Warum AI und Cybersicherheit kein Widerspruch sind
ERP-Systeme sind das Rückgrat moderner Unternehmen – und zugleich ein immer beliebteres Ziel für Cyberangriffe. Paul Laudanski, Director Security Research bei Onapsis, wagt eine Prognose zu den ERP-Sicherheitstrends 2025. Für ihn spielt die Artificial Intelligence keine wichtige Rolle.
Nicht zuletzt auf der Sicherheitskonferenz it-sa in Nürnberg im Herbst vergangenen Jahres ging ein Schreckensgespenst um: Die Artificial Intelligence (AI) wurde als allgegenwärtige und demnächst beinahe übermächtige Bedrohung an alle Wände projiziert. Insbesondere das Enterprise Ressource Planning sei im Fadenkreuz der Cybergangster, vernetze es doch die zentralen Kernprozesse wie Finanzen, Beschaffung oder Produktion mit der durchgängigen Datenbasis von Firmen.
Doch ein ausgewiesener Praktiker gibt nun Entwarnung: Paul Laudanski, Director Security Research beim ERP-Security-Spezialisten Onapsis, hält den gigantischen Hype um maschinelles Lernen (ML) und künstliche Intelligenz (KI) für übertrieben.
Es gebe zwar echte und durchaus berechtigte Bedenken gegenüber der neuen Technologie, z. B. in Bezug auf den Missbrauch durch Deepfakes, aber geschäftskritische Anwendungen sollten davon nicht betroffen sein. „Solange Unternehmen in der Lage sind, Patches schnell zu implementieren, besteht kein erhöhtes Cyberrisiko für die SAP-Sicherheit aufgrund von Fortschritten in der AI-Entwicklung“, so Laudanski.
AI ist kein signifikanter Faktor
Er erläutert weiter, dass AI im vergangenen Jahr de facto keine wesentliche Rolle bei den Aktivitäten von Angreifern gespielt habe – selbst bei hochspezialisierten Akteuren, die genau wissen, worauf sie aus sind, wie etwa Nationalstaaten. „Wäre AI ein signifikanter Faktor, würden wir bereits konkrete Ergebnisse sehen.“ Selbst für opportunistische Angreifer, wie z. B. sogenannte Skript-Kiddies, die über kein fundiertes Security-Wissen verfügen und nur mit Hilfe von vorgefertigten Skripts ihre Hacks durchführen können, gebe es nichts, was sie nutzen können, um Schaden in fremden IT-Umgebungen anzurichten.
„Ein Beispiel liefert der aktuelle CISA-Bericht über die am häufigsten ausgenutzten Schwachstellen. Im Jahr 2022 standen SAP und Oracle ganz oben auf der Liste. Seitdem ist jedoch die Zahl der Schwachstellen zurückgegangen. Obwohl die Bedrohungen weiter bestehen, spiegelt dieser Rückgang die Fortschritte bei der Bewältigung bekannter Risiken wider und keine erhöhte Aktivität aufgrund von AI“, so der Security Researcher.
Grundsätzlich stellten Installationen mit Schwachstellen ein Problem dar, solange sie nicht gepatcht werden. Das sei das eigentliche Problem der Sicherheit geschäftskritischer Anwendungen. Solange diese nicht priorisiert werde, könnten Angreifer weiterhin in diese Umgebungen eindringen – „allerdings nicht durch den Einsatz von AI“. Es sei jedoch unrealistisch anzunehmen, dass sich diese Situation im Jahr 2025 ändern werde. Denn obwohl die Bedrohungslandschaft immer größer werde, blieben die Schwachstellen, mit denen die Sicherheitsteams jedes Jahr zu kämpfen haben, erfahrungsgemäß „mehr oder weniger dieselben“.
Cloud-Migration führt zu Sicherheitsproblemen
Ein weiterer möglicher Angriffsvektor sei die digitale Transformation: Viele Unternehmen stünden unter dem Druck, ihre geschäftskritischen Daten in die Cloud zu migrieren. Eile und Hektik bei der Umstellung müssten aber zwangsläufig zu Fehlern führen, etwa zu Schwachstellen, die im zu übertragenden Code oder in den Daten verbleiben.
„Diese Versäumnisse können zu kostspieligen Verzögerungen oder Nachbesserungen führen. Unternehmen, die noch mit Altsystemen arbeiten, sollten ihre Anwendungen frühzeitig modernisieren, um wettbewerbsfähig zu bleiben und sich an die Anforderungen einer zunehmend digitalen Welt anzupassen. 2025 sollte der Fokus auf Migration liegen – und zwar auf einer adäquaten, funktionsübergreifenden Planung und Umsetzung.“
"Wenn sich 2025 nichts ändert, werden Unternehmen weiterhin mit diesen typischen, vermeidbaren Schwachstellen zu kämpfen haben – und damit die Daten ihrer Kunden einem großen Risiko aussetzen. Bei der Erarbeitung der Geschäftsziele für 2025 müssen Führungskräfte daher prüfen, welchen Stellenwert sie der Cybersicherheit auf ihrer Prioritätenliste einräumen und wie sie Bedrohungen am besten bekämpfen können“, so Laudanski.