Einträge von Mariano Nunez, Onapsis

Target SAP

Der unberechtigte Zugriff ermöglicht Sabotage, Spionage und Betrug – bis hin zur vollen Kontrolle über SAP-Infrastrukturen. Durch unberechtigte Zugriffe auf Datenbanken erhalten Spione Einblick auf alle kritischen Daten eines Unternehmens: USIS, ein Anbieter von Hintergrundrecherchen zu persönlichen Daten, musste 2015 den unerlaubten externen Zugriff auf mindestens 25.000 Daten von Mitarbeitern in US-Regierungsbehörden einräumen. Für einen Betrug erweitert ein Angreifer seine Rechte in SAP-Systemen, legt sich als einen falschen Zulieferer an, schreibt sich eine Rechnung und veranlasst die Überweisung auf das eigene Konto. Dies geschieht durch die Ausweitung der Privilegien eines Nutzer-Accounts – unter Aushebelung des SAP-spezifischen Sicherheitsansatzes der Segregation of Duties (SoD): Eine Trennung von Pflichten oder Kompetenzen kann zwar effektiv für Sicherheit sorgen, indem Rechte von Mitarbeitern in der […]

Sicherheitspolitik und effektive Lösungen

Die Verbreitung der Invoke-Serv­let-Schwachstelle bei nicht aktualisierten oder fehlkonfigurierten SAP-NetWeaver-Implementierungen zeigt aktuell die Defizite in der Sicherheit von SAP-Implementierungen. Obwohl bereits vor sechs Jahren ein Patch von SAP bereitgestellt wurde, gibt es noch im Frühjahr 2016 bei 36 Unternehmen in den USA, Großbritannien, Deutschland, China, Indien, Japan und Südkorea Indizien für einen Exploit der Sicherheitslücke. 13 der betroffenen Unternehmen generieren mehr als 13 Milliarden Dollar Umsatz im Jahr. Die Schwachstelle kann die vollständige unautorisierte Steuerung betroffener SAP-Systeme ermöglichen. Da es am Willen für bessere SAP-Sicherheit kaum mangeln dürfte, mangelt es offenbar an Ressourcen. Abhilfe tut not: Eine Schlüsselkomponente sind kontextsensitive Lösungen zur Inventarisierung und Überwachung von Schwachstellen sowie zum Erkennen und sofortigen Reagieren auf ungewöhnliche Ereignisse und Zugriffe. Sie ermöglichen […]