Die trügerische Sicherheit von Security Policies

Wenn es um IT-Security geht, vertrauen viele Unternehmen ihren internen Policies. Doch die stoßen im digitalen Zeitalter an ihre Grenzen: Immer häufiger werden ERP-Systeme zum Ziel raffinierter Attacken – eine Gefahr nicht nur für das Finanzmanagement.

Zwei Drittel aller Unternehmen in Deutschland wurden in den beiden vergangenen Jahren zu Opfern von Cyberkriminellen, zeigt eine aktuelle Studie von IDC. Die Gefahrenlage hat sich angesichts der digitalen Transformation deutlich verschärft.  „Unternehmen schützen ihr physisches Eigentum ganz selbstverständlich mit Alarmanlagen“, sagt Martin Müller, Solution Senior Expert Security bei SAP. „Noch wichtiger aber ist es, die tatsächlichen Kronjuwelen zu sichern – und die liegen als Daten in ERP-Systemen.“

Wo die größten Gefahren lauern

Ein beliebtes Ziel von Hackern ist das geistige Eigentum von Unternehmen, beispielsweise Konstruktionszeichnungen. Im Zeitalter vernetzter Industrieanlagen steigt zudem das Risiko, dass Hacker die Produktion sabotieren oder ganz zum Erliegen bringen. Außerdem müssen Unternehmen ihre Kundendaten vor Zugriffen schützen – der Datenklau sorgt immer wieder für spektakuläre Negativschlagzeilen.

Hacker rüsten vielfach schneller auf, als die Unternehmen reagieren können. Phishing und Ransomware sind längst nicht mehr die einzigen Methoden. Deutsche Unternehmen unterschätzen laut einer Studie der US-Cybersicherheitsfirma CrowdStrike die Gefahr von Sicherheitslücken in Software-Updates. Nur 67,5 Prozent sind sich des Risikos bewusst – gegenüber 80 Prozent im globalen Durchschnitt.

Externe Angriffe sind jedoch insgesamt selten erfolgreich, weil sie häufig bereits auf Infrastrukturebene erkannt werden und an der Firewall scheitern. Anders interne Angriffe: Diese sind durchdachter und können große Schäden anrichten. Haben Kriminelle erst einmal einen Rechner gekapert, breiten sie sich schrittweise im gesamten Unternehmen aus.

Die Tricks der Hacker

Zwei Vorgehensweisen sind bei Hackern besonders beliebt. Bei sogenannten Brute-Force-Attacken knacken sie ein User-Passwort, indem sie sekundenschnell Millionen möglicher Zeichenkombinationen ausprobieren. Einmal authentifiziert, lassen sich mit der Identität des Users weite Systembereiche infiltrieren. Besonders die Accounts von Super Usern mit weitreichenden Berechtigungen sind gefährdet.

Ein zweites Szenario kennen SAP-Security-Experten nur zu gut: Hacker versuchen, temporär Berechtigungen einzuholen. Besonders kritisch ist das Profil SAP_ALL, das sämtliche SAP-Berechtigungen enthält. Bekommt ein Hacker das Profil in die Hände, kann das fatale Folgen haben.

Wenn Unternehmen die Aktivitäten im System permanent in Logfiles archivieren, hinterlässt der Kriminelle immerhin Spuren. Anderenfalls wird der Angriff möglicherweise überhaupt nicht bemerkt: Der Hacker entzieht sich die Berechtigung einfach wieder und verschwindet ungesehen.

Wie zuverlässig sind Sicherheitsbestimmungen?

Viele Firmen glauben ihre Daten und Prozesse geschützt, wenn sie eine Policy verwenden. In dem Dokument ist detailliert hinterlegt, wie ein Unternehmen seine IT-Landschaft gegen Angriffe sichert. Beispielsweise, indem User alle drei Monate ihr Passwort ändern und neue Mitarbeiter über Identity Management Systeme angelegt werden müssen.

Doch auch wenn jeder Mitarbeiter die Policy gelesen und unterschrieben hat, ist Vorsicht geboten. „Eine Mitgliedschaft im Fitnessclub garantiert noch keine Strandfigur“, sagt Karsten Guenther, Vertriebsleiter DACH bei Virtual Forge. „So ist es auch mit Policies. Eine Unterschrift und gute Absichten reichen nicht aus, sie müssen gelebt und auch technisch optimal unterstützt werden.“

Viele Security-Konzepte weisen Lücken auf, mit denen sich die Sicherheitsvorkehrungen umgehen lassen. Wo genau die Schwachstellen sind, lässt sich nur mit einem Monitoring der gesamten SAP-Landschaft herausfinden.

Monitoring ist ein Muss

Der Schlüssel zu sicheren Systemen ist die permanente Überwachung der Logfiles. Allein bei dem Unternehmen SAP selbst fallen jedoch täglich mehrere Terabyte an Logfiles an. Um in dieser gigantischen Datenmenge eine Anomalie aufzuspüren, braucht es intelligente Tools.

„Das beste System-Monitoring liefert SAP Enterprise Threat Detection auf der Basis von SAP HANA“, sagt Karsten Günther, Vertriebsleiter DACH bei Virtual Forge. „Es ist die einzige Anwendung, die SAP-Logik wirklich versteht.“ SAP Enterprise Threat Detection scannt die IT-Landschaft und gleicht die permanent entstehenden Datenmuster mit vordefinierten Patterns ab. Bei einem Treffer wird ein Experte im Security Operation Center (SOC) alarmiert. Die Warnungen lassen sich auch in ein führendes SIEM- (Security Information- und Event Management-) System integrieren.

Managed Service entlastet das SOC

Mit SAP Enterprise Threat Detection lassen sich nahezu alle Bedrohungen aufspüren und Kriminelle dingfest machen. Wenn die Abwehr jedoch lückenlos 24/7 funktionieren soll, müssen die Experten jedem Alert manuell nachgehen. Entsprechend stark steht das SOC-Team unter Druck.

Eine innovative Lösung bietet dafür jetzt Virtual Forge. Das Unternehmen ist spezialisiert auf SAP-Security und bereits mit mehreren Softwarelösungen erfolgreich am Markt. Die Idee: Experten filtern im Rahmen eines Managed Services die Alerts von Kunden-SOC. Sie unterscheiden wichtige von weniger wichtigen Ereignissen und klären die meisten Zwischenfälle einfach selbst. Nur bei wirklich kritischen Alerts schalten sie den Kunden ein. Das bedeutet mit Blick auf Fachkräftemangel und knappe Ressourcen eine große Entlastung für viele SOC.

Sicherheitsarchitektur von morgen

Managed Services sind erst der Anfang. Künftig erhalten Unternehmen noch weitere Unterstützung für ihre IT Security. Machine-Learning-Tools beispielsweise arbeiten mit jeder Generation ausgereifter: Sie erkennen auffälliges Nutzerverhalten vollautomatisch und entwickeln ihre Fähigkeiten selbsttätig weiter.

SAP plant darüber hinaus einen „Marktplatz“ mit Informationen über aktuelle Angriffe. Kunden liefern Content und Muster verdächtiger Aktivitäten, SAP stellt dieses Wissen online. So können Unternehmen unmittelbar von den Erfahrungen anderer Unternehmen profitieren und den Gefahren mit vereinten Kräften entgegentreten.

Security ist Chefsache

IT-Sicherheit ist bereits heute ein erfolgskritischer Bereich für Unternehmen. Im Zuge der fortschreitenden Digitalisierung und Automatisierung werden die Anforderungen weiter steigen. Darum gehört das Thema nicht nur auf die Tagesordnung von Basisadministratoren, sondern auch auf das Radar jedes CIO und auch CEO. Das Management ist gut beraten, die notwendigen Ressourcen bereitzustellen und ein permanentes Monitoring zu garantieren.

Vor allem aber sind alle Anwender gefordert, die Verantwortung für Datensicherheit zu übernehmen, die vom Anwender bereitgestellten Lösungen und Patches einzuspielen und die Prozesse einzuhalten. Nur so lassen sich Systeme wirklich hieb- und stichfest absichern.

Erfahren Sie mehr über SAP Enterprise Threat Detection und die Managed Services von Virtual Forge. Schauen sie jetzt die kostenlose Aufzeichnung des Webinars vom 30. August an.