Rund 95 Prozent aller SAP-Installationen enthalten schwerwiegende
Sicherheitslücken, die zum Verlust von Daten oder Unterbrechungen des Betriebs führen können. Zu diesem Ergebnis kommt eine Studie des auf SAP-Sicherheit spezialisierten Anbieters Onapsis.
SAP ist der
erfolgreichste europäische Software-Hersteller. Seine Produkte werden von 250.000 Unternehmen weltweit eingesetzt. Nach Aussage von Mariano Nunez, CEO und Mitgründer von Onapsis, sind die meisten Patches für SAP jedoch keine Sicherheits-Updates, kommen zu spät oder führen zu neuen Risiken.
„Einbrüche passieren täglich, aber viele CISOs bekommen das gar nicht mit, weil sie keinen echten Einblick in ihre SAP-Anwendungen haben“, so Nunez.
Laut Onapsis geschehen die meisten Attacken auf drei Arten: Die Angreifer dringen zunächst in ein schlechter gesichertes SAP-System ein, von dem aus sie dann Remote-Angriffe auf das eigentliche Zielsystem starten. Oder sie nutzen Hintertüren im Nutzermanagement und attackieren SAP-Portale. Der dritte Vektor läuft über Systembefehle, die auf Lücken im SAP-RFC-Gateway abzielen.
SAP setzt große Hoffnungen auf die High-Performance-Datenbank SAP HANA. Nach Angaben von Nunez hat das Unternehmen hier aber noch besonders viele Sicherheitslücken zu schließen. Die Zahl der Security-Patches für SAP HANA allein sei um 450 Prozent gestiegen, so Nunez.