:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Neue Studie zur SAP-Sicherheit von SAP und Onapsis SAP-Angreifer immer trickreicher
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/97000/97042/65.jpg "logo_onapsis.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Geschäftskritische SAP-Systeme geraten zunehmend ins Visier von Cyberkriminellen mit tiefem SAP-Know-how. Dies haben der Cybersicherheitsanbieter Onapsis und SAP bei einer globalen Bedrohungsanalyse festgestellt. Sie warnen die Unternehmen vor ausgeklügelten SAP-Angriffsmethoden – und raten dringend zu proaktiven Sicherheitsmaßnahmen.
Die Angreifer gezielt anzulocken und dann zu beobachten, welche Techniken und Verfahren sie nutzen, um Zugriff auf ein SAP-System zu erhalten: Dies war das Ziel des gemeinsamen „Threat Intelligence Reports“ von Onapsis und SAP. Dazu bauten die Sicherheitsforscher ein eigenes Sensornetzwerk auf, das weltweit verteilte „Honeypots“ (Honigtöpfe) zum ersten Mal im SAP-Umfeld nutzt. Konkret wurden mehrere SAP-Systeme absichtlich mit Schwachstellen versehen und im Internet zugänglich gemacht. Dann wurden diese „Honeypots“ mehrere Monate lang rund um die Uhr beobachtet. Dabei kristallisierten sich alarmierende Erkenntnisse zur aktuellen SAP-Bedrohungslage heraus.
Ausgewiesene SAP-Kenner am Werk
Insgesamt wurden mehr als 300 erfolgreiche Angriffe registriert, die sich ungepatchte SAP-Sicherheitslücken und fehlerhafte Systemeinstellungen zunutze machten. In über 30 Prozent der Fälle kam es nach wenigen Stunden zu einem Hands-on-Keyboard-Login. Dabei gingen zahlreiche Attacken von weitverbreiteten IT-Infrastrukturen und koordinierten Gruppen in verschiedenen Ländern aus. Viele Unternehmen meinen heute noch immer, dass Angriffe eine hohe Komplexität erfordern oder das notwendige Know-how bei den Angreifern nicht vorhanden ist. Das ist ein Trugschluss.
Vielfach ließ das Vorgehen der Täter eindeutig auf umfassendes SAP-Wissen schließen. So gelang es einigen Angreifern, vorhandene SAP-Schwachstellen auszunutzen, ohne dass bereits ein zugehöriger Public Exploit verfügbar war. Sie besitzen also ausreichendes Technologie-Know-how, um die erforderlichen Exploits selbst entwickeln zu können. Profunde Fachkenntnisse und Raffinesse bewiesen auch die Täter, die zuerst über eine Schwachstelle in ein SAP-System eindrangen und diese dann mit dem zugehörigen Patch verschlossen. Damit konnten sie verhindern, dass sich andere Cyberkriminelle Zugang zur Anwendung verschaffen. Zugleich wurde jeder Hinweis auf die zuvor bestehende Sicherheitslücke entfernt: Die Angreifer konnten sich vollkommen ungestört im kompromittierten SAP-System bewegen. Diese Vorgehensweisen selbst sind im IT-Sicherheitsumfeld nicht neu, doch wurden sie erstmalig im SAP-Umfeld nachgewiesen.
Kontinuierlich suchen, blitzschnell zuschlagen
Auch die Häufigkeit der Angriffsversuche überraschte die Sicherheitsforscher von Onapsis und SAP. Diese lässt sich unter anderem damit erklären, dass viele Cyberkriminelle ganze Verzeichnisse mit SAP-Systemen aufbauen, die im Internet zugänglich sind. Um die Listen aktuell zu halten, scannen sie das Internet permanent nach neuen SAP-Anwendungen. Dieses Vorgehen garantiert einen großen Angriffsradius. Wird nämlich eine neue Exploit-Beschreibung veröffentlicht, wenden sie diese automatisiert auf den gesamten Index an. So schaffen sie es, die entsprechenden SAP-Systeme mit den zugehörigen Schwachstellen per einfachem Knopfdruck zu kompromittieren.
Manche Angreifer legten ein erschreckendes Tempo vor. So gab es Fälle, in denen das Zeitfenster zwischen der Veröffentlichung eines SAP-Sicherheitspatches und der Ausnutzung der zugehörigen Schwachstelle gerade einmal 72 Stunden betrug. Wurden komplett neue ungeschützte SAP-Systeme in der Cloud bereitgestellt, gelang es den Angreifern im kürzesten Fall innerhalb von nur drei Stunden, diese zu entdecken und zu kompromittieren. Auffällig war, dass gerade die Cloud-Plattformen großer IaaS-Anbieter ständig nach verwundbaren SAP-Systemen durchsucht wurden.
Gefährliche Angriffe – schwerwiegende Folgen
Je versierter die Angreifer, desto gefährlicher die Angriffe. Anders als die „Scriptkiddies“, die sich amateurhaft in fremde Systeme einhacken, gingen viele Bedrohungsakteure äußerst professionell vor, um ihren Einfluss zu vergrößern. So wurden zahlreiche Angriffsversuche registriert, bei denen mehrere SAP-Schwachstellen kombiniert ausgenutzt wurden. Ziel war es, eine Rechteausweitung von der Anwendungsebene auf das Betriebssystem zu erreichen. In anderen Fällen wurde auf diesem Weg versucht, mehrere SAP-Systeme in einem Zug zu kompromittieren.
Gelingt ein Angriff, können die Täter zahlreiche schädliche Aktivitäten ausführen. Prinzipiell gehen die Risiken jedoch nicht nur von externen Angreifern aus – auch die eigenen Mitarbeiter kommen als Datendiebe, Wirtschaftsspione und Saboteure in Betracht. In jedem Fall gilt: Werden vertrauliche Informationen gestohlen, unerlaubte Finanztransaktionen ausgelöst oder ganze Geschäftsprozesse gestoppt, können den Unternehmen hohe wirtschaftliche und Reputations-Verluste entstehen. Hinzu kommen Audit- und Compliance-Risiken, die möglicherweise hohe Bußgelder und rechtliche Schritte nach sich ziehen.
Dringend Schutzmaßnahmen empfohlen
Angesichts der wachsenden SAP-Bedrohungslage raten die Onapsis- und SAP-Sicherheitsexperten den Unternehmen dringend zu folgenden Schutzmaßnahmen:
- 1. Systematisches SAP-Patchmanagement
Unmittelbar nach der monatlichen Veröffentlichung der Sicherheitsupdates durch SAP sollte jedes Unternehmen eine Patch-Priorisierung vornehmen und kritische Patches sofort einspielen. Dafür ist es erforderlich, die Zuständigkeiten und Verantwortlichkeiten zu klären und geeignete Prozesse zu etablieren.
- 2. Automatische Gefährdungsanalysen
Um SAP-Sicherheitslücken im Bereich von Systemkonfigurationen, Eigenentwicklungen und Transporten aufzuspüren, zu beheben und zu vermeiden, empfiehlt sich der Einsatz spezieller Analyse- und Bewertungstools. Diese sollten auch offizielle Sicherheitsrichtlinien und Empfehlungen berücksichtigen, wie von SAP, der Deutschsprachigen SAP-Anwendergruppe (DSAG) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
- 3. Zeitnahe SAP-Sicherheitskontrollen
Kommt es trotz aller proaktiven Schutzmaßnahmen zu einem Angriffsversuch, muss dieser rasch erkannt und bewertet werden. Vielfach sind geeignete Gegenmaßnahmen zu ergreifen. Doch reichen die üblichen SIEM-Systeme (Security Information and Event Management) zur Überwachung von SAP-Anwendungen nicht aus, da sie die SAP-Logdateien nicht auswerten können. Sie sollten daher um spezielle Werkzeuge für gezielte SAP-Sicherheitskontrollen ergänzt werden.
Über den Autor: Frederik Weidemann ist Experte für Cybersicherheit und Chief Technical Evangelist bei Onapsis, wo er Innovationen vorantreibt. In seiner 15-jährigen Berufslaufbahn hat er sich auf ERP-, SAP- und Cloud-Sicherheit fokussiert und zahlreiche Zero-Day-Schwachstellen in geschäftskritischen Anwendungen gefunden. Er ist Mitautor des ersten Buchs über sichere ABAP-Programmierung und war weltweit auf über 50 sicherheitsbezogenen Konferenzen wie RSA und Troopers mit Fachvorträgen vertreten.
(ID:47496274)
:quality(80)/p7i.vogel.de/wcms/7e/7c/7e7c17bf9018719a0efbc6d436d490b2/0113384417.jpeg "Angreifer kombinieren immer wieder verschiedene Schwachstellen miteinander, um so Systeme zu kompromittieren und Unternehmensdaten zu stehlen. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/30/3030b66cc91bdc748d53ddfa98603890/0114242796.jpeg "Der sichere Betrieb von SAP-Systemen erfordert die individuelle Absicherung des Systems und auch den sicheren Betrieb der gesamten SAP-Landschaft. (Bild: yingyaipumi - stock.adobe.com)")