Security-Spezialist Secufit warnt vor Risiken

Benutzerverwaltung führt zu Sicherheitslücken in ERP-Systemen

15.09.11 | Autor / Redakteur: IT-BUSINESS / Dr. Stefan Riedl / Stefan Riedl

Sicherheitslücken in der Benutzerverwaltung können zu Problemen führen. (Doc RaBe - Fotolia.com)
Sicherheitslücken in der Benutzerverwaltung können zu Problemen führen. (Doc RaBe - Fotolia.com)

Zu viele Rechte der User, brach liegende Test-Administratoren-Zugänge und eine steigende Anzahl an Schnittstellen. Der IT-Dienstleister Secufit aus Dachau, der die Unternehmens-IT seiner Kunden mit Ethical-Hacking-Tools bearbeitet, nennt ein paar klassische Problemzonen aus dem Tagesgeschäft.

Der IT-Security-Dienstleister Secufit aus Dachau hat sich auf Sicherheitsüberprüfungen spezialisiert und berichtet aus der Praxis von „erheblichen Sicherheitsrisiken im ERP-Umfeld“. Die Security-Profis haben in den vergangenen Monaten hierzulande zahlreiche Unternehmen unterschiedlicher Größe untersucht. Wie das Unternehmen in einer Mitteilung erläutert, wurden insbesondere ERP-Systeme von SAP und daran angebundenen Lösungen von Fremdanbietern unter die Lupe genommen.

Problemzone Benutzerrechte

Das Ergebnis: Rund 80 Prozent der überprüften Unternehmen weisen teils massive Sicherheitslücken auf. Schuld daran sind jedoch weniger die beteiligten Hersteller, sondern vielmehr Administratoren, die offenbar Sicherheitsrisiken im Bereich der Benutzerrechte unterschätzt haben. „Typische Schwachstellen finden sich vor allem im Bereich der Benutzerverwaltung und der Vergabe von Benutzerrechten“, heißt es aus dem Unternehmen Secufit. Deren Einschätzung nach verfügen User häufig über „deutlich weiter reichende Rechte, als sie für ihren Tätigkeitsbereich eigentlich notwendig sind“. Als „Klassiker“ wurde außerdem das Problem fest eingerichteter Administrator-Rollen bezeichnet, die ursprünglich beispielsweise zum Test einer Erweiterung benötigt wurden. Anschließend seien diese oft vergessen und nie wieder entfernt worden. Das Problem dabei: Für potenzielle Angreifer stellt dies ein attraktives Einfallstor dar.

Hacker versus Mittelständler

Für Secufit ist in diesem Zusammenhang folgendes wichtig: Hacker hätten nicht nur große Unternehmen und Konzerne im Visier, sondern in den meisten Fällen mittelständische Unternehmen. IT-Verantwortliche seien sich in diesem Unternehmenssegment ihrer gefährdeten Lage häufig nicht bewusst. In vielen Fällen werde nicht einmal bemerkt, gehackt worden zu sein, was den Schaden noch vergrößern kann, so die Experten von Secufit.

Schnittstellen-Problematik

Die Netzinfrastruktur ist nach den Erfahrungen des Sicherheits-Dienstleisters zwar insgesamt meistens besser gesichert als noch vor ein paar Jahren. Allerdings sei im selben Zeitraum die Anzahl der Schnittstellen innerhalb und außerhalb zum ERP-System um mehr als das Dreifache gestiegen.

Leichtfertiger Umgang mit Daten

„Es ist für uns immer wieder erschreckend, wie leichtfertig Unternehmen mit ihren Daten umgehen“, findet Frank Wacker, Geschäftsführer der Secufit GmbH. Christian Rinner, ebenfalls Secufit-Chef ergänzt: „Oft sind die Firmennetzwerke grundsätzlich zwar gut abgesichert. Vernachlässigt werden aber häufig ERP- beziehungsweise SAP-typische Risiken.“ Dabei laufen gerade hier oft alle wichtigen, unternehmenskritischen Informationen zusammen. Angreifer seien ganz gezielt auf der Suche nach solchen Hintertüren. Neben einer Sicherheitsstrategie, die diesen Namen verdient, sei häufig auch die Einbindung in ein Identity-Management-System für die Benutzerverwaltung nötig. □

Ergänzendes zum Thema
Hacker spielen

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Spamschutz 

Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein:
Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 29260590) | Archiv: Vogel Business Media

Themen-Newsletter IT-BUSINESS Themen-Update Security abonnieren.

Hat Ihnen dieser Artikel gefallen?
Wenn Sie wichtige Nachrichten in Zukunft nicht verpassen möchten, dann versorgen wir Sie über unseren Themenkanal-Newsletter gerne direkt mit den aktuellsten News und Fachbeiträgen aus diesem Themenumfeld. Jetzt abonnieren!

* Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung und AGB einverstanden.
Spamschutz:
Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein.
Live Demo

Wachstumsmotor IT-Security – sind Sie schon dabei?
In unserem IT-BUSINESS Live-Cast erfahren Sie, welche klaren Wettbewerbsvorteile Ihnen Sophos als Reseller bietet:

Jetzt tippen und gewinnen!
Abonnieren Sie unseren Newsletter

Zum Beispiel-Newsletter

Abonnieren Sie den täglichen Newsletter IT-BUSINESS Today!

Sie erhalten kostenlos und pünktlich jeden Morgen und Mittag die aktuellsten News, Hintergründe und Personalien aus dem IT-Markt.

>> Hier geht es weiter zur Registrierung