:quality(80)/p7i.vogel.de/wcms/3b/6d/3b6de5d5ee985e4d83860aa710a88d64/0108679613.jpeg "Der zentrale Überblick mittels des Multi-Cloud-Managements sorgt für Kostentransparenz; Reports und intelligente Analysen zeigen Optimierungspotenzial auf und ermöglichen Vergleiche der Konditionen verschiedener Anbieter. (Bild: dell - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/aa/66aa92e9e5f3707c120969f3a9dc2dc5/0108541020.jpeg "Vor allem Lösungen für ERP und CRM sind Treiber des konstanten Wachstums im SaaS-Markt und des voranschreitenden Trends zur Digitalisierung und Automatisierung. (Bild: gemeinfrei Ronald Carreno)")
:quality(80)/p7i.vogel.de/wcms/9b/68/9b681c20a7f5797bd1a81726aa5ad997/0108274887.jpeg "Kernfunktion aktueller Cloud-Content-Management-Lösungen ist es, Anwendern den ortsunabhängigen Zugriff auf für sie relevante Geschäftsdaten zu ermöglichen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/06/d3/06d3967cfc56de4bab965f987f7588c3/0114255798.jpeg "Abkehr von standardisierten Anwendungen: Hinter dem Begriff fluider Software steckt ein innovatives Prinzip modularer Software-Stacks, die beliebig kombinierbar sind. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/52/80/528027b69c7908d3e3bcf1cb66143759/0114011919.jpeg "Unter IT-Fachkräften ist die Wechselbereitschaft in einen neuen Job insgesamt hoch.
(Bild: stockphoto-graf - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/17/0c/170c447f374fd98bc908de7baac519bd/0113797181.jpeg "AWS fördert Startups mit speziellen Programmen, die Tools, Ressourcen, Know-how-Vermittlung und Expertenunterstützung beinhalten. (Bild: Gajus - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/89/6f8943f3ceb69a6f4d303568195b8ea0/0114061951.jpeg "Google erhöht die Sicherheit für Gmail- und Workspace-Konten. (Bild: Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e6/bde68cb5cbcb09ecc922d2d089521b80/0114077593.jpeg "Infomaniak Mail ist eine sichere und nachhaltige Alternative zu den E-Mail-Diensten großer Anbieter. (Bild: Infomaniak)")
:quality(80)/p7i.vogel.de/wcms/e2/e3/e2e3e4eb09a5fa547b1b9b81a2c79c17/0113402444.jpeg "IT-Abteilungen sollten sich möglichst zeitnah Gedanken machen, wie es nach dem Supportende der Windows-10/11-Versionen 22H2 weitergeht. (Bild: Microsoft - Joos)")
:quality(80)/p7i.vogel.de/wcms/40/a2/40a2de8e83ea37138865faa62827cd8c/0114169299.jpeg "Teil 24 der Cloud-Speicherserie auf CloudComputing-Insider führt von Europa, über Kanada nach Israel. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/e4/c5e40e5cd6d11fca4ed9b745c9777344/0114059384.jpeg "Das Kostenmanagement einer Cloud-Bereitstellung ist herausfordernd für viele Organisationen, um nicht nur die Ausgaben für orchestrierte Cloud-Dienste im Blick zu behalten. (Bild: mrmohock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/4c/c24c2e6f72fe947e845defbd19dce1a7/0114014847.jpeg "Rumänische Dienstleister helfen remote andernorts bei Fachkräftemangel aus. (Bild: suns07butterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/2a/ea2a21a28b29e74e23aa60c362e1e856/0114106074.jpeg "Angreifer nutzen Anmeldedaten mit überprivilegiertem Zugriff, die häufig im Klartext auf Endpunkten offengelegt werden, um tiefer in die Umgebung vorzudringen oder auf sensible Informationen zuzugreifen. (Bild: kentoh - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/34/873483a16ed032b44513f8bea4b7e4e1/0113989637.jpeg "Die Cloud ist aus dem Business-Alltag vieler Unternehmen nicht mehr wegzudenken. Doch eignet sie sich für alle Daten gleichermaßen? (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/3d/c7/3dc7ea1284f4474148924b07ab3511bb/0114061928.jpeg "Die Cloud bleibt wichtig und empanzipiert sich in neue Bereiche, wie das "Infosys Cloud Radar 2023" zeigt. (Bild: Roman)")
:quality(80)/p7i.vogel.de/wcms/a4/e8/a4e8488082f585702caa666ae387b4b1/0114054929.jpeg "Durch verbesserte Technologien, Geschäftspraktiken und regulatorische Änderungen können auch KMU inzwischen bedenkenlos die Vorteile der Cloud nutzen. (Bild: Vitaly Krivosheev - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a0/b4a0a87b7ecc4d19b12eb439d5227cd3/0114318147.jpeg "Die offizielle Eröffnung der Digital X oblag Hagen Rickmann, Schirmherr der Digital-X-Initiative und Chef der Geschäftskundensparte der Telekom Deutschland. (Bild: Deutsche Telekom AG)")
:quality(80)/p7i.vogel.de/wcms/81/50/815057430b24fe7d32fe767d90be4b83/0114167648.jpeg "Einer der bekanntesten IT-Juristen in Deutschland, RA Wilfried Reiners, ist Gast der neuen Folge von CLOUD ON AIR. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/6f/b5/6fb564b2bc6e0c2e7ed55a9b1214507a/0113999855.jpeg "Die Herangehensweise der führenden Anbieter an die Sovereign Cloud ist so vielfältig wie das Verständnis der Menschen davon, was Sovereign Cloud überhaupt bedeutet. (Bild: peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/43/24433120f2753c86ed52c8fe7ddb136a/0113919770.jpeg "Unternehmen sehen sich bei Cyberversicherungen mit steigenden Prämien, niedrigeren Deckungssummen und strengeren Anforderungen an ihre IT-Sicherheit konfrontiert. (Bild: Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/42/ad42163e7facb4a6b08d1e5919bc6cc7/0114039867.jpeg "Die Foxit PDF Editior Suite wurde um verschiedene zusätzliche Funktionen ergänzt. (Bild: Screenshot / Foxit)")
:quality(80)/p7i.vogel.de/wcms/6c/83/6c8380a91e0ae5d95acdb3b96f76d3d2/0113164823.jpeg "Was treibt moderne Unternehmen dazu, Daten in die Cloud zu verlagern? (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/20/a120ed40dbee2737fec5998650f42917/0113952630.jpeg "OneDrive in Kombination mit Microsoft 365 synchronisiert lokale Daten mit der Cloud. (Bild: SweetBunFactory - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2e/e5/2ee52786a48b54c8bf86bcf173f625b4/0113914703.jpeg "Mit ihren Plattformen ermöglichen die Hyperscaler einer breiten Masse von Unternehmen den Einstieg in die KI-Nutzung. (Bild: fotomek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/17/0b/170b8be128ba7eb2b683fbb71d9a897f/0114000732.jpeg "Mit dem Setzen extrinsischer Reize können Unternehmen dem Thema Nachhaltigkeit den nötigen Nachdruck verleihen und nicht nur Klima- und Umweltschutzziele vorgeben, sondern Nachhaltigkeit in der Unternehmensführung verankern. (Bild: Sidekick - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/26/72266259adace20cc0461c2a74c87844/0114119093.jpeg "„Jetzt ist jeder ein Einstein“: Salesforce-CEO Mark Benioff stellt auf der Dreamforce 2023 die Einstein 1 Plattform vor, Grundlage für die nächste Generation aller Salesforce CRM-Anwendungen. (Bild: © 2023 by Jakub Mosur Photography)")
Vulnerability Chaining – Verkettung von Schwachstellen Wenn die ERP-Lösung kompromittiert wird
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
In der IT-Sicherheit gilt das Mantra: Je schneller Patchen, desto besser. Doch leider lassen knappe personelle Ressourcen dies nicht immer zu. Die Folge: Schwachstellen mit hoher Kritikalität werden priorisiert. Was auf den ersten Blick sinnvoll erscheint, birgt jedoch ein großes Risiko, denn Bedrohungsakteure nutzen sogenannte Exploit-Ketten.
„Ach, das ist doch nicht so schlimm.“ – Eine Risikobewertung, die auf den ersten Blick korrekt ist, kann sich bei IT-Sicherheitslücken im Nachhinein als großer Fehler herausstellen. Denn schon eine vergleichsweise kleine Schwachstelle kann Angreifern den Weg zu weiteren, immer kritischeren Schwachstellen ebnen, bis hin zur Kompromittierung zentraler Geschäftsanwendungen, wie ERP-Systemen. Man spricht in diesem Zusammenhang auch von Exploit-Ketten, bei denen im wahrsten Sinne des Wortes eines zum anderen führt.
CVSS: Liegen lassen, vielleicht später, sofort reagieren?
Zum Hintergrund: Schwachstellen werden in der Regel nach ihrer Kritikalität eingestuft. Das sogenannte Common Vulnerability Scoring System (CVSS) ist ein häufig verwendeter Standard zur Bewertung von IT-Lücken. Dabei entspricht ein Wert von 0,0 – 3,9 keinem bzw. einem geringen Risko, während das andere Ende der Skala (9,0 – 10,0) ein sehr hohes Risiko bedeutet.
Unternehmen ziehen diese Skalen heran, um die Reaktionszeit für die Anwendung von Sicherheits-Patches zur Behebung dieser Schwachstellen zu definieren. Denn obwohl grundsätzlich alle Schwachstellen wichtig sind – mehr dazu später – können die wenigsten Unternehmen sofort alle IT-Sicherheitslücken beheben. Die Gründe dafür sind vielfältig und reichen von knappen Security-Ressourcen bis hin zu dünn besetzten IT-Teams. Stattdessen konzentrieren die Unternehmen sich vor allem auf die kritischsten Sicherheitslücken – mit teilweise fatalen Folgen.
Ein Risiko größer als die Summe der Teile
Ein Beispiel: Die Onapsis Research Labs haben im Frühjahr 2023 eine neue Sicherheitslücke identifiziert: CVE-2023-28761. Diese hat eine CVSS v3-Einstufung von 6,5, was einer mittleren Kritikalität entspricht. Unternehmen tendieren dazu, solche mittleren Schwachstellen mit einer geringeren Dringlichkeit zu patchen. Genau hier wird es jedoch interessant für Hacker – und brandgefährlich für Unternehmen: Denn diese Schwachstelle kann von nicht authentifizierten Remote-Angreifern ausgenutzt werden, um letztlich eine Reihe anderer kritischerer Schwachstellen zu missbrauchen, die bereits von SAP gepatcht wurden:
| Details zur Sicherheitslücke | CVSS | CVE |
|---|---|---|
SQL-Injection und DoS im SearchFacade P4Service | 9.9 | CVE-2022-41272 |
DoS und OS File Arbitrary Read im LockingP4 Service | 9.9 | CVE-2023-23857 |
RFC-Ausführung undPlain-Passwort-Leak im Rfcengine P4- Service | 9.4 | CVE-2023-0017 |
SQL-Injection und DoS in JobBean P4-Service | 9.4 | CVE-2022-41271 |
Offenlegung vonInformationen im Cache P4-Service | 5.3 | CVE-2023-26460 |
Offenlegung vonInformationen im Classload P4-Service | 5.3 | CVE-2023-24526 |
Offenlegung vonInformationen im Object Analyzing P4-Service | 5.3 | CVE-2023-27268 |
Dies hat zur Folge, dass Sicherheitslücken, die an sich nicht über das Internet zugänglich sind, indirekt von Angreifern ausgenutzt werden können, indem eine Sicherheitslücke mit mittlerer Kritikalität verwendet wird. Über diesen raffinierten „Umweg“ wird dann die gesamte Gruppe von Sicherheitslücken remote ausnutzbar, unauthentifiziert und über das HTTP-Protokoll zugänglich (möglicherweise über das Internet), was umfassende, kritische Auswirkungen auf das System haben kann.
Vulnerability Chaining: Verkettung von Schwachstellen
In der Vergangenheit haben die Onapsis Research Labs bereits häufiger berichtet, dass Angreifer verschiedene Schwachstellen nutzen, mit dem Ziel, Unternehmensdaten zu kompromittieren. Das Kombinieren von Schwachstellen – vor allem aber von Exploits – wird dabei als Exploit Chaining bezeichnet und ist an sich keine neue Taktik der Bedrohungsakteure, bleibt aufgrund seiner potenziellen Gefahr jedoch weiterhin topaktuell.
Da Cyberkriminelle die Möglichkeit haben, diese Schwachstellen-„Familie“ miteinander zu verknüpfen, um breitere, kritischere Auswirkungen zu erzielen, bezeichnen die Onapsis Research Labs diese Familie von CVE(s) (wie oben genannt) als „P4CHAINS“.
Wie können sich Unternehmen vor P4CHAINS schützen?
Weil Angreifer die Möglichkeit haben, über bestimmte Schwachstellen eine tiefere Kompromittierung von Geschäftsanwendungen zu erreichen, müssen Unternehmen jederzeit über Schwachstellen und entsprechende Sicherheitshinweise auf dem Laufenden bleiben. Und das nicht nur, wenn diese veröffentlicht werden, sondern auch später, um weiteren Entwicklungen schnellstmöglich entgegenzusteuern. Dazu brauchen sie Zugriff auf aktuelle Bedrohungsdaten, um besser zu verstehen, welche Schwachstellen gerade ausgenutzt werden, welche Risikofälle mit höherer Priorität als üblich behandelt werden sollten und für welche Sicherheitslücken IT-Teams ihre kostbare Zeit am besten aufwenden. Einige Security-Anbieter wie Onapsis bieten Unternehmen daher über ein sogenanntes Threat Intel Center jederzeit Zugang zu aktuellen Bedrohungsdaten.
Das Beispiel von CVE-2023-28761 zeigt, dass die CVSS-Bewertung von Schwachstellen zwar eine durchaus nützliche Kennzahl ist, jedoch kein unfehlbarer Indikator für die Gefährlichkeit von Sicherheitslücken und deren Auswirkungen. Außerdem verdeutlicht es die enorme Komplexität von Geschäftsanwendungen wie SAP. Sie laufen auf einer Vielzahl von Services, die miteinander vernetzt sind. Schon eine kleine Schwachstelle ermöglicht es Angreifern, sich „über Hintertüren“ Zugang zu Kernanwendungen zu verschaffen. Wichtig ist daher ein holistischer Blick auf die ERP- und IT-Sicherheit, weil sich die Schwere der Kompromittierung durch die Kombination und Verkettung von Schwachstellen z. B. mit der umfassenderen P4CHAINS-Familie deutlich erhöht. Spezialisierte Sicherheitslösungen für den Schutz von SAP-Systemlandschaften können dabei unterstützen.
Abschließend gilt: Patches immer einzuspielen – und das so schnell wie möglich und für alle potenziell betroffenen Anwendungen. Anwendungen richtig konfigurieren und die Angriffsfläche so gering wie möglich zu halten, um den ein- und ausgehenden Datenverkehr optimal kontrollieren zu können. Und letztlich: Nicht den Blick für die Komplexität und das große Ganze verlieren, denn sonst kann das Gesamtrisiko schnell wesentlich größer werden als die Summe seiner Teile.
* Der Autor Volker Eschenbächer ist Vice President, Sales Europe (Central, South & East) bei Onapsis.
(ID:49682065)
:quality(80)/p7i.vogel.de/wcms/e9/9d/e99d65df9758748a69eaae491c0ac6a2/0112161927.jpeg "Der öffentliche Sektor hat bei der Verbesserung der Sicherheit seiner Anwendungen einen weiten Weg zurückgelegt. (Bild: frei lizenziert Peggychoucair / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/b5/c8/b5c89f705764831cbb2308cd0194de24/0108909340.jpeg "Angriffe auf die Software Supply Chain machen deutlich: Unternehmen können sich nicht mehr blind darauf verlassen, dass Code-Komponenten die sie nutzen auch sicher sind. (Bild: Eisenhans - stock.adobe.com)")