:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Schwachstellen in SAP-Systemen Ransomware bedroht auch SAP-Systeme
Traditionelle Cybersicherheit reicht nicht aus, um Ransomware-Attacken auf SAP-Systeme erfolgreich abzuwehren. Denn bestehende SAP-Schwachstellen lassen sich leicht als Angriffsvektoren nutzen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Wenn die eigene Benutzerauthentifizierung auf einmal nicht funktioniert, dürfte jedem SAP-Anwender das Blut in den Adern gefrieren: Ist die Ursache unter Umständen eine Ransomware-Attacke? Ein Trojaner also, der alle Datenbanktabellen verschlüsselt und nur gegen hohes Lösegeld wieder freigibt? In jüngerer Vergangenheit zielen Cyberkriminelle bevorzugt auf den Kern der geschäftskritischen Schlüsselanwendungen eines Unternehmens. Den (SAP-)Produktionssystemen globaler Unternehmen können sie darüber empfindlichsten Schaden zufügen. Als jüngste Beispiele erst gingen 2021 die Lösegeldzahlung des Fleischverarbeiters JBS oder der Angriff der Hackergruppe REvil auf (u.a.) COOP durch die Presse.
Gang über die SAP Application Layer
Ransomware im Kontext von SAP umschwebt ein besonders unheilvoller Mythos. Entzaubern lässt er sich, wenn man das Angriffsszenario genauer betrachtet. Die meisten Ransomware-Varianten greifen auf (Windows-)Betriebssystemebene an, der SAP-Technologie-Stack ist aber nur dann betroffen, wenn die Hacker die Unix/AIX-Serverplattformen erreichen, auf denen SAP-Systeme bevorzugt laufen. Serverseitig drohte SAP bislang also kaum Gefahr. Aber auch ohne dies können Angreifer die SAP Application Layer nutzen, um bösartige Dateien auf den vermeintlich sicheren SAP Application Server Host hochzuladen und ihre Ransomware so im Netzwerk zu verbreiten. Der von SAP an Clients gesendete Netzwerkverkehr wird in der Regel nicht blockiert oder überprüft.
Ist nicht klar, wo diese Dateien herkommen (die vermeintlich sogar ausführbar sind), könnte SAP also als Repository für jeglichen Ransomware-Angriff dienen. Gescannte Rechnungen etwa werden aufgrund ihrer Größe nicht in die SAP-Datenbank geschrieben, sondern in einen externen SAP Content Server. Werden solche Dokumente keinem umfangreichen Virenscan unterzogen, ist das Trojanische Pferd eingeschleust – und entlädt seine Ladung womöglich erst viel später beim Öffnen der Datei. Dann verbreitet sich das Virus, entweder vom Client aus oder direkt auf dem SAP-Applikationsserver (nicht im NetWeaver Stack, der von Ransomware nicht angegriffen wird). Um der Implementierung eines Trojaners einen Riegel vorzuschieben, bedarf es daher eines Virenscanners sowohl am Client (dort wo der Upload stattfand) wie auch direkt am Content Server. Erst wenn dieser negativ ausfällt, sollte die Datei überhaupt im Content Server gespeichert werden.
Geschäftsmodelle der Hacker ändern sich
Dass es sich bei solchen Angriffsszenarien nicht um Phantasmen handelt, zeigen regelmäßig von SAP veröffentlichte Sicherheitsmitteilungen zu von Kunden/Partnern gemeldeten Schwachstellen – im August 2021 etwa Hinweis 3071984 zur „Unrestricted File Upload Vulnerability in SAP Business One“ und wie diese zu beheben sei. 2017 gründete sich in Berlin das Start-up Go Root. Geschäftsziel war die Entwicklung von Hacker-Software, die ausschließlich an Demokratien verkauft werden sollte. Geforscht wurde auch an einer strategischen Cyberwaffe zum Angriff auf SAP-Systeme, die damit hätten infiltriert, verschlüsselt und sogar gelöscht werden können.
Fertig entwickelt wurde diese Software nicht und selbst wenn, sei sie definitiv nicht vermarktet worden, wie die Firma betonte. Wo der bis zur Firmenschließung entwickelte Schadcode verblieben ist, bleibt unklar. Dennoch demonstriert der Fall das enorme Entwicklungspotential von Ransomware. Die Geschäftsmodelle ändern sich dabei ständig. Ging es gestern noch um Angriffe auf rein Windows-basierte Clients und Server, die Verschlüsselung von Office-Dateien und anschließenden Verkauf des Zugriffsschlüssels, so drohen Kriminelle inzwischen zusätzlich mit Datenzugriff und der Versteigerung von Geschäftsgeheimnissen. Ransomware von morgen greift dann außerdem auf Datenbanken zu und weitet ihre Attacken auf Clients und Server diverser Betriebssysteme aus. Begonnen hatte die Evolution von Ransomware damit, dass sie sich auf sog. Quick Wins konzentriert, d. h. einfach erreichbare Dateien auf Client-Seite. Mittlerweile werden Server-Plattformen und sogar -Dateien verschlüsselt – zunächst nur Windows-Server, zumindest momentan sind Angriffe auf Unix-Server noch äußerst rar.
Netzwerke müssen segmentiert werden
Leider investieren Unternehmen nach wie vor zu wenig in die Trennung von kritischer Infrastruktur und Client-Architektur. Um sich effektiv zu schützen, müssen Unternehmensnetzwerke unter Erwägung von Sicherheitsaspekten segmentiert werden. Das bedeutet, mindestens die SAP-Systeme in einem eigenen Netzwerksegment betreiben. Ein besonderer Stellenwert bekommt diese Erwägung in hybriden SAP-Cloud-Umgebungen. Tritt ein Ransomware- Angriff in einem solchen Netzwerksegment auf, verbleibt er auch dort, ohne sich im gesamten Netz zu verbreiten.
Was braucht man also, um SAP-Anwendungen vor einem unvermeidlichen Ransomware-Angriff zu schützen? Traditionelle Sicherheitsmaßnahmen konzentrieren sich in der Regel auf Endpunkte, Netzwerke und Backups. All dies sind wichtige Sicherheitskomponenten, die aber nicht ausreichen, um erfolgreiche Angriffe zu verhindern.
SAP ist eine anspruchsvolle Umgebung, die ständige Patches erfordert und oft benutzerdefinierten Code enthält, für den es keine bekannten Patches gibt. Angreifer sind sich dessen nur allzu bewusst. Schwachstellen wie RECON (REmote COde on Netweaver systems) und PayDay ermöglichen es ihnen, über die Anwendungsschicht selbst die volle Kontrolle über die Anwendungen zu erlangen und – sind sie einmal eingedrungen – bis auf die Betriebssystemebene vorzurücken. Die Lösung für diese Herausforderung besteht zum einen in einem grundlegenden Schwachstellenmanagement sowie zeitnahen und effizienten Patching.
Robuste, präzise Echtzeit-Bedrohungsüberwachung
Vor allem müssen Unternehmen eine robuste, präzise Echtzeit-Bedrohungsüberwachung durchführen, die durch fortschrittliche Technologien wie die Anomalieerkennung unterstützt wird. So werden Anomalien – unabhängig davon, wie stark die Bedrohungsakteure ihre Angriffsvektoren ändern – erkannt und in Echtzeit gemeldet. Auch die Analysten von Gartner empfehlen dieses Vorgehen: „Unternehmen sollten einen risikobasierten Schwachstellenmanagementprozess implementieren, der Bedrohungsdaten einschließt. Ransomware stützt sich oft auf ungepatchte Systeme, die eine Ausbreitung auf andere Systeme ermöglichen. Dies sollte ein kontinuierlicher Prozess sein. Das mit Schwachstellen verbundene Risiko ändert sich, wenn diese Schwachstellen von Angreifern ausgenutzt werden.“
So wehrt man Ransomware-Angriffe auf SAP-Systeme ab:
- 1. Etablieren einer Echtzeit-Überwachung von Bedrohungen, so dass Angriffe erkannt und abgewehrt werden können, bevor sie Schaden anrichten.
- 2. Verwertbare Informationen generieren: Ergebnisse, die „false-positive“ Ergebnisse liefern, sind frustrierend und kosten wertvolle Zeit.
- 3. Effektive Absicherung geschäftskritischer Anwendungen und klare Regeln, wie und wo Patches eingesetzt werden sollen. SAP liefert regelmäßige Sicherheitsupdates über Support-Pakete und veröffentlicht Sicherheitshinweise mit den neuesten Sicherheitskorrekturen und Empfehlungen. Patching-Empfehlungen und Anleitung von Experten wie SecurityBridge, wie und wo gepatcht werden muss, sollten beachtet werden.
- 4. Ein einheitlicher Plattform-Ansatz, bei dem benutzerdefinierter Code und Anwendungen gleichzeitig gescannt werden.
- 5. Integration mit einem Security Information Event Management (SIEM), so dass das Sicherheitsteam außerhalb von SAP sofortigen Zugriff auf Hunderte von Anwendungsfällen hat.
- 6. Schaffung einer Unternehmensverpflichtung zu Compliance und Governance bei der Sicherung unternehmenskritischer Anwendungen und Codes.
Fazit
Ransomware unterscheidet sich von den meisten Angriffen dadurch, dass sie äußerst lukrativ ist und es für ruchlose Akteure immer einfacher wird, ungestraft erfolgreich zu sein. Infolge von Remote-Work im Zuge der Covid-Beschränkungen sowie durch wachsende Komplexität von benutzerdefiniertem Code, Cloud-Betriebsmodellen und durch die Belastung der InfoSec-Ressourcen haben die Möglichkeiten für Angriffe erheblich zugenommen. Ransomware-Angriffe sind dadurch wahrscheinlicher geworden, müssen aber nicht zwangsläufig zum Erfolg führen – wenn sich Unternehmen in Echtzeit über das tatsächliche Ausmaß der Bedrohung informieren und so rechtzeitig Abhilfemaßnahmen ergriffen werden können.
Über den Autor: Christoph Nagy ist Geschäftsführer von SecurityBridge, Spezialist für SAP-Sicherheit mit Hauptsitz in Ingolstadt.
(ID:48043319)
:quality(80)/images.vogel.de/vogelonline/bdb/1947900/1947910/original.jpg "Admins müssen ungepatchte MS-Sicherheitsrisiken kennen, damit sie auf andere Weise entschärft werden können, bevor Cyberkriminelle sie ausnutzen. (oz - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1932300/1932310/original.jpg "Cyberkriminelle erweitern ihren Aktionsradius drastisch und fügen ihrem Angriffswerkzeugkasten Malware hinzu, die auf Linux-basierte Betriebssysteme abzielt. (Alexander Limbach - adobe.stock.com)")