:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Neue Studie zur SAP-Sicherheit von SAP und Onapsis SAP-Angreifer immer trickreicher
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Geschäftskritische SAP-Systeme geraten zunehmend ins Visier von Cyberkriminellen mit tiefem SAP-Know-how. Dies haben der Cybersicherheitsanbieter Onapsis und SAP bei einer globalen Bedrohungsanalyse festgestellt. Sie warnen die Unternehmen vor ausgeklügelten SAP-Angriffsmethoden – und raten dringend zu proaktiven Sicherheitsmaßnahmen.
Die Angreifer gezielt anzulocken und dann zu beobachten, welche Techniken und Verfahren sie nutzen, um Zugriff auf ein SAP-System zu erhalten: Dies war das Ziel des gemeinsamen „Threat Intelligence Reports“ von Onapsis und SAP. Dazu bauten die Sicherheitsforscher ein eigenes Sensornetzwerk auf, das weltweit verteilte „Honeypots“ (Honigtöpfe) zum ersten Mal im SAP-Umfeld nutzt. Konkret wurden mehrere SAP-Systeme absichtlich mit Schwachstellen versehen und im Internet zugänglich gemacht. Dann wurden diese „Honeypots“ mehrere Monate lang rund um die Uhr beobachtet. Dabei kristallisierten sich alarmierende Erkenntnisse zur aktuellen SAP-Bedrohungslage heraus.
Ausgewiesene SAP-Kenner am Werk
Insgesamt wurden mehr als 300 erfolgreiche Angriffe registriert, die sich ungepatchte SAP-Sicherheitslücken und fehlerhafte Systemeinstellungen zunutze machten. In über 30 Prozent der Fälle kam es nach wenigen Stunden zu einem Hands-on-Keyboard-Login. Dabei gingen zahlreiche Attacken von weitverbreiteten IT-Infrastrukturen und koordinierten Gruppen in verschiedenen Ländern aus. Viele Unternehmen meinen heute noch immer, dass Angriffe eine hohe Komplexität erfordern oder das notwendige Know-how bei den Angreifern nicht vorhanden ist. Das ist ein Trugschluss.
Vielfach ließ das Vorgehen der Täter eindeutig auf umfassendes SAP-Wissen schließen. So gelang es einigen Angreifern, vorhandene SAP-Schwachstellen auszunutzen, ohne dass bereits ein zugehöriger Public Exploit verfügbar war. Sie besitzen also ausreichendes Technologie-Know-how, um die erforderlichen Exploits selbst entwickeln zu können. Profunde Fachkenntnisse und Raffinesse bewiesen auch die Täter, die zuerst über eine Schwachstelle in ein SAP-System eindrangen und diese dann mit dem zugehörigen Patch verschlossen. Damit konnten sie verhindern, dass sich andere Cyberkriminelle Zugang zur Anwendung verschaffen. Zugleich wurde jeder Hinweis auf die zuvor bestehende Sicherheitslücke entfernt: Die Angreifer konnten sich vollkommen ungestört im kompromittierten SAP-System bewegen. Diese Vorgehensweisen selbst sind im IT-Sicherheitsumfeld nicht neu, doch wurden sie erstmalig im SAP-Umfeld nachgewiesen.
Kontinuierlich suchen, blitzschnell zuschlagen
Auch die Häufigkeit der Angriffsversuche überraschte die Sicherheitsforscher von Onapsis und SAP. Diese lässt sich unter anderem damit erklären, dass viele Cyberkriminelle ganze Verzeichnisse mit SAP-Systemen aufbauen, die im Internet zugänglich sind. Um die Listen aktuell zu halten, scannen sie das Internet permanent nach neuen SAP-Anwendungen. Dieses Vorgehen garantiert einen großen Angriffsradius. Wird nämlich eine neue Exploit-Beschreibung veröffentlicht, wenden sie diese automatisiert auf den gesamten Index an. So schaffen sie es, die entsprechenden SAP-Systeme mit den zugehörigen Schwachstellen per einfachem Knopfdruck zu kompromittieren.
Manche Angreifer legten ein erschreckendes Tempo vor. So gab es Fälle, in denen das Zeitfenster zwischen der Veröffentlichung eines SAP-Sicherheitspatches und der Ausnutzung der zugehörigen Schwachstelle gerade einmal 72 Stunden betrug. Wurden komplett neue ungeschützte SAP-Systeme in der Cloud bereitgestellt, gelang es den Angreifern im kürzesten Fall innerhalb von nur drei Stunden, diese zu entdecken und zu kompromittieren. Auffällig war, dass gerade die Cloud-Plattformen großer IaaS-Anbieter ständig nach verwundbaren SAP-Systemen durchsucht wurden.
Gefährliche Angriffe – schwerwiegende Folgen
Je versierter die Angreifer, desto gefährlicher die Angriffe. Anders als die „Scriptkiddies“, die sich amateurhaft in fremde Systeme einhacken, gingen viele Bedrohungsakteure äußerst professionell vor, um ihren Einfluss zu vergrößern. So wurden zahlreiche Angriffsversuche registriert, bei denen mehrere SAP-Schwachstellen kombiniert ausgenutzt wurden. Ziel war es, eine Rechteausweitung von der Anwendungsebene auf das Betriebssystem zu erreichen. In anderen Fällen wurde auf diesem Weg versucht, mehrere SAP-Systeme in einem Zug zu kompromittieren.
Gelingt ein Angriff, können die Täter zahlreiche schädliche Aktivitäten ausführen. Prinzipiell gehen die Risiken jedoch nicht nur von externen Angreifern aus – auch die eigenen Mitarbeiter kommen als Datendiebe, Wirtschaftsspione und Saboteure in Betracht. In jedem Fall gilt: Werden vertrauliche Informationen gestohlen, unerlaubte Finanztransaktionen ausgelöst oder ganze Geschäftsprozesse gestoppt, können den Unternehmen hohe wirtschaftliche und Reputations-Verluste entstehen. Hinzu kommen Audit- und Compliance-Risiken, die möglicherweise hohe Bußgelder und rechtliche Schritte nach sich ziehen.
Dringend Schutzmaßnahmen empfohlen
Angesichts der wachsenden SAP-Bedrohungslage raten die Onapsis- und SAP-Sicherheitsexperten den Unternehmen dringend zu folgenden Schutzmaßnahmen:
- 1. Systematisches SAP-Patchmanagement
Unmittelbar nach der monatlichen Veröffentlichung der Sicherheitsupdates durch SAP sollte jedes Unternehmen eine Patch-Priorisierung vornehmen und kritische Patches sofort einspielen. Dafür ist es erforderlich, die Zuständigkeiten und Verantwortlichkeiten zu klären und geeignete Prozesse zu etablieren.
- 2. Automatische Gefährdungsanalysen
Um SAP-Sicherheitslücken im Bereich von Systemkonfigurationen, Eigenentwicklungen und Transporten aufzuspüren, zu beheben und zu vermeiden, empfiehlt sich der Einsatz spezieller Analyse- und Bewertungstools. Diese sollten auch offizielle Sicherheitsrichtlinien und Empfehlungen berücksichtigen, wie von SAP, der Deutschsprachigen SAP-Anwendergruppe (DSAG) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
- 3. Zeitnahe SAP-Sicherheitskontrollen
Kommt es trotz aller proaktiven Schutzmaßnahmen zu einem Angriffsversuch, muss dieser rasch erkannt und bewertet werden. Vielfach sind geeignete Gegenmaßnahmen zu ergreifen. Doch reichen die üblichen SIEM-Systeme (Security Information and Event Management) zur Überwachung von SAP-Anwendungen nicht aus, da sie die SAP-Logdateien nicht auswerten können. Sie sollten daher um spezielle Werkzeuge für gezielte SAP-Sicherheitskontrollen ergänzt werden.
Über den Autor: Frederik Weidemann ist Experte für Cybersicherheit und Chief Technical Evangelist bei Onapsis, wo er Innovationen vorantreibt. In seiner 15-jährigen Berufslaufbahn hat er sich auf ERP-, SAP- und Cloud-Sicherheit fokussiert und zahlreiche Zero-Day-Schwachstellen in geschäftskritischen Anwendungen gefunden. Er ist Mitautor des ersten Buchs über sichere ABAP-Programmierung und war weltweit auf über 50 sicherheitsbezogenen Konferenzen wie RSA und Troopers mit Fachvorträgen vertreten.
(ID:47496274)
:quality(80)/images.vogel.de/vogelonline/bdb/1937600/1937629/original.jpg "Wenn Cyberkriminelle ungepatchte Schwachstellen finden, können sie mit Ransomware den SAP-Systemen vieler Unternehmen empfindlichen Schaden zufügen. (yingyaipumi - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1935600/1935688/original.jpg "Der Zero-Trust-Ansatz kann auch in ICS-Umgebungen helfen die Sicherheit drastisch zu verbessern. (wladimir1804 - stock.adobe.com)")