Die Frage ist nicht ob, sondern wann …
… ein Hacker-Angriff erfolgt.
Vermeiden lassen sich derartige Attacken nicht, aber es gibt eine Reihe von Maßnahmen, mit welchen sich Unternehmen und Anwender:innen vorbereiten können. Die Sprecher des DSAG-Arbeitskreises Security & Vulnerability Management sowie der Arbeitsgruppen Cloud Security und Identity Management (IdM) 8.x geben Tipps, wie man sich gegen Cyber-Angriffe wappnen kann.
Treffen kann es jede:n. Sei es der Stahlgroßhändler, der Automobilzulieferer, das Kosmetik- und Chemieunternehmen oder die Mediengruppe. Das Problem: Einem Hacker-Angriff vorzubeugen, ist schlicht unmöglich. Die Frage ist lediglich, wann ein Angriff erfolgt oder ob er nicht vielleicht schon stattgefunden hat. Denn die Attacken passieren nicht von jetzt auf gleich. „Der durchschnittliche Zeitraum, in dem ein Vorfall entdeckt wird, beträgt aktuell ca. 200 Tage und eine vollständige Bereinigung etwa 270 Tage“, weiß Andreas Kirchebner, Sprecher der DSAG-Arbeitsgruppe Cloud Security, und bezieht sich damit auf Angaben aus dem IBM Cost of a Data Breach Report 2022. Das heißt, Angreifer:innen können rund ein dreiviertel Jahr in einem System befinden, Daten abziehen, Programme manipulieren oder gar stilllegen – und noch viel wichtiger und gefährlicher: ihre Spuren verwischen.
Schwachstellen nehmen zu
Auch wenn sich derartige Angriffe nicht vermeiden lassen, kann immerhin die Angriffsfläche verkleinert werden. Damit sind wir beim Stichwort „Bewusstsein schaffen“ (Awareness) und auch gleich beim Schwachpunkt: dem Menschen. Denn Mitarbeiter:innen sind und waren in der Vergangenheit eines der Haupteinfalltore für Cyber-Angriffe per so genannter Social-Engineering-Attacken wie z. B. Phishing-Kampagnen. Durch die zunehmende Vernetzung, die steigende Zahl an IT-Lösungen und exponierten Services wie Cloud-Lösungen nehmen aber auch die Schwachstellen in den IT-Lösungen selbst zu. „Diese Einfallsvektoren sind schwer zu harmonisieren und zu kontrollieren und darum offene Flanken, über die auf sensible Daten zugegriffen werden kann“, weiß Axel Daldorf, stellvertretender Sprecher des Arbeitskreises Security & Vulnerability Management.
Angriffsziele verändern sich
Auf SAP bezogen lässt sich feststellen, dass in den vergangenen drei bis vier Jahren auch Enterprise-Resource-Planning (ERP)-Systeme verstärkt in den Fokus von Attacken geraten sind. „SAP versucht seine Programme so gut wie möglich mit Sicherheitshinweisen abzusichern. Damit diese greifen können, sind die Unternehmen allerdings in der Bringschuld, indem sie entsprechende Updates und Patches zeitnah einspielen“, erläutert Oliver Villwock, stellvertretender Sprecher der Arbeitsgruppe Cloud Security.
Cyber-Security-Ökosystem – welche Schritte wichtig sind:
- Was ist zu schützen?
- Welche Prozesse sind wichtig?
- Was ist darüber hinaus noch zu tun?
- Was ist das Ziel? Gibt es Lösungen und einen Fahrplan dahin?
- Ist Logging aktiviert?
- Welche Maßnahmen sind umzusetzen?
- Welche Prozesse sind zu etablieren, zu überwachen oder zu optimieren?
- Welche Ziele sind an geänderte Geschäftsprozesse anzupassen?
Darüber hinaus sollten ein eigener Incident-Response-Prozess und mögliche Playbooks aufgesetzt werden. „Um sich auf einen Angriff vorzubereiten, braucht es exakte Abläufe, die festlegen, was zu tun ist, wenn er erfolgt. Welche Schritte greifen sollen. Wer in welchem Fall wie eingebunden werden muss. In bestehende Landschaften, die seit vielen Jahren laufen, ist ein derartiger Prozess aber nicht so einfach zu integrieren“, erläutert Alexander Ziesemer, Sprecher des Arbeitskreises Security und Vulnerability Management. Es kann auch helfen, so genannte Business-Continuity-Management (BCM)- oder auch IT-Service-Continuity-Management (IT-SCM)-Pläne aufzusetzen, und zwar nicht nur auf Infrastruktur-, sondern auch auf Applikationsebene.
Kein „One Size fits all“ möglich
Aber auch „Cyber-War-Games“ können eine gute Maßnahme sein. Das heißt, einen möglichen Angriff zu üben. Beispielsweise einen Recovery-Prozess starten und sehen, was dabei herauskommt, kann eine gute Übung sein, aus der man im Idealfall wichtige Erkenntnisse zieht. „Die Feuerwehr übt ja auch regelmäßig, um bestens vorbereitet zu sein“, fasst Axel Daldorf zusammen. Wie immer die Maßnahmen dann auch aussehen mögen, sicher ist, es gibt kein „One Size fits all“. Das Bedrohungsszenario ist in jedem betroffenen Unternehmen anders.
Hausaufgaben erledigen
Ziel muss es sein, einen Angriff oder Angriffsversuch in einem frühen Cyber-Kill-Chain-Level zu erkennen, um noch zum Zeitpunkt des geringsten Schadens reagieren zu können. Da geht es dann um Systemhärtung und eine entsprechende Überwachung. „In weiterer Folge stehen Risk-Management, Assets und Impact-Analysen, also die tatsächlichen Auswirkungen, auf der Agenda“, so Andreas Kirchebner. Schlagworte wie „Zero Trust“ und „Assume Breach“ tauchen in diesem Kontext auf – oder anders formuliert: Traue niemandem und gehe immer von einem Angriff aus. „Genauso müssen wir uns heute aufstellen und Systeme aufbauen. Das muss das Mindset sein“, weiß Andreas Kirchebner. Und dafür sind Hausaufgaben zu erledigen, z. B. in Form eines resilienten Cyber-Security-Ökosystems (siehe Kasten).
Schnittstelle zu Kund:innen ist ausbaufähig
Was Cloud-Lösungen betrifft, ist SAP selbst gut geschützt. Die Schnittstellen zu den Kund:innen hingegen sind noch ausbaufähig. Die schnelle und zielführende Kommunikation von SAP mit Anwender:innen, wenn etwas geändert oder eine Schwachstelle festgestellt wird, birgt aber noch Verbesserungspotenzial. „Inhaltlich und technisch sollte SAP dazu in der Lage sein, aber Transparenz und Kommunikation sind hier noch nicht ausgereift genug. Wenn SAP hierfür mehr Zeit und Ressourcen investieren würde, könnte das wesentlich zu einem besseren Gefühl bei den Kundenunternehmen beitragen“, ist Aydin Tekin, Sprecher der Arbeitsgruppe IdM 8.x, überzeugt. Dennoch lohnt ein Blick in den SAP EarlyWatch Alert, um schnell einen Überblick über die SAP-Herstellerempfehlungen zu möglicherweise kritischen Situationen zu erhalten.
Netzwerken ist das A und O
Information und Unterstützung liefern auch die DSAG-Gremien, die sich mit dem Thema Security auseinandersetzen. Der Erfahrungsaustausch über organisatorische und technische Maßnahmen sowie das Netzwerken unter den Mitgliedspersonen sind dabei das A und O. Awareness ist aktuell ein sehr wichtiges Thema im Arbeitskreis Security & Vulnerability Management, wie auch der Umgang mit den Tools von SAP, das SAP Security Baseline Template und natürlich die Cloud-Security-Empfehlungen (siehe Info-Icon). „Je mehr IT-Dienste nur noch in der Cloud verfügbar sind, desto mehr müssen die ERP-On-Premise-Sicherheitskonzepte auf den Prüfstand gestellt werden. Ein SAP-Security-Best-Practice-Leitfaden wäre da z. B. eine wichtige Sache, und genau damit will sich der Arbeitskreis in Zukunft beschäftigen“, fasst Alexander Ziesemer zusammen. In puncto Sicherheit ist also immer etwas zu tun, das ist sicher!
Bildnachweis: iStock+Shutterstock+Anna Polywka, DSAG
Mehr zu diesem Tag
SAP TechEd goes DSAG-TechXchange
Das Live-Event für praktische SAP-Erfahrungen
Aktiv Einfluss auf SAP-Produkte nehmen
C-I-S: Drei Buchstaben, die „Continuous Influence Sessions“, also kontinuierliche Einflussnahme-Sitzungen, meinen, aber für mehr stehen.
SAP TechEd goes DSAG-TechXchange
The Live Event for Practical SAP Experiences
Mehr in dieser Kategorie
Der KIck für Ihre Unternehmensprozesse: ELO ECM und SAP im perfekten Zusammenspiel dank KI-Unterstützung
ECM-Software ist die ideale Ergänzung zu ERP-Systemen, bieten letztere doch einen eher rudimentären Funktionsumfang.
Kopf in der Cloud, Füße auf dem Boden: Digitale Lösungen für die Industrie
concircle ist seit 15 Jahren ein verlässlicher Partner der produzierenden Industrie und setzt weiterhin auf innovative Lösungen, um Effizienzpotentiale in der Wertschöpfungskette zu heben.
Reibungslos digitalisieren mit Retarus Cloud Fax
Durch einfache Integration und intelligente Funktionen profitieren Unternehmen von einer deutlich effizienteren Prozesskommunikation.
Mehr von diesem Format
Der KIck für Ihre Unternehmensprozesse: ELO ECM und SAP im perfekten Zusammenspiel dank KI-Unterstützung
ECM-Software ist die ideale Ergänzung zu ERP-Systemen, bieten letztere doch einen eher rudimentären Funktionsumfang.
Aktiv Einfluss auf SAP-Produkte nehmen
C-I-S: Drei Buchstaben, die „Continuous Influence Sessions“, also kontinuierliche Einflussnahme-Sitzungen, meinen, aber für mehr stehen.
SAP TechEd goes DSAG-TechXchange
Das Live-Event für praktische SAP-Erfahrungen