Neue Studie zur SAP-Sicherheit von SAP und Onapsis SAP-Angreifer immer trickreicher

Autor / Redakteur: Frederik Weidemann* / Peter Schmitz

Geschäftskritische SAP-Systeme geraten zunehmend ins Visier von Cyberkriminellen mit tiefem SAP-Know-how. Dies haben der Cybersicherheitsanbieter Onapsis und SAP bei einer globalen Bedrohungsanalyse festgestellt. Sie warnen die Unternehmen vor ausgeklügelten SAP-Angriffsmethoden – und raten dringend zu vorausgreifenden Sicherheitsmaßnahmen.

Firmen zum Thema

Angesichts der wachsenden SAP-Bedrohungslage raten SAP-Sicherheitsexperten den Unternehmen dringend zu drei wichtigen Schutzmaßnahmen.
Angesichts der wachsenden SAP-Bedrohungslage raten SAP-Sicherheitsexperten den Unternehmen dringend zu drei wichtigen Schutzmaßnahmen.
(© yingyaipumi - stock.adobe.com)

Die Angreifer gezielt anzulocken und dann zu beobachten, welche Techniken und Verfahren sie nutzen, um Zugriff auf ein SAP-System zu erhalten: Dies war das Ziel des gemeinsamen „Threat Intelligence Reports“ von Onapsis und SAP. Dazu bauten die Sicherheitsforscher ein eigenes Sensornetzwerk auf, das weltweit verteilte „Honeypots“ (Honigtöpfe) zum ersten Mal im SAP-Umfeld nutzt. Konkret wurden mehrere SAP-Systeme absichtlich mit Schwachstellen versehen und im Internet zugänglich gemacht. Dann wurden diese „Honeypots“ mehrere Monate lang rund um die Uhr beobachtet. Dabei kristallisierten sich alarmierende Erkenntnisse zur aktuellen SAP-Bedrohungslage heraus.

Ausgewiesene SAP-Kenner am Werk

Insgesamt wurden mehr als 300 erfolgreiche Angriffe registriert, die sich ungepatchte SAP-Sicherheitslücken und fehlerhafte Systemeinstellungen zunutze machten. In über 30 Prozent der Fälle kam es nach wenigen Stunden zu einem Hands-on-Keyboard-Login. Dabei gingen zahlreiche Attacken von weitverbreiteten IT-Infrastrukturen und koordinierten Gruppen in verschiedenen Ländern aus. Viele Unternehmen meinen heute noch immer, dass Angriffe eine hohe Komplexität erfordern oder das notwendige Know-how bei den Angreifern nicht vorhanden ist. Das ist ein Trugschluss.

Vielfach ließ das Vorgehen der Täter eindeutig auf umfassendes SAP-Wissen schließen. So gelang es einigen Angreifern, vorhandene SAP-Schwachstellen auszunutzen, ohne dass bereits ein zugehöriger Public Exploit verfügbar war. Sie besitzen also ausreichendes Technologie-Know-how, um die erforderlichen Exploits selbst entwickeln zu können. Profunde Fachkenntnisse und Raffinesse bewiesen auch die Täter, die zuerst über eine Schwachstelle in ein SAP-System eindrangen und diese dann mit dem zugehörigen Patch verschlossen. Damit konnten sie verhindern, dass sich andere Cyberkriminelle Zugang zur Anwendung verschaffen. Zugleich wurde jeder Hinweis auf die zuvor bestehende Sicherheitslücke entfernt: Die Angreifer konnten sich vollkommen ungestört im kompromittierten SAP-System bewegen. Diese Vorgehensweisen selbst sind im IT-Sicherheitsumfeld nicht neu, doch wurden sie erstmalig im SAP-Umfeld nachgewiesen.

Kontinuierlich suchen, blitzschnell zuschlagen

Auch die Häufigkeit der Angriffsversuche überraschte die Sicherheitsforscher von Onapsis und SAP. Diese lässt sich unter anderem damit erklären, dass viele Cyberkriminelle ganze Verzeichnisse mit SAP-Systemen aufbauen, die im Internet zugänglich sind. Um die Listen aktuell zu halten, scannen sie das Internet permanent nach neuen SAP-Anwendungen. Dieses Vorgehen garantiert einen großen Angriffsradius. Wird nämlich eine neue Exploit-Beschreibung veröffentlicht, wenden sie diese automatisiert auf den gesamten Index an. So schaffen sie es, die entsprechenden SAP-Systeme mit den zugehörigen Schwachstellen per einfachem Knopfdruck zu kompromittieren.

Manche Angreifer legten ein erschreckendes Tempo vor. So gab es Fälle, in denen das Zeitfenster zwischen der Veröffentlichung eines SAP-Sicherheitspatches und der Ausnutzung der zugehörigen Schwachstelle gerade einmal 72 Stunden betrug. Wurden komplett neue ungeschützte SAP-Systeme in der Cloud bereitgestellt, gelang es den Angreifern im kürzesten Fall innerhalb von nur drei Stunden, diese zu entdecken und zu kompromittieren. Auffällig war, dass gerade die Cloud-Plattformen großer IaaS-Anbieter ständig nach verwundbaren SAP-Systemen durchsucht wurden.

Gefährliche Angriffe – schwerwiegende Folgen

Je versierter die Angreifer, desto gefährlicher die Angriffe. Anders als die „Scriptkiddies“, die sich amateurhaft in fremde Systeme einhacken, gingen viele Bedrohungsakteure äußerst professionell vor, um ihren Einfluss zu vergrößern. So wurden zahlreiche Angriffsversuche registriert, bei denen mehrere SAP-Schwachstellen kombiniert ausgenutzt wurden. Ziel war es, eine Rechteausweitung von der Anwendungsebene auf das Betriebssystem zu erreichen. In anderen Fällen wurde auf diesem Weg versucht, mehrere SAP-Systeme in einem Zug zu kompromittieren.

Gelingt ein Angriff, können die Täter zahlreiche schädliche Aktivitäten ausführen. Prinzipiell gehen die Risiken jedoch nicht nur von externen Angreifern aus – auch die eigenen Mitarbeiter kommen als Datendiebe, Wirtschaftsspione und Saboteure in Betracht. In jedem Fall gilt: Werden vertrauliche Informationen gestohlen, unerlaubte Finanztransaktionen ausgelöst oder ganze Geschäftsprozesse gestoppt, können den Unternehmen hohe wirtschaftliche und Reputations-Verluste entstehen. Hinzu kommen Audit- und Compliance-Risiken, die möglicherweise hohe Bußgelder und rechtliche Schritte nach sich ziehen.

Dringend Schutzmaßnahmen empfohlen

Angesichts der wachsenden SAP-Bedrohungslage raten die Onapsis- und SAP-Sicherheitsexperten den Unternehmen dringend zu folgenden Schutzmaßnahmen:

  • 1. Systematisches SAP-Patchmanagement
    Unmittelbar nach der monatlichen Veröffentlichung der Sicherheitsupdates durch SAP sollte jedes Unternehmen eine Patch-Priorisierung vornehmen und kritische Patches sofort einspielen. Dafür ist es erforderlich, die Zuständigkeiten und Verantwortlichkeiten zu klären und geeignete Prozesse zu etablieren.
  • 2. Automatische Gefährdungsanalysen
    Um SAP-Sicherheitslücken im Bereich von Systemkonfigurationen, Eigenentwicklungen und Transporten aufzuspüren, zu beheben und zu vermeiden, empfiehlt sich der Einsatz spezieller Analyse- und Bewertungstools. Diese sollten auch offizielle Sicherheitsrichtlinien und Empfehlungen berücksichtigen, wie von SAP, der Deutschsprachigen SAP-Anwendergruppe (DSAG) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
  • 3. Zeitnahe SAP-Sicherheitskontrollen
    Kommt es trotz aller proaktiven Schutzmaßnahmen zu einem Angriffsversuch, muss dieser rasch erkannt und bewertet werden. Vielfach sind geeignete Gegenmaßnahmen zu ergreifen. Doch reichen die üblichen SIEM-Systeme (Security Information and Event Management) zur Überwachung von SAP-Anwendungen nicht aus, da sie die SAP-Logdateien nicht auswerten können. Sie sollten daher um spezielle Werkzeuge für gezielte SAP-Sicherheitskontrollen ergänzt werden.

* Der Autor Frederik Weidemann ist Experte für Cybersicherheit und Chief Technical Evangelist bei Onapsis, wo er Innovationen vorantreibt. In seiner 15-jährigen Berufslaufbahn hat er sich auf ERP-, SAP- und Cloud-Sicherheit fokussiert und zahlreiche Zero-Day-Schwachstellen in geschäftskritischen Anwendungen gefunden. Er ist Mitautor des ersten Buchs über sichere ABAP-Programmierung und war weltweit auf über 50 sicherheitsbezogenen Konferenzen wie RSA und Troopers mit Fachvorträgen vertreten.

(ID:47527480)