Back to frontpage
Startseite Formate Textbeiträge Die Frage ist nicht ob, sondern wann …

Die Frage ist nicht ob, sondern wann …

… ein Hacker-Angriff erfolgt.

Die Frage ist nicht ob, sondern wann …

Treffen kann es jede:n. Sei es der Stahlgroßhändler, der Automobilzulieferer, das Kosmetik- und Chemieunternehmen oder die Mediengruppe. Das Problem: Einem Hacker-Angriff vorzubeugen, ist schlicht unmöglich. Die Frage ist lediglich, wann ein Angriff erfolgt oder ob er nicht vielleicht schon stattgefunden hat. Denn die Attacken passieren nicht von jetzt auf gleich. „Der durchschnittliche Zeitraum, in dem ein Vorfall entdeckt wird, beträgt aktuell ca. 200 Tage und eine vollständige Bereinigung etwa 270 Tage“, weiß Andreas Kirchebner, Sprecher der DSAG-Arbeitsgruppe Cloud Security, und bezieht sich damit auf Angaben aus dem IBM Cost of a Data Breach Report 2022. Das heißt, Angreifer:innen können rund ein dreiviertel Jahr in einem System befinden, Daten abziehen, Programme manipulieren oder gar stilllegen – und noch viel wichtiger und gefährlicher: ihre Spuren verwischen.

Der durchschnittliche Zeitraum, in dem ein Vorfall entdeckt wird, beträgt aktuell ca. 200 Tage und eine vollständige Bereinigung etwa 270 Tage.
Andreas Kirchebner bp 1-23
Andreas Kirchebner
Sprecher der DSAG-Arbeitsgruppe Cloud Security

Schwachstellen nehmen zu

Auch wenn sich derartige Angriffe nicht vermeiden lassen, kann immerhin die Angriffsfläche verkleinert werden. Damit sind wir beim Stichwort „Bewusstsein schaffen“ (Awareness) und auch gleich beim Schwachpunkt: dem Menschen. Denn Mitarbeiter:innen sind und waren in der Vergangenheit eines der Haupteinfalltore für Cyber-Angriffe per so genannter Social-Engineering-Attacken wie z. B. Phishing-Kampagnen. Durch die zunehmende Vernetzung, die steigende Zahl an IT-Lösungen und exponierten Services wie Cloud-Lösungen nehmen aber auch die Schwachstellen in den IT-Lösungen selbst zu. „Diese Einfallsvektoren sind schwer zu harmonisieren und zu kontrollieren und darum offene Flanken, über die auf sensible Daten zugegriffen werden kann“, weiß Axel Daldorf, stellvertretender Sprecher des Arbeitskreises Security & Vulnerability Management.

Die Feuerwehr übt ja auch regelmäßig, um bestens vorbereitet zu sein.
Axel Daldorf bp 1-23
Axel Daldorf
Stellvertretender Sprecher des Arbeitskreises Security & Vulnerability Management

Angriffsziele verändern sich

Auf SAP bezogen lässt sich feststellen, dass in den vergangenen drei bis vier Jahren auch Enterprise-Resource-Planning (ERP)-Systeme verstärkt in den Fokus von Attacken geraten sind. „SAP versucht seine Programme so gut wie möglich mit Sicherheitshinweisen abzusichern. Damit diese greifen können, sind die Unternehmen allerdings in der Bringschuld, indem sie entsprechende Updates und Patches zeitnah einspielen“, erläutert Oliver Villwock, stellvertretender Sprecher der Arbeitsgruppe Cloud Security.

Darüber hinaus sollten ein eigener Incident-Response-Prozess und mögliche Playbooks aufgesetzt werden. „Um sich auf einen Angriff vorzubereiten, braucht es exakte Abläufe, die festlegen, was zu tun ist, wenn er erfolgt. Welche Schritte greifen sollen. Wer in welchem Fall wie eingebunden werden muss. In bestehende Landschaften, die seit vielen Jahren laufen, ist ein derartiger Prozess aber nicht so einfach zu integrieren“, erläutert Alexander Ziesemer, Sprecher des Arbeitskreises Security und Vulnerability Management. Es kann auch helfen, so genannte Business-Continuity-Management (BCM)- oder auch IT-Service-Continuity-Management (IT-SCM)-Pläne aufzusetzen, und zwar nicht nur auf Infrastruktur-, sondern auch auf Applikationsebene.

Je mehr IT-Dienste nur noch in der Cloud verfügbar sind, desto mehr müssen die ERP-On-Premise-Sicherheitskonzepte auf den Prüfstand gestellt werden. Ein SAP-Security-Best-Practice-Leitfaden wäre da z. B. eine wichtige Sache, und genau damit will sich der Arbeitskreis in Zukunft beschäftigen.
Alexander Ziesemer bp 1-23
Alexander Ziesemer
Sprecher des Arbeitskreises Security und Vulnerability Management

Kein „One Size fits all“ möglich

Aber auch „Cyber-War-Games“ können eine gute Maßnahme sein. Das heißt, einen möglichen Angriff zu üben. Beispielsweise einen Recovery-Prozess starten und sehen, was dabei herauskommt, kann eine gute Übung sein, aus der man im Idealfall wichtige Erkenntnisse zieht. „Die Feuerwehr übt ja auch regelmäßig, um bestens vorbereitet zu sein“, fasst Axel Daldorf zusammen. Wie immer die Maßnahmen dann auch aussehen mögen, sicher ist, es gibt kein „One Size fits all“. Das Bedrohungsszenario ist in jedem betroffenen Unternehmen anders.

SAP versucht seine Programme so gut wie möglich mit Sicherheitshinweisen abzusichern. Damit diese greifen können, sind die Unternehmen allerdings in der Bringschuld, indem sie entsprechende Updates und Patches zeitnah einspielen.
Oliver Villwock bp 1-23
Oliver Villwock
Stellvertretender Sprecher der Arbeitsgruppe Cloud Security

Hausaufgaben erledigen

Ziel muss es sein, einen Angriff oder Angriffsversuch in einem frühen Cyber-Kill-Chain-Level zu erkennen, um noch zum Zeitpunkt des geringsten Schadens reagieren zu können. Da geht es dann um Systemhärtung und eine entsprechende Überwachung. „In weiterer Folge stehen Risk-Management, Assets und Impact-Analysen, also die tatsächlichen Auswirkungen, auf der Agenda“, so Andreas Kirchebner. Schlagworte wie „Zero Trust“ und „Assume Breach“ tauchen in diesem Kontext auf – oder anders formuliert: Traue niemandem und gehe immer von einem Angriff aus. „Genauso müssen wir uns heute aufstellen und Systeme aufbauen. Das muss das Mindset sein“, weiß Andreas Kirchebner. Und dafür sind Hausaufgaben zu erledigen, z. B. in Form eines resilienten Cyber-Security-Ökosystems (siehe Kasten).

Transparenz und Kommunikation sind hier noch nicht ausgereift genug. Wenn SAP hierfür mehr Zeit und Ressourcen investieren würde, könnte das wesentlich zu einem besseren Gefühl bei den Kundenunternehmen beitragen.
Aydin Tekin bp 1-23
Aydin Tekin
Sprecher der Arbeitsgruppe IdM 8.x

Schnittstelle zu Kund:innen ist ausbaufähig

Was Cloud-Lösungen betrifft, ist SAP selbst gut geschützt. Die Schnittstellen zu den Kund­:innen hingegen sind noch ausbaufähig. Die schnelle und zielführende Kommunikation von SAP mit Anwender:innen, wenn etwas geändert oder eine Schwachstelle festgestellt wird, birgt aber noch Verbesserungspotenzial. „Inhaltlich und technisch sollte SAP dazu in der Lage sein, aber Transparenz und Kommunikation sind hier noch nicht ausgereift genug. Wenn SAP hierfür mehr Zeit und Ressourcen investieren würde, könnte das wesentlich zu einem besseren Gefühl bei den Kundenunternehmen beitragen“, ist Aydin Tekin, Sprecher der Arbeitsgruppe IdM 8.x, überzeugt. Dennoch lohnt ein Blick in den SAP EarlyWatch Alert, um schnell einen Überblick über die SAP-Herstellerempfehlungen zu möglicherweise kritischen Situationen zu erhalten.

Netzwerken ist das A und O

Information und Unterstützung liefern auch die DSAG-Gremien, die sich mit dem Thema Security auseinandersetzen. Der Erfahrungsaustausch über organisatorische und technische Maßnahmen sowie das Netzwerken unter den Mitgliedspersonen sind dabei das A und O. Awareness ist aktuell ein sehr wichtiges Thema im Arbeitskreis Security & Vulnerability Management, wie auch der Umgang mit den Tools von SAP, das SAP Security Baseline Template und natürlich die Cloud-Security-Empfehlungen (siehe Info-Icon). „Je mehr IT-Dienste nur noch in der Cloud verfügbar sind, desto mehr müssen die ERP-On-Premise-Sicherheitskonzepte auf den Prüfstand gestellt werden. Ein SAP-Security-Best-Practice-Leitfaden wäre da z. B. eine wichtige Sache, und genau damit will sich der Arbeitskreis in Zukunft beschäftigen“, fasst Alexander Ziesemer zusammen. In puncto Sicherheit ist also immer etwas zu tun, das ist sicher!

Bildnachweis: iStock+Shutterstock+Anna Polywka, DSAG

Mehr zu diesem Tag

Mehr in dieser Kategorie

Mehr von diesem Format