Aktuelles, Branche, Produkte - geschrieben von cp am Donnerstag, September 15, 2011 16:50 - noch keine Kommentare
ERP-Systeme mit mangelhafter Absicherung: Rund 80 Prozent der Unternehmen weisen Sicherheitslücken auf
SecuFit warnt vor massiven Risiken vor allem im Bereich der Benutzerverwaltung
[datensicherheit.de, 15.09.2011] Die SecuFit GmbH, ein IT-Dienstleistungs- und Beratungsunternehmen mit Fokus auf Sicherheitsüberprüfungen, warnt vor erheblichen Sicherheitsrisiken im ERP-Umfeld:
Die Experten von SecuFit hätten nach eigenen Angaben in den vergangenen Monaten in Deutschland zahlreiche Unternehmen unterschiedlicher Größe untersucht. Im Fokus hätten dabei insbesondere die eingesetzten ERP-Systeme von SAP und die daran angebundenen Lösungen von Fremdanbietern gestanden. Demnach wiesen rund 80 Prozent der überprüften Unternehmen teils massive Sicherheitslücken auf. Typische Schwachstellen fänden sich vor allem im Bereich der Benutzerverwaltung und der Vergabe von Benutzerrechten.
Häufig verfügten Anwender über deutlich weiter reichende Rechte, als für ihren Tätigkeitsbereich eigentlich notwendig. Beinahe ein „Klassiker“ seien auch fest eingerichtete Administrator-Rollen – ursprünglich beispielsweise zum Test einer Erweiterung benötigt. Diese würden anschließend oft vergessen und nie wieder entfernt. Für potenzielle Angreifer stelle dies ein attraktives Einfallstor dar.
Wichtig zu wissen sei, dass Hacker nicht nur große Unternehmen und Konzerne im Visier hätten – neuen Erkenntnissen zufolge beträfen rund 90 Prozent der Angriffe mittelständische Unternehmen. In vielen Fällen bemerkten diese nicht einmal, gehackt worden zu sein, was den Schaden noch vergrößern könne.
Die Netzinfrastruktur sei nach den Erkenntnissen von SecuFit zwar insgesamt meistens besser gesichert als noch vor ein paar Jahren, allerdings sei die Anzahl der Schnittstellen innerhalb und außerhalb zum ERP-System um mehr als das Dreifache gestiegen. Im Vordergrund sollte für die haftende Geschäftsleitung stehen, sich einen Überblick über die Sicherheitssituation zu verschaffen.
Es sei für sie immer wieder erschreckend, wie leichtfertig Unternehmen mit ihren Daten umgingen, so Frank Wacker und Christian Rinner, Geschäftsführer der SecuFit GmbH. Oft seien die Firmennetzwerke grundsätzlich zwar gut abgesichert. Vernachlässigt würden aber häufig ERP- beziehungsweise SAP-typische Risiken. Dabei liefen gerade dort oft alle wichtigen, unternehmenskritischen Informationen zusammen. Versierte, professionelle Angreifer seien ganz gezielt auf der Suche nach solchen Hintertüren. Sie könnten Unternehmen nur dazu raten, auch ihr ERP-System innerhalb der globalen Sicherheitsstrategie entsprechend zu berücksichtigen. Sinnvoll sei auch die Einbindung in ein Identity-Management-System für die Benutzerverwaltung. Die Sicherheit für das ERP-System sollte immer nach dem Prinzip einer Waage aufgebaut sein – das „Gegengewicht“ zum angreifenden Hacker müsse schwer genug sein, um zu verhindern, dass aus der Waage ein „Katapult“ werde. Informationen stellten das „Kapital“ vieler Unternehmen dar – entsprechend gut sollten sie auch gesichert werden.
Die SecuFit GmbH mit Sitz in Dachau bei München führt für ihre Kunden unter anderem Penetrationstests durch. Mit speziellen „Ethical Hacker Tools“ könnten Angriffe simuliert und so die vorhandenen Abwehrmechanismen von IT-Infrastrukturen im Detail überprüft werden.
Weitere Informationen zum Thema:
SecuFit
Ist Ihre IT SeciFit?
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren