SAP veel kwetsbaarder dan gedacht

Geleidelijk minder updates

De laatste jaren neemt het aantal beveiligingsupdates dat SAP verspreidt af. Maar dat betekent niet dat de risico's navenant afnemen. SAP is er namelijk toe overgegaan kleine issues vaker in de reguliere Service Packs op te lossen. Wat er aan beveiligingsupdates wordt verspreid, betreft dus in doorsnee ernstiger lekken dan wel lekken die door externe partijen zijn ontdekt. De laatste categorie groeit snel: in 2010 vonden externen 57 lekken; vorig jaar waren dat er 197 en dit jaar al 138.

Patchproces relatief kwetsbaar

De beveiliging van SAP-implementaties wordt gecompliceerd door het feit dat relatief veel van de kwetsbaarheden die SAP patcht, te maken hebben met de configuratie. Problemen op dat vlak komen in SAP-software 5 maal zo vaak voor als in andere software.

De complicatie schuilt erin dat het risico op problemen na het aanbrengen van een configuratiepatch groter is dan bij het patchen van bijvoorbeeld een probleem in het geheugenbeheer. Bedrijven passen de configuratie veelvuldig aan op de eigenaardigheden van de eigen bedrijfsprocessen. Dat vergroot de kans dat patches conflicteren met de instellingen. Dat vraagt om grondig testen vooraf, en soms ook om het aanbrengen van aanpassingen elders in de software.

De volledige rapportage is te vinden in ERPScan's Analysis of 3000 vulnerabilities in SAP.