Tag ERP-Sicherheit

Optimierungen des KI-gestützten „Security Advisor“, stärker personalisierbare Bedrohungsüberwachung und DevSecOps-Integrationen ermöglichen es Kunden, SAP-Landschaften schneller und effektiver zu sichern

BOSTON/HEIDELBERG – Onapsis (https://onapsis.com/de/), der weltweit führende Anbieter von SAP-Cybersecurity und Compliance, kündigt entscheidende Aktualisierungen der Onapsis Platform an, um den steigenden Sicherheitsherausforderungen zu begegnen, mit denen SAP-Kunden bei der Modernisierung ihrer Systeme sowie der Migration zu SAP S/4HANA und RISE with SAP-Umgebungen konfrontiert sind. Die Updates umfassen die Bereiche Control (Sicherheitsüberprüfung von Anwendungen), Defend (Bedrohungsüberwachung) und den Security Advisor der Onapsis Platform (SAP-Sicherheitslage und KI-gestützte Empfehlungen) und werden Kunden Ende des zweiten Quartals 2025 zur Verfügung gestellt. Damit kann Onapsis SAP-Kunden in RISE-Projekten, On-Premise-, Hybrid- und Cloud-Umgebungen ein einzigartiges Spektrum an Innovationen bieten.

„SAP-Anwendungen sind zunehmenden Bedrohungen ausgesetzt. Unternehmen, die ihren Wechsel zu S/4HANA durch RISE with SAP vornehmen, müssen die Sicherheit in jede Phase ihrer Transformation einbeziehen“, so Sadik Al-Abdulla, Chief Product Officer bei Onapsis. „Mit den neuen Funktionen bieten wir unseren Kunden umfassende Transparenz, schnellere Sicherheitsautomatisierung und wichtige Bedrohungsdaten, mit denen sie Bedrohungsakteuren stets einen Schritt voraus sind, Risiken minimieren und die Modernisierungen von SAP-Systemen ohne Beeinträchtigung von Sicherheit und Compliance vorantreiben können.“

Zu den wichtigsten Erweiterungen gehören:

Integrierte Sicherheit für DevOps mit Control Central
Control Central lässt sich jetzt in Microsoft Azure Pipelines integrieren und bietet erweiterte Unterstützung für das SAP Transport Management System (TMS), sodass Teams automatisierte Code-Scans und Quality Gates direkt in CI/CD-Workflows einbetten können. Diese Integrationen schützen und optimieren Change Management Prozesse und ermöglichen es Unternehmen, Projektlaufzeiten zu beschleunigen, indem sie kritische Probleme bei Codesicherheit und Compliance reduzieren, die zu späten sicherheitsrelevanten Überraschungen in produktiven Umgebungen führen können.

„Alert on Anything ABAP“ mit Defend
Die Neuerungen in Defend ermöglichen es Kunden, individuelle Alarme auf der Basis von beliebigen Aktivitäten in ABAP-Protokollen zu erstellen. So können Sicherheitsteams Alarme individuell strukturieren und an die spezifischen Anforderungen ihres Unternehmens hinsichtlich Risikominderung und Compliance anpassen. Die komplett neu gestaltete Startseite von Defend bietet ein umfangreiches Dashboard, das Vorkommnisse, Konfigurationsprobleme und langfristige Trendanalysen aufzeigt und so intelligentere und schnellere Reaktionen erlaubt.

Verbesserte Modelle und erweiterte Empfehlungen für die SAP-Sicherheit mit dem Onapsis Security Advisor
Der branchenweit erste KI-gestützte Security Advisor für SAP-Sicherheit und -Compliance entwickelt seine analytischen Fähigkeiten weiter, indem er auf die mehr als 15-jährige Erfahrung von Onapsis im Bereich SAP-Sicherheit, Daten aus Tausenden Einsätzen und anonymisierte Erkenntnisse von zahlreichen Kunden zurückgreift. Die erweiterte Trendanalyse sowie die neuen benutzerdefinierten Visualisierungstools und Widgets, einschließlich des „Age of Issues“-Trackers, helfen Kunden, ihr SAP-Risikoprofil besser zu verstehen, wichtige Maßnahmen zu priorisieren und den Fortschritt der Sicherheit ihres Unternehmens im Laufe der Zeit zu dokumentieren.

„Angesichts der Tatsache, dass moderne Bedrohungsakteure zunehmend SAP-Anwendungen ins Visier nehmen, ist die SAP-Sicherheit geschäftskritischer als je zuvor“, betont Mariano Nunez, CEO von Onapsis. „Gepaart mit der beschleunigten Migration der SAP-Kunden in die Cloud durch RISE with SAP und des im Jahr 2027 bevorstehenden Ablaufs der S/4HANA-Migrationsfrist war der Bedarf an robuster SAP-Anwendungssicherheit noch nie so hoch wie heute.“

Onapsis ist derzeit der einzige Anbieter auf dem Markt, der eine innovative Plattform für Anwendungssicherheit und Compliance anbietet, die von SAP unterstützt (https://store.sap.com/dcp/en/certifications/sap-endorsed-apps) wird und sich auf mehr als 15 Jahre Erfahrung mit Bedrohungen aus den Onapsis Research Labs (https://onapsis.com/threat-research/onapsis-research-labs/), dem erfahrenen SAP-Bedrohungsforschungsteam, stützt. So kann Onapsis Unternehmen die erforderliche umfassende Sicherheit bieten, um ihre geschäftskritischen SAP-Systeme zu schützen.

Verfügbarkeit
Die Aktualisierungen werden Ende des 2. Quartals 2025 verfügbar sein. Preise und weitere Einzelheiten sind über Vertriebsmitarbeitende von Onapsis oder autorisierte Systemintegratoren erhältlich. Für weitere Informationen besuchen Sie: https://onapsis.com/platform/ .

Über Onapsis
Onapsis ist der weltweit führende Anbieter von SAP-Cybersecurity und -Compliance. Zahlreiche namhafte Unternehmen weltweit vertrauen auf Onapsis, um ihre digitalen SAP-Cloud-Transformationen sicher und zuverlässig zu realisieren.
Die Onapsis-Plattform ist die von SAP empfohlene und meistgenutzte Lösung zum Schutz von SAP. Sie bietet Cybersecurity- und SAP-Teams automatisierte Compliance, Schwachstellenmanagement, Bedrohungserkennung und sichere Entwicklungsfunktionen für ihre RISE with SAP-, S/4HANA Cloud- und hybriden SAP-Anwendungen. Basierend auf den Erkenntnissen der Onapsis Research Labs, den weltweit anerkannten Experten für SAP-Cybersecurity, bietet Onapsis beispiellosen Schutz, Benutzerfreundlichkeit und eine schnelle Wertschöpfung und ermöglicht so SAP-Kunden schnelle und sichere Innovationen.
Weitere Informationen finden Sie auf LinkedIn, X oder unter onapsis.com/de.

Firmenkontakt
Onapsis
Cecile Giloy
Salomon-Calvi-Straße 1-3
69124 Heidelberg
…
https://onapsis.com/

Pressekontakt
Lucy Turpin Communications
Sarah Schumm / Alisa Speer
Prinzregentenstraße 89
81675 München
+49 89 417761-17/ 29
www.lucyturpin.com

Mit der Einführung von Produktneuheiten, strategischen Partnerschaften mit SAP, neuen Führungspersonen und Threat Intelligence Research zur Absicherung von SAP Cloud-Transformationen führt das Unternehmen seinen Erfolgskurs fort

Boston, MA/Heidelberg – 28. Januar, 2025 – Onapsis (https://onapsis.com/), führend im Bereich Cybersicherheit und Compliance von SAP-Anwendungen, feiert 15 Jahre Marktführerschaft im Bereich SAP-Security mit mehreren Produktinnovationen, der Stärkung seiner strategischen Partnerschaft mit SAP, der Ernennung neuer Vorstandsmitglieder sowie wichtiger SAP Threat Research.

„In den letzten 15 Jahren haben wir uns das Wissen und die Erfahrung angeeignet, die uns auszeichnen, wenn es um den Schutz kritischer Anwendungen in den größten Unternehmen der Welt geht“, so Mariano Nunez, CEO von Onapsis. „Angetrieben durch die Cloud-basierte digitale Transformation haben ERP-Ausgaben 2025 höchste Priorität in den Budgets für Unternehmenssoftware. Dies und die starke Zunahme von Bedrohungen, die auf SAP-Anwendungen abzielen, führen zu einer gesteigerten Nachfrage nach unseren Lösungen. Im vergangenen Jahr haben wir uns optimal positioniert, um unseren Kunden und Partnern hervorragende Ergebnisse zu bieten.“

Produktinnovation
Im Jahr 2024 hat Onapsis über alle Produktlinien hinweg 164 Neuerungen eingeführt. Zu den wichtigsten Produkterweiterungen gehören:
– Secure RISE Accelerator (https://onapsis.com/press-releases/onapsis-launches-secure-rise-accelerator/): Durch den Abbau von Sicherheits- und Compliance-Herausforderungen vereinfacht, beschleunigt und sichert der Secure RISE Accelerator die RISE with SAP Transformation von Unternehmen.
– SAP Business Technology Platform (https://onapsis.com/press-releases/onapsis-launches-secure-rise-accelerator/) (SAP BTP) Onapsis bietet tiefe Sicherheits- und Compliancescans für SAP BTP für Assess, Defend and Control in der Onapsis-Plattform, die Kunden Transparenz und Sicherheit beim Einsatz dieser geschäftskritischen SAP-Plattform bietet.

Ausbau der strategischen Partnerschaften mit SAP und international führenden Systemintegratoren
Dank der engen, kontinuierlichen strategischen Zusammenarbeit mit SAP und Systemintegratoren profitieren gemeinsame Kunden von höchster Sicherheit und hervorragender Qualität:
– Verbesserte Sicherheit bei RISE with SAP (https://onapsis.com/solutions/building-cyber-resilience-for-rise-with-sap/): Onapsis und SAP kooperieren, um Kunden zu schulen und sie bei der Optimierung des „Shared Security Responsibility Model“ in ihren RISE with SAP-Transformationen zu unterstützen.
– SAP Incident Response by Onapsis (https://onapsis.com/blog/sap-and-onapsis-partnership-for-cybersecurity-detection-and-response/): Onapsis und SAP sind eine strategische Partnerschaft eingegangen, um allen Kunden Incident Response zu bieten und die Cyber-Resilienz von SAP-Kunden weiter zu verbessern.
– Strategische Zusammenarbeit zur Absicherung der digitalen Transformation gemeinsamer Kunden: Onapsis und Deloitte unterstützen ihre gemeinsamen Kunden dabei, ihre digitalen SAP-Transformationsprojekte sicher zu beschleunigen.

„Gemeinsam verbessern SAP und Onapsis die Sicherheit für RISE with SAP. SAP liefert eine hochsichere und konforme RISE with SAP-Cloud-Infrastruktur, so dass sich Kunden ausschließlich auf die Absicherung ihrer SAP-Anwendungen und -Daten konzentrieren können. Onapsis ergänzt diese Rolle von SAP strategisch und liefert Kunden wesentliche Sicherheits- und Compliance-Funktionen“, erklärt Roland Costea, CISO RISE with SAP bei SAP.

Kunden
Branchenführende Unternehmen verlassen sich auf Onapsis und die Fähigkeit des Unternehmens ihre wertvollsten Daten zu schützen. Onapsis zählt hunderte der weltgrößten Unternehmen zu seinen Kunden, von denen 30 % zu den Global Forbes 100 gehören, und kann eine Zufriedenheitsquote von 95 % vorweisen. 2024 konnte Onapsis zahlreiche Global-2000-Organisationen in Nordamerika und Europa zu seinem Kundenstamm hinzugewinnen und gleichzeitig die hervorragende Bindungsrate des Unternehmens weiter steigern.

„Die Sicherheitsbranche stand im vergangenen Jahr vor vielen wirtschaftlichen und wachstumsbezogenen Herausforderungen. Dass Onapsis ein weiteres Jahr als einer der führenden Anbieter für SAP-Security-Lösungen abschließen konnte, ist ein Beweis für die Notwendigkeit und Dringlichkeit, geschäftskritische Anwendungen zu schützen“, sagt Paul Kleinschnitz, Chief Revenue Officer bei Onapsis. „Das neue Jahr ist für Onapsis eine entscheidende Zeit, in der wir weitere strategische Partnerschaften eingehen, unseren Kundenstamm stärken und die Sicherung der kritischsten Daten bei der Cloud-Migration von Unternehmen auf ein neues Niveau heben wollen.“

Leadership-Erweiterung
Onapsis ist sich der geschäftskritischen Bedeutung bewusst, die einem erfahrenen Führungsteam bei der Erreichung der Mission von Onapsis und bei der Sicherung der Stellung des Unternehmens an der Spitze der SAP-Anwendungssicherheit zukommt. Aus diesem Grund hat Onapsis den ehemaligen Chief Security Officer von SAP, Tim McKnight, in den Vorstand berufen und Paul Kleinschnitz (PK) zum Chief Revenue Officer ernannt, um die Führungsposition des Unternehmens auf dem SAP-Cybersecurity-Markt zu stärken.

Innovative SAP Security Research
Die Onapsis Research Labs untermauern ihre Führungsrolle in der SAP Security Research durch die Aufdeckung von über 1.000 Zero-Day-Schwachstellen in geschäftskritischen Anwendungen und die Unterstützung von SAP bei der Abwehr dieser Bedrohungen. Außerdem veröffentlicht Onapsis ausführliche und aktuelle Research-Ergebnisse, einschließlich:
– CH4TTER Report: Flashpoint und Onapsis veröffentlichten gemeinsam den CH4TTER Report, der zeigt, dass geschäftskritische SAP-Anwendungen für Cyberkriminelle immer wichtiger und wertvoller werden und dass die Zahl der Bedrohungsakteure, die es auf SAP-Schwachstellen abgesehen haben, deutlich steigt.
– Studie “ ERP-Sicherheit in Zeiten von KI-gestützter Ransomware (https://onapsis.com/resources/infographics/ai-enhanced-ransomware/)“: Laut dieser Studie gaben 89 % der Cybersicherheitsexperten an, dass ihre ERP-Anwendungen und -Systeme mindestens einmal von Ransomware betroffen waren.

Weitere Informationen zum Wachstum und der Entwicklung von Onapsis in 2025 finden Sie unter https://onapsis.com/

Über Onapsis
Onapsis ist der weltweit führende Anbieter von SAP-Cybersecurity und -Compliance. Zahlreiche namhafte Unternehmen weltweit vertrauen auf Onapsis, um ihre digitalen SAP-Cloud-Transformationen sicher und zuverlässig zu realisieren.
Die Onapsis-Plattform ist die von SAP empfohlene und meistgenutzte Lösung zum Schutz von SAP. Sie bietet Cybersecurity- und SAP-Teams automatisierte Compliance, Schwachstellenmanagement, Bedrohungserkennung und sichere Entwicklungsfunktionen für ihre RISE with SAP-, S/4HANA Cloud- und hybriden SAP-Anwendungen. Basierend auf den Erkenntnissen der Onapsis Research Labs, den weltweit anerkannten Experten für SAP-Cybersecurity, bietet Onapsis beispiellosen Schutz, Benutzerfreundlichkeit und eine schnelle Wertschöpfung und ermöglicht so SAP-Kunden schnelle und sichere Innovationen.
Weitere Informationen finden Sie auf LinkedIn, X oder unter onapsis.com/de.

Firmenkontakt
Onapsis
Cecile Giloy
Salomon-Calvi-Straße 1-3
69124 Heidelberg
…
https://onapsis.com/

Pressekontakt
Lucy Turpin Communications
Sarah Schumm / Alisa Speer
Prinzregentenstraße 89
81675 München
+49 89 417761-17/ 29
www.lucyturpin.com

Neues Angebot bietet branchenführende Tests der Anwendungssicherheit für die SAP BTP-Entwicklung

Onapsis Logo (Bildquelle: @Onapsis)

Boston, MA/Heidelberg – 04. Dezember 2024 – Onapsis (https://onapsis.com/de/), ein weltweit führender Anbieter von SAP-Cybersecurity und Compliance, gibt die Erweiterung seiner Control-Produktlinie um ein neues Lösungspaket bekannt. Dieses verbessert die Funktionen zum Testen der Anwendungssicherheit für die SAP Business Technology Platform (BTP). Das neue Angebot unterstützt dabei sowohl neue als auch Bestandskunden, indem es nahtloses, automatisiertes Code-Scanning in den am häufigsten verwendeten integrierten Entwicklungsumgebungen (IDEs) und Git-Repositories von SAP ermöglicht. So können Teams die Entwicklung beschleunigen, manuelle Tätigkeiten automatisieren, die Sicherheit erhöhen und Risiken in ihren RISE with SAP- und SAP BTP-Projekten minimieren.
Das erweiterte SAP BTP-Sicherheitsangebot ist ab Q4 2024 verfügbar.

SAP treibt die Einführung des SAP S/4HANA-Ökosystems in der Cloud weiter voran. Daher greifen Unternehmen bei der Entwicklung individueller Anwendungen zunehmend auf SAP BTP zurück. Angesichts des Umfangs dieser Projekte ist es jedoch wichtiger denn je, die Sicherheit und Konsistenz des Codes zu gewährleisten. Daher bieten die erweiterten Funktionen des Control for BTP-Pakets den Entwicklungs- und Qualitätssicherungsteams umfassende Unterstützung bei der Überprüfung der Anwendungssicherheit – und das direkt eingebettet in ihre Entwicklungsworkflows.

Die wichtigsten Funktionen auf einen Blick:

Code-Scanning über die von SAP empfohlenen IDEs für BTP: Control unterstützt jetzt die von SAP am häufigsten verwendeten IDEs, einschließlich SAP Business Application Studio (SAP BAS), Visual Studio Code und Eclipse mit ABAP Development Tools. Damit ist sichergestellt, dass Entwickler in RISE with SAP- oder SAP BTP-Umgebungen ihren Code in den IDEs, die sie bereits verwenden, auf Probleme und Schwachstellen prüfen können.

Inline Security „Rechtschreibprüfung“ für Entwickler: Zur Beschleunigung und Risikominimierung von Projekten bietet Control for BTP Inline-Security-Scans in Echtzeit, d. h. noch während der Code geschrieben wird. Ähnlich wie die Rechtschreibprüfung in Textverarbeitungsprogrammen identifiziert das Produkt Code-Probleme sofort und bietet Entwicklern unmittelbares Feedback und konkrete Korrekturen zur Behebung von Sicherheitsrisiken schon während des Entwicklungsvorgangs.

Zentralisiertes Git-Repository-Scanning: Da die SAP-Entwicklung zunehmend zu Git-basierten Workflows übergeht, ermöglicht Control for BTP das zentrale Management von Code-Sicherheitsscans. Unabhängig davon, ob sie einzelne Scans oder Massenscans über mehrere Git-Repositories hinweg durchführen, können Entwickler schnell und effizient ganze Projekte scannen, indem sie einfach auf die entsprechenden Git-Repositories verweisen, was Zeit spart und den Arbeitsaufwand reduziert.

„Wir freuen uns, der erste Anbieter einer umfassenden Lösung für Anwendungssicherheit für SAP BTP zu sein“, sagt Sadik Al-Abdulla, Chief Product Officer von Onapsis. „Der Cloud-Umsatz von SAP ist im dritten Quartal um 25 % gestiegen, was die wachsende Akzeptanz der Cloud-Services für SAP S/4HANA zeigt. Unternehmen möchten ihre alten SAP ECC-Landschaften modernisieren. Die Codesicherheit über den gesamten Lebenszyklus der Softwareentwicklung hinweg war daher noch nie so wichtig wie heute. Mit unseren erweiterten Testfunktionen zur Codesicherheit für BTP können Entwickler proaktiv Schwachstellen finden und beheben und so schnellere, sicherere und erfolgreichere RISE with SAP-Projekte umsetzen.“

Onapsis ist der einzige Anbieter von Anwendungssicherheit und Compliance, der von SAP unterstützt wird. Mit der Erweiterung der BTP-Unterstützung auf Control bietet Onapsis seinen Kunden nun eine umfassende Sicherheits- und Compliance-Abdeckung für SAP BTP in allen wichtigen Produktlinien – Assess, Defend und Control.

SAP BTP ist ein Eckpfeiler des CleanCore-Ansatzes von SAP, der Anpassungen minimieren und System-Upgrades vereinfachen soll. Das neue Angebot von Onapsis stellt sicher, dass der für SAP BTP entwickelte Code frei von Schwachstellen ist, die zu Compliance-Problemen, Produktionsausfällen, ungeplanten Ausfallzeiten oder Projektverzögerungen führen könnten.

Onapsis ist bereits drei Jahre in Folge im Gartner® Magic Quadrant™ für Application Security Testing vertreten.

Verfügbarkeit
Das erweiterte SAP BTP-Sicherheitsangebot ist ab Q4 2024 verfügbar. Preise und weitere Details sind über den Vertrieb von Onapsis oder autorisierte Systemintegratoren erhältlich. Für weitere Informationen besuchen Sie https://onapsis.com/platform/btp/

Gartner, Magic Quadrant for Application Security Testing, by Mark Horvath, Dale Gardner, Manjunath Bhat, Ravisha Chugh, Angela Zhao, 30 April 2024
Gartner is a registered trademark and service mark, and Magic Quadrant is a registered trademark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and are used herein with permission. All rights reserved.
Gartner does not endorse any vendor, product or service depicted in its research publications and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner“s research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

Über Onapsis
Onapsis ist der weltweit führende Anbieter von SAP-Cybersecurity und -Compliance. Zahlreiche namhafte Unternehmen weltweit vertrauen auf Onapsis, um ihre digitalen SAP-Cloud-Transformationen sicher und zuverlässig zu realisieren.
Die Onapsis-Plattform ist die von SAP empfohlene und meistgenutzte Lösung zum Schutz von SAP. Sie bietet Cybersecurity- und SAP-Teams automatisierte Compliance, Schwachstellenmanagement, Bedrohungserkennung und sichere Entwicklungsfunktionen für ihre RISE with SAP-, S/4HANA Cloud- und hybriden SAP-Anwendungen. Basierend auf den Erkenntnissen der Onapsis Research Labs, den weltweit anerkannten Experten für SAP-Cybersecurity, bietet Onapsis beispiellosen Schutz, Benutzerfreundlichkeit und eine schnelle Wertschöpfung und ermöglicht so SAP-Kunden schnelle und sichere Innovationen.
Weitere Informationen finden Sie auf LinkedIn, X oder unter onapsis.com/de.

Firmenkontakt
Onapsis
Cecile Giloy
Salomon-Calvi-Straße 1-3
69124 Heidelberg
…
https://onapsis.com/

Pressekontakt
Lucy Turpin Communications
Sarah Schumm / Alisa Speer
Prinzregentenstraße 89
81675 München
+49 89 417761-17/ 29
www.lucyturpin.com

Somm-ERP-ause? – Nicht für Hacker!

Hacker haben die Angewohnheit, genau dann zuzuschlagen, wenn die Arglosigkeit am größten ist: an Feiertagen wie Weihnachten, aber auch in der Feriensaison. Und die allgemeine unbeschwerte Sommerlaune gepaart mit dünn besetzten IT-Ableitungen ist wie eine Einladung für Angreifer. Umso wichtiger ist es, dass Unternehmen das ganze Jahr über ihre geschäftskritischen Anwendungen, allen voran ERP-Systeme wie SAP, adäquat schützen und optimal auf potenzielle Attacken vorbereitet sind.

Volker Eschenbächer, Vice President, Sales Europe (Central, South & East) bei Onapsis gibt 10 Tipps, wie Unternehmen ihr ERP schützen können:

1. Bedrohungen frühzeitig erkennen und reagieren
Vorsicht ist besser als Nachsicht: Um Bedrohungen zu erkennen, noch bevor aus ihnen eine ausgewachsene Attacke wird, braucht es einen holistischen Blick auf die gesamte Angriffsoberfläche und ERP-Systemlandschaft des Unternehmens. Spezialisierte Threat Detection and Response (https://onapsis.com/onapsis-platform/defend) Tools ermöglichen es, Sicherheitsereignisse zu zentralisieren und potenzielle Bedrohungen in der SAP-Landschaft frühzeitig zu erkennen und zeitnah darauf zu reagieren. Diese ziehen Informationen aus verschiedenen Quellen und ermöglichen es den Sicherheitsteams, Probleme schnell zu erkennen und zu beheben.

2. Das große Ganze im Blick behalten
ERP-Systeme wie SAP arbeiten in einem vernetzten Ökosystem und Bedrohungsakteure sind in der Lage, sich agil durch dieses Netzwerk zu bewegen, um Daten zu sammeln oder Anwendungen zu manipulieren. Alles, was sie dazu brauchen, ist ein einziger Zugang zum Netzwerk, wie Untersuchungen (https://onapsis.com/active-cyberattacks-business-critical-sap-applications)von SAP und Onapsis zeigen. Das stellt Unternehmen vor eine große Aufgabe: Denn während Cybergangster nur ein einziges Schlupfloch benötigen, müssen Unternehmen die gesamte Angriffsoberfläche im Blick behalten und schützen. Unternehmen sollten daher über Prozesse und Lösungen verfügen, um nicht nur die Produktionssysteme, sondern die gesamte SAP-Landschaft abzusichern.

3. Kritische Assets identifizieren
ERP-Systeme speichern die wertvollsten Daten und Informationen eines Unternehmens. Daher kann die gesamte SAP-Landschaft als kritischer Vermögenswert betrachtet werden. Dies kann sowohl die SAP-Technologie als auch Server, Datenbanken und alle anderen Systeme umfassen, die in SAP-gestützte Geschäftsprozesse integriert sind. Das Problem ist, dass Unternehmen sich heute zwar häufig über die Kritikalität ihres ERP bewusst sind, aber nicht wissen, welche spezifischen Geschäftsprozesse von SAP unterstützt werden und welche Wechselwirkungen bestehen.

4. Bewertung von Risiken und Schwachstellen bei kritischen Assets
Wenn klar ist, wo im Unternehmen sich kritische Daten und Prozesse befinden, ist es an der Zeit, diese zu bewerten: Schwachstellen, Patches, Konfigurationen, Benutzerberechtigungen, APIs. Um das mit den jeweiligen Anwendungen verbundene Risiko zu verstehen, sollten die verschiedenen Komponenten des SAP-Techstacks bewertet werden. Dies funktioniert am besten mit einem speziellen Schwachstellen-Scanner für ERPs, der Auskunft darüber gibt, welche konkreten Risiken und Schwachstellen die verschiedenen Komponenten betreffen.

5. Einspielen der neuesten Sicherheitspatches
Es müsste mittlerweile jedem bekannt sein und dennoch sieht die alltägliche Praxis häufig anders aus: Jedes Unternehmen sollte einen Prozess zur Bewertung, Analyse und Priorisierung von SAP-Sicherheitshinweisen implementieren und Sicherheitspatches so schnell wie möglich umsetzen. Die Onapsis Research Labs veröffentlichen beispielsweise monatlich eine SAP Patch Day Analyse (https://onapsis.com/blog/tags/sap-security-notes), die IT-Teams dabei hilft, auf dem Laufenden zu bleiben und zeitnah relevante Patches einzuspielen.

6. Verfeinerung von Business-Continuity-Plänen
Backups kritischer Anwendungen sind eine wichtige reaktive Maßnahme. Sie können Cyberangriffe zwar nicht verhindern, jedoch ihre Auswirkungen und Kosten erheblich verringern. So können sie im Fall einer Ransomware-Attacke den Unterschied ausmachen, ob ein Unternehmen Lösegeld zahlen muss oder nicht, und Ausfallzeiten deutlich reduzieren.
Sicherheitsverantwortliche sollten daher Business-Continuity-Pläne definieren, kommunizieren und – wichtig! – testen, um sicherzustellen, dass sie auch SAP-Anwendungen berücksichtigen. Bei der Erstellung von BCPs ist entscheidend, alle möglichen Szenarien zu berücksichtigen und zu prüfen, ob die Teams angemessen darauf vorbereitet sind. Zu diesen Szenarien gehören die Wiederherstellung der gesamten SAP-Umgebung, der Ausfall einer kritischen Systemwiederherstellung und die Frage, wie lange es im Falle eines Ransomware-Angriffs dauert, alle betroffenen Dateien wiederherzustellen.

7. Überwachung von Änderungen in Custom Code
Benutzerdefinierter Code ist ein beliebter Vektor, den Bedrohungsakteure insbesondere bei Angriffen auf große Unternehmen nutzen, die Drittanbieter mit der Erstellung beauftragen. So können Schwachstellen und kompromittierter Code durch unbefugten Zugriff in SAP-Anwendungen eingeschleust werden. Die Fähigkeit, böswillige Änderungen an Custom Code und Konfigurationen zu erkennen, kann die Wahrscheinlichkeit von Infektionen durch externe Angreifer verringern und das Risiko eines erfolgreichen Angriffs deutlich minimieren.

8. Mehrstufige Sicherheitsmodelle
Mit einem mehrstufigen Sicherheitsansatz sinkt das Risiko für eine erfolgreiche Infektion. Bei einem sogenannten „Defense-in-Depth“-Ansatz werden Sicherheitslösungen auf mehreren Sicherheitsebenen – physisch, technisch und administrativ – implementiert, um zu verhindern, dass Bedrohungsakteure z. B. in ein geschütztes Netzwerk vordringen. Herkömmliche „Defense-in-Depth“-Sicherheitsmodelle sind gut, können aber in der heutigen angespannte Cybersicherheitslage beim Schutz von SAP-Anwendungen zu kurz greifen. Mit spezialisierten Sicherheitslösungen für den Schutz von ERP-Anwendungen kann eine zusätzliche Sicherheitsebene eingezogen werden.

9. Security-Awareness fördern
Security-Awareness-Trainings sind eine der effektivsten Möglichkeiten, das Malware-Risiko für ERP-Anwendungen zu minimieren. Die Erstinfektion kann über eine Vielzahl von Angriffsvektoren erfolgen, Angreifer zielen jedoch besonders häufig mit Social-Engineering-Techniken auf Endanwender. SAP-Nutzer sollten daher für die verschiedensten Angriffstaktiken sensibilisiert werden und bei der Verwendung ihrer Firmengeräte zu Wachsamkeit aufgerufen werden – vor allem wenn dies Remote oder im Kontext einer „Workation“ geschieht. Außerdem sollten IT-Administratoren Multi-Faktor-Authentifizierung, VPN und andere Sicherheitsmaßnahmen nutzen, um das Risiko einer versehentlichen „Zusammenarbeit“ von Usern und Angreifern zu minimieren.

10. Mit Threat Intelligence neue Einblicke und Erkenntnisse gewinnen
Threat Intelligence-Programme liefern zeitnah aufschlussreiche Informationen über die aktuellen Taktiken und Techniken von Bedrohungsakteuren. Sie warnen frühzeitig vor neuen Ransomware-Kampagnen und bieten Gegenmaßnahmen und Handlungsvorschläge für die IT-Sicherheitsteams, die die Entwicklung und Implementierung von Sicherheitskontrollen verantworten.

Die Onapsis- Plattform (https://onapsis.com/onapsis-platform) unterstützt Unternehmen beim Schutz ihrer ERP-Systeme und bietet spezialisierte Lösungen für das Vulnerability Management, Threat Detection and Response, Change Assurance, und Automated Compliance für geschäftskritische Anwendungen von führenden Anbietern wie SAP, Oracle, Salesforce und anderen SaaS-Plattformen.

Über Onapsis
Onapsis schützt die Geschäftsanwendungen, die die globale Wirtschaft stützen. Die Onapsis-Plattform bietet Vulnerability Management, Change Assurance und ermöglicht kontinuierliche Compliance für Geschäftsanwendungen führender Anbieter wie SAP, Oracle und anderen. Die Onapsis-Plattform wird von den Onapsis Research Labs betrieben, deren Teams bereits mehr als 1.000 Zero-Day-Schwachstellen in Geschäftsanwendungen identifiziert und entschärft haben.

Onapsis hat seinen Hauptsitz in Boston, USA, mit Niederlassungen in Heidelberg, Deutschland, und Buenos Aires, Argentinien, und betreut Hunderte von weltweit führenden Marken, darunter fast 30 % der Forbes Global 100, sechs der Top-10-Automobilunternehmen, fünf der Top-10-Chemieunternehmen, vier der Top-10-Technologieunternehmen und drei der Top-10-Öl- und Gasunternehmen.

Firmenkontakt
Onapsis
Cecile Giloy
Salomon-Calvi-Straße 1-3
69124 Heidelberg
06221 868900
https://onapsis.com/

Pressekontakt
Lucy Turpin Communications
Sarah Schumm
Prinzregentenstraße 89
81675 München
+49 89 417761-17
www.lucyturpin.com