Fehlende Updates führen dazu, dass Tausenden Unternehmen über SAP- und Oracle-Systeme Angriffe durch Hacker drohen. Nun warnt die US-Regierung vor den Gefahren.

Cosinart/iStock/Thinkstock/Getty Images

26.07.18
CFO

USA warnen vor Cybercrime-Attacken über SAP und Oracle

Veraltete Software von SAP und Oracle bietet Einfallstore für Hacker-Angriffe, warnt die US-Regierung. Es gibt schon viele Betroffene – die aber an ihrem Problem nicht unschuldig sind.

Fehlende Software-Updates werden für Unternehmen und Behörden zum Risiko. Die US-Regierung hat nun berichtet, dass mindestens zwölf Unternehmen und Regierungsbehörden ins Visier von Hackern geraten seien, Tausende weitere Unternehmen seien von Hacker-Angriffen bedroht.

Die Hacker nutzen offenbar zunehmend veraltete Versionen der im Finanzbereich weit verbreiteten Softwarepakete von Oracle und SAP als Einfallstor. Wie die Nachrichtenagentur Reuters berichtet, beruft sich die US-Regierung bei ihrer Warnung auf eine Studie zweier Cyber-Sicherheitsunternehmen. Die IT-Systeme zweier Regierungsbehörden sowie von Unternehmen aus den Sektoren Medien, Energie und Finanzen seien zuletzt Opfer von Cybercrime-Attacken geworden.

Die Ursache:  Sie hatten Patches oder empfohlene Sicherheitsmaßnahmen der Anbieter Oracle und SAP nicht ausgeführt. Mangelnde Aktualität bei Updates und Patches zählt auch in deutschen Finanzabteilungen zu den häufigsten Fehlern im Kampf gegen Cybercrime. Die Risiken derartiger Nachlässigkeiten scheinen nun zu wachsen. 

Hacker zielen auf Software zur Unternehmensplanung

Nicht nur deshalb sollte die Warnung der US-Behörden auch deutsche Finanzverantwortliche hellhörig werden lassen: Demnach gibt es Anzeichen, dass Hacker sich immer stärker auf Software zur Unternehmensplanung konzentrierten. Einige der nun ausgenutzten Schwachstellen hätten sich bereits vor mehr als zehn Jahren geöffnet.

„Diese Angreifer sind bereit, jahrelange Risiken auszunutzen, die ihnen den uneingeschränkten Zugriff auf SAP- und Oracle-Systeme ermöglichen, ohne entdeckt zu werden“, zitiert die Nachrichtenagentur Reuters Mariano Nunez von der an dem Report beteiligten Cyber-Sicherheitsfirma Onapsis. Ein SAP-Sprecher riet Kunden, die von SAP bereitgestellten Sicherheits-Patches gleich nach Veröffentlichung zu implementieren. In der Regel stellt der Softwarekonzern neue Patches am zweiten Dienstag eines Monats bereit.

Häufig scheuen Unternehmen Patches und Updates

Durch zögerlichen Umgang mit Sicherheits-Patches und Updates öffnen Unternehmen Angreifern Tür und Tor. Dass einige dieses Risiko dennoch eingehen, liegt an den komplexen Strukturen der verschiedenen im Unternehmen genutzten Softwaresysteme. In den meisten Unternehmen ist die IT-Landschaft nicht einheitlich, sondern setzt sich aus unterschiedlichen Systemen zusammen, die über Schnittstellen verknüpft werden müssen. Regelmäßig kommen auch über M&A-Deals neue IT-Systeme hinzu, die integriert werden müssen.

Viele Unternehmen haben Sorge, dass ein Update oder Patch zu Störungen und Verschiebungen in ihren IT-Konfigurationen führen könnte, was dann umfassendere Anpassungen erforderlich machen würde. Mitunter werden Patches sogar dauerhaft nicht ausgeführt. Hacker finden dann mitunter Schwachstellen, die seit Jahren bekannt und behebbar sind.

sabine.reifenberger[at]finance-magazin.de