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter.   Etwa zweimal pro Monat werden Sie kompakt und unterhaltsam mit wichtigen Nachrichten aus der SAP- und ERP-Community versorgt.