1. Home
  2. Corporate News
  3. Technologien & Branchen
  4. Sicherheitslücke in SAP: „Wir wussten, wir müssen zügig und strukturiert reagieren“

Anfang Februar 2022 berichtete heise online über eine schwere Sicherheitslücke in den Kernkomponenten von SAP. Systemadministrator:innen wurden aufgefordert, die von ihnen betreuten Systeme schnellstmöglich zu prüfen und die als kritisch eingestufte Lücke mithilfe der von SAP bereitgestellten Patches zu schließen. Angreifer waren durch die Schwachstelle in der Lage, geschäftskritische Prozesse zu unterbrechen, Trojaner einzuspielen oder Finanzbetrug zu betreiben.

Auch bei uns läuteten deshalb intern die Alarmglocken. Als Technologiepartner von SAP waren auch Kunden von uns von der SAP-Sicherheitslücke betroffen. Anlässlich dieses Ereignisses haben wir mit Henry Wudi, Head of Managed Cloud Services bei affinis, über unseren Umgang mit Sicherheitslücken in IT-Systemen gesprochen.

SAP hat Anfang des Jahres eine kritische Sicherheitslücke in ihren Kernkomponenten entdeckt. Henry, wie haben wir bei affinis von der Schwachstelle im SAP Internet Communication Manager (ICM) erfahren?

Henry Wudi: Als Technologiepartner von SAP werden wir in regelmäßigen Abständen oder bei besonders schweren Fällen direkt von SAP über solche Fälle informiert. In der Regel geschieht das noch bevor die Nachricht über eine Sicherheitslücke an die breite Öffentlichkeit gelangt. So war es auch bei der Schwachstelle im SAP ICM. SAP hat uns über die Existenz benachrichtigt, sodass wir sofort handeln konnten.

affinis Ansprechpartner Henry Wudi
Henry Wudi ist Head of Managed Cloud Services bei affinis.

Wie sind wir nach der Nachricht vorgegangen?

Henry Wudi: Sobald unser SAP Basis Team die Information von SAP erhalten hatte, gab es direkt eine gemeinsame Besprechung mit den Kolleg:innen, um die gegenwärtige Lage zu bewerten: Sind unsere Kunden betroffen? Wenn ja, welche Systeme müssen wir patchen, weil wir dort die Betriebsverantwortung haben? Im ersten Schritt haben wir Informationen ausgetauscht und uns einen Überblick verschafft, wo überall Handlungsbedarf besteht. Wir wussten, wir müssen jetzt zügig und strukturiert reagieren, um die Systeme unserer Kunden schnell zu sichern.

Wir haben uns gemeinsam mit allen beteiligten Kolleg:innen über eine Chatgruppe auf dem Laufenden gehalten und so kurze Kommunikationswege sichergestellt. Es ist wichtig, dass in einer solchen Situation alle auf dem gleichen Informationsstand sind und sich zügig austauschen können. Dann haben wir begonnen, unsere Kunden zu kontaktieren. Eine Herausforderung beim Einspielen der Patches ist die kurze Downtime in den Kundensystemen. Das heißt, auch der Kunde muss sich intern erst abstimmen, wann die Systeme heruntergefahren werden können. Nach und nach kamen dann aber immer mehr Meldungen der Kolleg:innen, dass die Systeme unserer Kunden erfolgreich abgesichert sind.

Wann waren die SAP-Systeme unserer Kunden vollständig gepatcht?

Henry Wudi: In einen Großteil der Systeme unserer Kunden hatten wir die notwendigen Patches schon eingespielt, noch bevor Nachrichtenportale wie heise online über die Sicherheitslücke berichtet haben. Das ist vor allem dem unermüdlichen Einsatz unserer Teams zu verdanken, die an dieser Stelle ein großes Lob verdient haben. Die Kommunikation mit dem Kunden, Aufwandsschätzungen, Systemanalysen und Downtimes hatten wir bei den meisten Kunden längst durchgeführt, als die breite Öffentlichkeit begonnen hat, über die Schwachstelle zu diskutieren.

Wie oft kommen solche kritischen Schwachstellen vor?

Henry Wudi: In letzter Zeit ist es immer häufiger der Fall, dass wir über kritische Sicherheitslücken benachrichtigt werden. Es gibt ein Scoring von null bis zehn, das den Schweregrad der Schwachstelle beschreibt. Wir bemerken, dass die Scores sich zuletzt oft im oberen Bereich bewegen, nicht nur bei SAP, sondern auch bei anderen Technologien.

Warum war die Schwachstelle, die Anfang Februar von SAP entdeckt wurde, so gefährlich?

Henry Wudi: Die Sicherheitslücke wurde mit 10 von 10 als besonders kritisch bewertet. In dem Fall kann eine Lücke von außen ausgenutzt werden, ohne dass ein Zutun des betroffenen Unternehmens notwendig ist. Das macht es viel gefährlicher, als wenn Angreifer zum Ausnutzen einer Sicherheitslücke zuerst anderweitig einen Fuß in die Tür bekommen müssen.

Was ist uns bei affinis im Umgang mit Sicherheitslücken in den IT-Systemen unserer Kunden besonders wichtig?

Henry Wudi: Uns ist es besonders wichtig, unsere Kunden frühzeitig zu informieren, den Arbeitsaufwand auf Kundenseite aber gleichzeitig so gering wie möglich zu halten. Das heißt, wir nehmen direkt am Anfang eine Einordnung für den Kunden vor. Dadurch muss er sich nicht mehr selbst umfangreich über die Sicherheitslücke informieren, sondern hat eine einfache Entscheidungsgrundlage.

Wenn wir unsere Kunden informieren, dann haben wir eine klare Handlungsempfehlung, auf die sie sich stützen können. Dass wir als Managed Services Dienstleister viele Kunden gleichzeitig betreuen, ist ein Vorteil. Unsere Berater:innen und Administrator:innen teilen Rechercheergebnisse und Erfahrungen laufend miteinander, sodass neue Erkenntnisse beim nächsten Kunden direkt Anwendung finden können.

Wir haben sehr gute Erfahrungen mit diesem Vorgehen gemacht, weil wir dadurch schnell tätig werden können und die Systeme unserer Kunden innerhalb kürzester Zeit wieder auf einem hohen Sicherheitsniveau sind.

Henry, vielen Dank für das Interview.

Mehr darüber, worauf es bei IT-Sicherheit im Unternehmen ankommt, erfahren Sie in unserem anderen Interviewteil „IT-Sicherheit: Wie können Unternehmen ihre Systeme schützen?“.

cybersicherheit Informationssicherheit