valerybrozhinsky - stock.adobe.c
Onapsis-Studie zu SAP: Die Sicherheitslage ist ernst
Eine globale Bedrohungsanalyse von Onapsis gemeinsam mit SAP ergab: viele SAP-Angriffe stammen von Profis, die sich unerlaubt Zugriff auf geschäftskritische Systeme verschaffen.
Bei vielen SAP-Angriffen sind Profis am Werk. Sie nutzen ihr Know-how, um sich exklusiven Zugriff auf geschäftskritische SAP-Systeme zu verschaffen und diese zu kompromittieren. Zu diesem Ergebnis kommt eine globale Bedrohungsanalyse des Cybersicherheitsanbieters Onapsis gemeinsam mit SAP.
Für den Threat Intelligence Report bauten die Sicherheitsforscher ein eigenes Sensornetzwerk auf, das weltweit verteilte Honeypots zum ersten Mal im SAP-Umfeld nutzte. Dazu wurden eine Reihe SAP-Systeme absichtlich mit Schwachstellen versehen und im Internet öffentlich zugänglich gemacht. Gezielt sollten damit Angreifer angelockt werden, um Informationen über ihre Aktivitäten und Techniken zu gewinnen. Mehrere Monate lang wurden die präparierten SAP-Systeme beobachtet.
Über 300 erfolgreiche Angriffe registriert
Dabei wurden über 300 erfolgreiche Angriffe registriert, die automatisiert über bekannte SAP-Sicherheitslücken und fehlerhafte Systemkonfigurationen ausgeführt wurden. In einem Drittel der Fälle kam es wenige Stunden danach zu einem Hands-on-Keyboard-Login. Viele Unternehmensverantwortlich gehen heute immer noch davon aus, dass Angriffe eine hohe Komplexität erfordern oder das notwendige Know-how bei den Angreifern nicht vorhanden ist.
Das ist ein Trugschluss. Viele Attacken in der Analyse gingen von Bedrohungsakteuren aus, die eindeutig über umfassende SAP-Kenntnisse sowie direkten Zugriff auf SAP-Software verfügen und blitzschnell zuschlagen.
So kann das Zeitfenster zwischen der Veröffentlichung eines SAP-Sicherheits-Patch und der Ausnutzung der zugehörigen Schwachstelle klein sein und lediglich 72 Stunden betragen. Werden komplett neue ungeschützte SAP-Systeme per Infrastructure as a Service (IaaS) bereitgestellt, brauchen Angreifer im kürzesten Fall lediglich drei Stunden, um diese zu entdecken und zu kompromittieren. Dabei werden gerade die Cloud-Umgebungen großer IaaS-Anbieter permanent auf verwundbare SAP-Systeme gescannt.
Eigene Exploits entwickelt
Manche Angreifer hatten erstaunliche SAP-Kenntnisse. Zum Beispiel zeigten sie sich in der Lage, SAP-Schwachstellen auszunutzen, noch ehe die zugehörigen Exploits öffentlich verfügbar waren. Dies legt den Schluss nahe, dass die Cyberkriminellen technisch versiert genug sind, um eigene Exploits zu entwickeln.
In anderen Fällen wurde beobachtet, dass Angreifer für bestimmte Schwachstellen selbst einen Patch einspielen, nachdem sie diese ausgenutzt haben. Haben sie sich erst einmal Zugang zu einer SAP-Anwendung verschafft und ein Benutzerkonto angelegt, verschließen sie das Schlupfloch anschließend mit einem Sicherheits-Patch.
Dies gewährleistet ihnen exklusiven Zugriff auf das kompromittierte SAP-System und verhindert, dass andere Hacker oder Cracker eindringen können. Zugleich können sie ungestört im SAP-System agieren, ohne dass jemand sofort Verdacht schöpft. Denn das kompromittierte System lässt nach außen keine Sicherheitslücken mehr erkennen. Diese Vorgehensweisen selbst sind im IT-Sicherheitsumfeld nicht neu, wurden jedoch erstmalig im SAP-Umfeld nachgewiesen.
Die beobachteten Aktivitäten zeigen: Es sind nicht nur Scriptkiddies, die es auf die SAP-Systeme abgesehen haben, sondern Angreifer mit profundem Technologie- und Prozess-Know-how. Dies macht die Attacken so gefährlich.
So wurden neben der Brute-Force-Methode zahlreiche Angriffsversuche registriert, bei denen mehrere SAP-Schwachstellen kombiniert ausgenutzt wurden. Ziel war es, eine Rechteausweitung von den Anwendungen auf das Betriebssystem zu erreichen oder mehrere SAP-Systeme gleichzeitig anzugreifen, um noch stärkeren Einfluss nehmen zu können.
Kontinuierlich im Internet unterwegs
Als besonders auffällig erwies sich die hohe Frequenz der Angriffsversuche. Dies liegt unter anderem daran, dass viele Bedrohungsakteure detaillierte Verzeichnisse über im Internet zugängliche SAP-Systeme aufbauen. Zusätzlich scannen sie aktiv und kontinuierlich das gesamte Internet nach neuen SAP-Anwendungen.
Wird eine neue Exploit-Beschreibung veröffentlicht, wenden sie diese per Knopfdruck auf den kompletten Index an. Bemerkenswert ist ebenfalls, dass viele Angriffe von weitverbreiteten IT-Infrastrukturen und koordinierten Gruppen erfolgten. So wurden Attacken registriert, die von Quellsystemen in unterschiedlichen Ländern ausgingen und teilweise händisch erfolgten.
„Neben gravierenden wirtschaftlichen und Reputationsschäden können für die betroffenen Unternehmen Audit- und Compliance-Risiken entstehen, die hohe Bußgelder und rechtliche Schritte nach sich ziehen.“
Frederik Weidemann, Onapsis
Die beobachteten Angriffe führten in vielen Fällen dazu, dass Cyberkriminelle die vollständige Kontrolle über die SAP-Systeme übernahmen. Dabei wurden nicht nur Attacken von außen registriert, sondern auch durch eigene Mitarbeiter.
Prinzipiell können Täter den Systemzugriff nutzen, um zahlreiche Transaktionen auszuführen: etwa sensible Geschäftsdaten stehlen, Finanzberichte fälschen, Bankdaten verändern, kritische Geschäftsprozesse unterbrechen oder Ransomware aufspielen.
Neben gravierenden wirtschaftlichen und Reputationsschäden können für die betroffenen Unternehmen Audit- und Compliance-Risiken entstehen, die hohe Bußgelder und rechtliche Schritte nach sich ziehen.
Sofortige Sicherheitsmaßnahmen empfohlen
Um der wachsenden Gefahr durch ausgeklügelte Cyberattacken vorzubeugen, raten die Onapsis- und SAP-Experten den Unternehmen, unmittelbar Sicherheitsmaßnahmen zu ergreifen:
- Umsetzung der relevanten SAP-Sicherheits-Patches: Nicht behobene SAP-Schwachstellen öffnen Hackern Tür und Tor. Daher sollte jedes Unternehmen unmittelbar nach der monatlichen Veröffentlichung der SAP-Sicherheits-Updates eine Patch-Priorisierung vornehmen – und kompensierende Maßnahmen ergreifen, falls manche Patches nicht zeitnah eingespielt werden können. Ein systematisches Patch-Management hilft, die erforderlichen Rollen und Prozesse zu etablieren.
- Durchführung automatischer Gefährdungsanalysen: SAP-Sicherheitslücken gibt es im Bereich von Systemkonfigurationen, Eigenentwicklungen und Transporten. Weitere Gefahrenherde sind unzulässige Kombinationen kritischer Berechtigungen. Um die Lücken aufzuspüren, zu beheben und zu vermeiden, empfiehlt sich der Einsatz spezieller Werkzeuge zur automatischen Analyse und Bewertung der Risiken. Idealerweise berücksichtigen diese Tools auch offizielle Sicherheitsrichtlinien und Empfehlungen, etwa von SAP, der Deutschsprachigen SAP-Anwendergruppe (DSAG) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
- SAP-Sicherheits-Controlling in Echtzeit: Trotz aller Sicherheitsvorkehrungen können Angriffsversuche nicht gänzlich ausgeschlossen werden. Dann muss ein Unternehmen diese schnell erkennen, bewerten und – falls nötig – Gegenmaßnahmen einleiten. Doch greifen die üblichen SIEM-Systeme (Security Information and Event Management) im SAP-Umfeld zu kurz, da sie die SAP-Logdateien nicht verstehen. Daher empfiehlt es sich, zusätzlich spezielle Tools für die SAP-Sicherheitsüberwachung einzusetzen.
Cyberkriminelle sind hochmotiviert
Der Threat Intelligence Report macht deutlich: Die Lage ist ernst und eiliges Handeln geboten. Immer mehr Cyberkriminelle verfügen über profundes SAP-Wissen – und sind hochmotiviert, dieses zum Schaden von Unternehmen auszunutzen.
Über den Autor:
Frederik Weidemann ist Experte für Cybersicherheit und Chief Technical Evangelist bei Onapsis, wo er Innovationen vorantreibt. In seiner 15-jährigen Berufslaufbahn hat er sich auf ERP-, SAP- und Cloud-Sicherheit fokussiert und zahlreiche Zero-Day-Schwachstellen in geschäftskritischen Anwendungen gefunden. Er ist Mitautor des ersten Buchs über sichere ABAP-Programmierung und war weltweit auf über 50 sicherheitsbezogenen Konferenzen wie RSA und Troopers mit Fachvorträgen vertreten.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.