Anzeige
SECURITY7. Juni 2021

Globale SAP-Bedrohungs­analyse legt dringende Schutzmaßnahmen nahe

Frederik Weidemann, CTE bei Onapsis
Frederik Weidemann, Onapsis Onapsis

Die aktuelle SAP-Bedrohungsanalyse zeigt: Die Cyberangreifer werden immer gewiefter, die Cyberangriffe immer gefährlicher. Dies kann gerade für die Finanzdienstleister böse Folgen haben – sagt CTE Frederik Weidemann von Onapsis.

Wie gehen Bedrohungsakteure vor, wenn sie unerlaubten Zugriff auf ein SAP-System erlangen wollen, welche Methoden und Techniken setzen sie ein? Um Transparenz über das akute Gefährdungspotenzial zu erhalten, führten der Cybersicherheitsanbieter Onapsis und SAP gemeinsam eine globale Studie durch. Dazu bauten die Sicherheits-Forscher ein eigenes Sensornetzwerk auf, das weltweit verteilte „Honeypots“ (Honigtöpfe) zum ersten Mal im SAP-Umfeld nutzt. Konkret versahen die Sicherheits-Forscher verschiedene SAP-Anwendungen absichtlich mit Schwachstellen und machten sie im Internet öffentlich zugänglich.

Attacken von weitverbreiteten IT-Infrastrukturen aus

Nachdem die „Honeypots“ mehrere Monate lang in Echtzeit beobachtet worden waren, veröffentlichten Onapsis und SAP die Ergebnisse im „Threat Intelligence Report“. In diesem Zeitraum wurden über 300 erfolgreiche Attacken auf die SAP-Anwendungen registriert, die sich ungepatchte SAP-Sicherheitslücken und fehlerhafte Systemkonfigurationen zunutze machten. Bei mehr als einem Drittel der Angriffe kam es wenige Stunden danach zu einem Hands-on-Keyboard-Login. Besonders überrascht hat die Onapsis- und SAP-Sicherheits-Forscher, dass zahlreiche Attacken von weitverbreiteten IT-Infrastrukturen und koordinierten Gruppen in verschiedenen Ländern ausgingen.

Insgesamt sind die Analyseergebnisse alarmierend und sollten gerade den Finanzdienstleistern Anlass zu höchster Besorgnis geben. Denn Banken und Versicherungen zählen zu den Unternehmen, die am meisten zahlen müssen, wenn es um die Folgen von Datenverlusten geht. So kann der Abfluss von Kundendaten hohe Schadensersatzforderungen nach sich ziehen, etwa wenn Cyberkriminelle Zugriff auf Kreditkarten-Daten erhalten. Zudem gehört die Finanzwirtschaft zu den Branchen mit den strengsten Regulierungsanforderungen. Werden SAP-Systeme kompromittiert, kann es leicht zu Audit- und Compliance-Verstößen kommen, die mit empfindlichen Bußgeldern und rechtlichen Schritten verbunden sind.

Täter mit tiefem Technologie-Know-how

Viele Unternehmen gehen heute noch davon aus, dass Angriffe eine hohe Komplexität erfordern oder das notwendige Know-how bei den Angreifern nicht vorhanden ist. Das ist ein Trugschluss.”

Zwar waren im Beobachtungszeitraum immer wieder auch „Scriptkiddies“ aktiv, die auf amateurhafte Weise versuchten, in die präparierten SAP-Systeme einzudringen. Demgegenüber jedoch steht eine große Zahl eindeutig hochprofessioneller Cyberkrimineller, die über umfassendes SAP-Wissen und direkten Zugriff auf die SAP-Software verfügen.

Ein Beispiel lieferten Angreifer, die in der Lage waren, SAP-Sicherheits-Lücken auszunutzen, noch ehe ein öffentlicher Exploit zur Verfügung stand. Ohne einschlägiges Technologie-Know-how wäre es diesem Täterkreis kaum gelungen, die entsprechenden Exploits selbst zu entwickeln. In anderen Fällen drangen Cyberkriminelle zunächst über eine Schwachstelle in ein SAP-System ein und verschlossen diese daraufhin mit einem vorhandenen Sicherheitspatch. Dies bot den Tätern einen zweifachen Vorteil. Zum einen konnten sie verhindern, dass andere Hacker oder Cracker dieselbe SAP-Sicherheits-Lücke für ihre eigenen Zwecke ausnutzten. Zudem hatten sie mit dem Verschließen der Schwachstelle jeden Verdacht auf einen möglichen Eindringling beseitigt und konnten sich ungestört im kompromittierten SAP-System bewegen. Diese Vorgehensweisen selbst sind im IT-Sicherheitsumfeld nicht neu, wurden jedoch erstmalig im SAP-Umfeld nachgewiesen.

Automatisierte Angriffsversuche steigern Frequenz

Autor Frederik Weidemann, Onapsis
Experte für Sicherheits-Updates: Frederik Weidemann Frederik Weidemann ist Experte für Cybersicherheit und Chief Technical Evangelist bei Onapsis (Webseite), wo er Innovationen vorantreibt. In seiner 15-jährigen Berufslaufbahn hat er sich auf ERP-, SAP- und Cloud-Sicherheit fokussiert und zahlreiche Zero-Day-Schwachstellen in geschäftskritischen Anwendungen gefunden. Er ist Mitautor des ersten Buchs über sichere ABAP-Programmierung und war weltweit auf über 50 sicherheitsbezogenen Konferenzen wie RSA und Troopers mit Fachvorträgen vertreten.

Auch die hohe Frequenz der Angriffsversuche liefert Grund zur Sorge. Es steht zu vermuten, dass dahinter ein automatisiertes Verfahren steckt. So bauen viele Bedrohungsakteure Verzeichnisse mit SAP-Anwendungen auf, die online zugänglich sind, und scannen das Internet permanent nach neuen Systemen. So bleiben die Bestandslisten fortlaufend aktuell. Erscheint eine neue Exploit-Beschreibung, wenden sie diese automatisch auf den gesamten Index an. Dies sichert ihnen einen hohen Aktionsradius und macht es möglich, die ungeschützten SAP-Systeme auf einen Klick zu kompromittieren.

Viele Angreifer agierten erstaunlich schnell. So lagen zwischen der Veröffentlichung eines SAP-Sicherheits-Updates und der Ausnutzung der zugehörigen Schwachstelle in einigen Fällen gerade einmal 72 Stunden. Wurden vollständig neue ungeschützte SAP-Systeme in Cloud-Umgebungen bereitgestellt, vergingen im kürzesten Fall lediglich drei Stunden, bis diese von Angreifern entdeckt und kompromittiert wurden. Dabei wurden auffällig oft die Cloud-Plattformen großer IaaS-Anbieter auf verwundbare SAP-Systeme durchforstet.

Um ihren Einfluss zu erweitern, versuchten einige Cyberkriminelle, gleich mehrere SAP-Schwachstellen auf einmal auszunutzen. Sie peilten damit eine Rechteausweitung von den Anwendungen auf das Betriebssystem an. In anderen Fällen war es ihr Ziel, mehrere SAP-Anwendungen in einem Zug zu kompromittieren.

Lange Liste von SAP-Angriffsaktivitäten

Datendiebstahl, Wirtschaftsspionage oder Sabotage: Die Liste der Angriffsaktivitäten ist lang und kann bei Unternehmen schwere wirtschaftliche und Image-Schäden verursachen. Hinzu kommen Audit- und Compliance-Risiken. Dabei kann die Gefahr nicht nur von Angreifern von außen, sondern auch von den eigenen Mitarbeitern ausgehen.

Um sich vor externen wie internen Bedrohungsakteuren zu schützen, raten die Sicherheits-Forscher von Onapsis und SAP den Unternehmen zu grundlegenden SAP-Sicherheitsmaßnahmen.

Gerade für Banken und Versicherer, die hochsensible Kundendaten speichern und verwalten, legen die alarmierenden Ergebnisse des „Threat Intelligence Reports“ eine rasche Umsetzung nahe.”

1. Systematisches SAP-Patchmanagement etablieren!

Viele Unternehmen lassen SAP-Sicherheits-Lücken ungepatcht und öffnen unliebsamen Eindringlingen damit Tür und Tor. Besser ist es, unmittelbar nach der monatlichen Veröffentlichung der SAP-Sicherheits-Updates die Kritikalität der Patches zu bewerten und kompensierende Maßnahmen in die Wege zu leiten, falls manche nicht zeitnah eingespielt werden können. Ein systematisches SAP-Patchmanagement legt die dafür erforderlichen Rollen und Prozesse fest.

2. Automatische Gefährdungsanalysen durchführen!

SAP-Sicherheits-Lücken sind im Bereich von Systemkonfigurationen, ABAP-Kundencode und Transporten zu finden. Auch unzulässige Kombinationen kritischer Berechtigungen bergen hohe Sicherheitsrisiken. Unternehmen sind gut beraten, automatische Gefährdungsanalysen durchzuführen. Spezielle Tools helfen, vorhandene Schwachstellen aufzuspüren, zu beheben und zu vermeiden. Ratsam sind Werkzeuge, die auch offizielle Sicherheitsrichtlinien und Empfehlungen berücksichtigen, zum Beispiel von SAP, der Deutschsprachigen SAP-Anwendergruppe (DSAG) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI).  

3. SAP-Sicherheit in Echtzeit monitoren!

Trotz aller Sicherheitsvorkehrungen kann es jederzeit zu Angriffsversuchen kommen.

Unternehmen sollten auf Sicherheitskontrollen in Echtzeit setzen, um mögliche Attacken auf SAP-Systeme schnell zu erkennen, zu bewerten und bei Bedarf Gegenmaßnahmen einzuleiten.”

Doch reichen die herkömmlichen SIEM-Systeme (Security Information and Event Management) dafür nicht aus, da sie die SAP-Logdateien nicht „verstehen“. Empfohlen werden zusätzliche Tools zur speziellen SAP-Sicherheitsüberwachung.Frederik Weidemann, Onapsis

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert