SAP: 95 Prozent der Systeme haben Schwachstellen – drei typische Angriffsarten

Sicherheitsanbieter Onapsis lehnt sich weit aus dem Fenster – aber wenn Sie Recht haben, wäre das für SAP und viele Unternehmen eine Blamage, denn: “95 Prozent der untersuchten SAP-Systeme wiesen Schwachstellen auf, über die Hacker vollständigen Zugriff auf die Geschäftsdaten und -prozesse der betroffenen Unternehmen erlangen können.” Onapsis macht zudem drei typische Angriffsarten aus. SAP HANA würde die Situation noch weiter verschlimmern.

Onapsis Research Labs untersuchte nach eigenen Angeben hunderte von SAP-Installationen. Das erschreckende Ergebnis: 95 Prozent dieser SAP-Systeme wiesen Schwachstellen auf, über die Hacker vollständigen Zugriff auf Eigentum, Finanz-, Kreditkarten-, Kunden- und Lieferantendaten sowie in Datenbanken gespeicherte Informationen erlangen können.

Risiko: 391 SAP-Sicherheitspatches pro Jahr – 18 Monate bis ein Patch eingespielt wird

Darüber hinaus habe Onapsis herausgefunden, dass es bei den meisten Unternehmen 18 Monate oder länger dauert, bis Patches für gefundene Schwachstellen implementiert werden. Allein im Jahr 2014 hat SAP 391 Sicherheitspatches veröffentlicht – im Durchschnitt also mehr als 30 pro Monat! Nahezu 50 Prozent dieser Patches hat SAP mit einer hohen Priorität eingestuft.

Das The­ma SAP-Cyber-Sec­urity wird von vie­len Un­ternehmen nicht ernst­haft ge­nug ver­folgt, da nicht ge­klärt ist, wer da­für zu­stän­dig ist – das SAP-Be­triebs­team oder das IT-Si­cherheits­team. Dies hat uns wirk­lich überrascht”

Mariano Nunez, CEO und Gründer von Onapsis

Die meisten eingespielten Patches seien nicht sicherheitsrelevant, kommen verspätet oder öffnen sogar neue Schwachstellen für den Betrieb des SAP-Systems. Jeden Tag würden darüber hinaus sogar neue Datenlecks bekannt. Die CISOs würden in aller Regel davon nichts erfahren – weil ihnen die Visibility für ihre SAP-Anwendungen fehlt.

„CEOs nehmen irrtümlicherweise an, dass ihre wichtigsten Geschäftsprozesse und -daten vor Cyber-Attacken geschützt sind. Doch die heutige Definition von Anwendungssicherheit muss auf die Anwendungsebene von SAP-Unternehmensapplikationen erweitert werden. Dies muss auf Ebene der Geschäftsführung diskutiert werden. Ein Datenleck in einem SAP-System kann ein Unternehmen dutzende von Millionen Dollar kosten – pro Minute“, sagt Renee Guttman, Vice President, Office of the CISO, Accuvant und früherer CISO von Coca-Cola.

Die drei meistbenutzten Angriffsmethoden für Attacken auf SAP-Systeme seien:

1. Bedrohungen von Kunden- und Kreditkarteninformationen, die den Austausch zwischen SAP-Systemen ausnutzen: Die Angriffe setzen an einem System mit niedrigen Sicherheitseinstellungen an und hangeln sich zu einem geschäftswichtigen System vor, indem sie fernsteuerbare Funktionsmodule im Zielsystem ausführen.
2. Attacken auf Kunden- und Lieferantenportale: Dazu werden Backdoor-Anwender im SAP J2EE Benutzermanagement-Modul erzeugt. Durch das Ausnutzen einer Schwachstelle können die Hacker Zugriff auf SAP-Portale und Prozessintegrations-Plattformen sowie die damit verbundenen, internen Systeme erlangen.
3. Angriffe auf Datenbanken über proprietäre SAP-Protokolle: Für diese Attacke werden Betriebssystembefehle mit den Rechten bestimmter Benutzer ausgeführt und Schwachstellen im SAP RFC-Gateway ausgenutzt. Der Hacker erhält Zugriff auf jede in der SAP-Datenbank gespeicherte Information und kann diese verändern.

Die Echtzeit-Plattform SAP HANA verschlimmere die Situation sogar noch, sagt Onapsis. Die Zahl neuer Sicherheitspatches, die speziell diese neue Plattform betreffen, habe um 450 Prozent zugenommen. Hinzu käme, dass SAP HANA als Kernkomponente im Zentrum des SAP-Ökosystems platziert ist. Daten, die in den SAP-Plattformen gespeichert werden, müssen nun sowohl in der Cloud als auch im Unternehmen geschützt werden.

SAP-Cyber-Security im Dienst von SAP

Ganz uneigennützig ist der Hinweis auf die SAP-Verwundbarkeit natürlich nicht: „Onapsis Research Labs ist das führende Unternehmen für SAP-Cyber-Security, das SAP hilft, SAP HANA-betreffende Sicherheitsschwachstellen zu identifizieren und zu beheben.“, führt Nunez aus. So empfiehlt der Dienstleister unbedingt die neusten SAP Sicherheitshinweise zu befolgen und die System-Konfiguration zu überprüfen, um geltende Compliance-Anforderungen zu erfüllen und das Sicherheitsniveau zu erhöhen.

Diese Aktivitäten sollten einem Aktionsplan folgen, der SAP-Cyber-Security als Teil der Unternehmensstrategie und -Roadmap etabliert:
1. Visibility in SAP-basiert Komponenten realisieren, um gefährdete Werte zu identifizieren.
2. Vorsorge vor Sicherheits- und Compliance-Probleme durch kontinuierliche Überwachung treffen.
3. Neue Bedrohungen, Angriffe und anomales Benutzerverhalten als Gefährdungsindikatoren (Indicators of Compromise, IOC) erkennen und mit geeigneten Maßnahmen darauf reagieren.aj