ERP-Systeme: 10 Tipps für besseren Schutz vor Cyberangriffen

Unternehmen müssen nicht nur in der Urlaubszeit, wenn die IT-Ableitungen dünn besetzt sind, sondern das ganze Jahr über ihre geschäftskritischen Anwendungen, allen voran ERP-Systeme wie SAP, optimal schützen. Nur so sind sie auf potenzielle Cyberattacken vorbereitet. Gastautor Volker Eschenbächer von Onapsis gibt zehn Tipps, wie Unternehmen ihr ERP-Systeme absichern können.

1. ERP-Systeme: Bedrohungen frühzeitig erkennen und reagieren

Vorsicht ist besser als Nachsicht: Um Bedrohungen zu erkennen, noch bevor aus ihnen eine ausgewachsene Attacke wird, braucht es einen holistischen Blick auf die gesamte Angriffsoberfläche und ERP-Systemlandschaft des Unternehmens. Spezialisierte Threat Detection and Response Tools ermöglichen es, Sicherheitsereignisse zu zentralisieren. Und zugleich potenzielle Bedrohungen in der SAP-Landschaft frühzeitig zu erkennen und zeitnah darauf zu reagieren. Diese ziehen Informationen aus verschiedenen Quellen und ermöglichen es den Sicherheitsteams, Probleme schnell zu erkennen und zu beheben.

2. Die gesamte IT-Umgebung im Blick behalten

ERP-Systeme wie SAP arbeiten in einem vernetzten Ökosystem und Bedrohungsakteure sind in der Lage, sich agil durch dieses Netzwerk zu bewegen, um Daten zu sammeln oder Anwendungen zu manipulieren. Alles, was sie dazu brauchen, ist ein einziger Zugang zum Netzwerk, wie Untersuchungen von SAP und Onapsis zeigen. Das stellt Unternehmen vor eine große Aufgabe: Denn während Cybergangster nur ein einziges Schlupfloch benötigen, müssen Unternehmen die gesamte Angriffsoberfläche im Blick behalten und schützen. Unternehmen sollten daher über Prozesse und Lösungen verfügen, um nicht nur die Produktionssysteme, sondern die gesamte SAP-Landschaft abzusichern.

3. ERP-Systeme: Kritische Assets identifizieren

ERP-Systeme speichern die wertvollsten Daten und Informationen eines Unternehmens. Daher kann die gesamte SAP-Landschaft als kritischer Vermögenswert betrachtet werden. Dies kann sowohl die SAP-Technologie als auch Server, Datenbanken und alle anderen Systeme umfassen, die in SAP-gestützte Geschäftsprozesse integriert sind. Das Problem ist, dass Unternehmen sich heute zwar häufig über die Kritikalität ihres ERP bewusst sind, aber nicht wissen, welche spezifischen Geschäftsprozesse von SAP unterstützt werden und welche Wechselwirkungen bestehen.

4. Bewertung von Risiken und Schwachstellen bei kritischen Assets

Wenn klar ist, wo im Unternehmen sich kritische Daten und Prozesse befinden, ist es an der Zeit, diese zu bewerten: Schwachstellen, Patches, Konfigurationen, Benutzerberechtigungen, APIs. Um das mit den jeweiligen Anwendungen verbundene Risiko zu verstehen, sollten die verschiedenen Komponenten des SAP-Techstacks bewertet werden. Dies funktioniert am besten mit einem speziellen Schwachstellen-Scanner für ERPs, der Auskunft darüber gibt, welche konkreten Risiken und Schwachstellen die verschiedenen Komponenten betreffen.

5. Neue Sicherheits-Patches für ERP-Systeme einspielen

Es müsste mittlerweile jedem bekannt sein und dennoch sieht die alltägliche Praxis häufig anders aus: Jedes Unternehmen sollte einen Prozess zur Bewertung, Analyse und Priorisierung von SAP-Sicherheitshinweisen implementieren und Sicherheitspatches so schnell wie möglich umsetzen. Die Onapsis Research Labs veröffentlichen beispielsweise monatlich eine SAP-Patch-Day-Analyse. Diese hilft IT-Teams dabei, auf dem Laufenden zu bleiben und zeitnah relevante Patches einzuspielen.

6. Verfeinerung von Business-Continuity-Plänen

Backups kritischer Anwendungen sind eine wichtige reaktive Maßnahme. Sie können Cyberangriffe zwar nicht verhindern, jedoch ihre Auswirkungen und Kosten erheblich verringern. So können sie im Fall einer Ransomware-Attacke den Unterschied ausmachen, ob ein Unternehmen Lösegeld zahlen muss oder nicht, und Ausfallzeiten deutlich reduzieren. Sicherheitsverantwortliche sollten daher Business-Continuity-Pläne definieren, kommunizieren und testen, um sicherzustellen, dass sie auch SAP-Anwendungen berücksichtigen.

Bei der Erstellung von Business-Continuity-Plänen ist es entscheidend, alle möglichen Szenarien zu berücksichtigen und zu prüfen, ob die Teams angemessen darauf vorbereitet sind. Zu diesen Szenarien gehören die Wiederherstellung der gesamten SAP-Umgebung, der Ausfall einer kritischen Systemwiederherstellung und die Frage, wie lange es im Falle eines Ransomware-Angriffs dauert, alle betroffenen Dateien wiederherzustellen.

7. Überwachung von Änderungen in Custom Code

Benutzerdefinierter Code ist ein beliebter Vektor, den Bedrohungsakteure insbesondere bei Angriffen auf große Unternehmen nutzen, die Drittanbieter mit der Erstellung beauftragen. So können Schwachstellen und kompromittierter Code durch unbefugten Zugriff in SAP-Anwendungen eingeschleust werden. Die Fähigkeit, böswillige Änderungen an Custom Code und Konfigurationen zu erkennen, kann die Wahrscheinlichkeit von Infektionen durch externe Angreifer verringern und das Risiko eines erfolgreichen Angriffs deutlich minimieren.

8. ERP-Systeme: Mehrstufige Sicherheitsmodelle

Mit einem mehrstufigen Sicherheitsansatz sinkt das Risiko für eine erfolgreiche Infektion. Bei einem sogenannten „Defense-in-Depth“-Ansatz werden Sicherheitslösungen auf mehreren Sicherheitsebenen – physisch, technisch und administrativ – implementiert, um zu verhindern, dass Bedrohungsakteure zum Beispiel in ein geschütztes Netzwerk vordringen. Herkömmliche „Defense-in-Depth“-Sicherheitsmodelle sind gut, können aber in der heutigen angespannte Cybersicherheitslage beim Schutz von SAP-Anwendungen zu kurz greifen. Mit spezialisierten Sicherheitslösungen für den Schutz von ERP-Anwendungen kann eine zusätzliche Sicherheitsebene eingezogen werden.

9. Security-Awareness der Mitarbeiter fördern

Security-Awareness-Trainings sind eine der effektivsten Möglichkeiten, das Malware-Risiko für ERP-Anwendungen zu minimieren. Die Erstinfektion kann über eine Vielzahl von Angriffsvektoren erfolgen, Angreifer zielen jedoch besonders häufig mit Social-Engineering-Techniken auf Endanwender. SAP-Nutzer sollten daher für die verschiedensten Angriffstaktiken sensibilisiert werden und bei der Verwendung ihrer Firmengeräte zu Wachsamkeit aufgerufen werden. Vor allem wenn dies Remote oder im Kontext einer „Workation“ geschieht. Außerdem sollten IT-Administratoren Multi-Faktor-Authentifizierung, VPN und andere Sicherheitsmaßnahmen nutzen, um das Risiko einer versehentlichen „Zusammenarbeit“ von Usern und Angreifern zu minimieren.

10. Mit Threat Intelligence neue Erkenntnisse gewinnen

Threat Intelligence-Programme liefern zeitnah aufschlussreiche Informationen über die aktuellen Taktiken und Techniken von Bedrohungsakteuren. Sie warnen frühzeitig vor neuen Ransomware-Kampagnen und bieten Gegenmaßnahmen und Handlungsvorschläge für die IT-Sicherheitsteams, die die Entwicklung und Implementierung von Sicherheitskontrollen verantworten.

Security-Plattformen wie die von Onapsis unterstützen Unternehmen beim Schutz ihrer ERP-Systeme. Onaspis bietet zum Beispiel Lösungen für das Vulnerability Management, Threat Detection and Response, Change Assurance, und Automated Compliance. Mit diesen können geschäftskritische Anwendungen von Anbietern wie SAP, Oracle, Salesforce und anderen SaaS-Plattformen abgesichert werden.

Über den Autor: Volker Eschenbächer ist Vice President, Sales Europe (Central, South & East) bei Onapsis. Deren Plattform bietet Vulnerability Management, Change Assurance und ermöglicht kontinuierliche Compliance für Geschäftsanwendungen. Die Onapsis-Plattform wird von den Onapsis Research Labs betrieben, deren Teams bereits mehr als 1.000 Zero-Day-Schwachstellen in Geschäftsanwendungen identifiziert und entschärft haben. (sg)

Lesen Sie auch: SAP-Systeme: Fresenius verlagert IT-Anwendungen in die Cloud