Aktuelle Cyberbedrohungen, die auf geschäftskritische SAP-Anwendungen abzielen

Von:

6. April 2021

Onapsis und SAP veröffentlichen heute eine neue threat intelligence sowie einen detaillierten Bericht, um SAP-Kunden dabei zu unterstützen, sich vor aktiven Cyberbedrohungen zu schützen, die gezielt darauf abzielen, Unternehmen mit ungeschützten SAP-Anwendungen über verschiedene Angriffsvektoren ausfindig zu machen und anzugreifen.

Beide Unternehmen haben eng mit der CISA des US-Heimatschutzministeriums (DHS) und dem deutschen BSI zusammengearbeitet und raten Unternehmen, unverzüglich Maßnahmen zu ergreifen, um bestimmte SAP-Patches und sichere Konfigurationen zu installieren sowie Kompromittierungsanalysen in kritischen Umgebungen durchzuführen. (CISA: Böswillige Cyberaktivitäten, die auf kritische SAP-Anwendungen abzielen)

Die festgestellten kritischen Schwachstellen, die aktiv ausgenutzt werden, wurden von SAP umgehend behoben und stehen den Kunden bereits seit Monaten, in einigen Fällen sogar seit Jahren zur Verfügung. Leider stellen sowohl SAP als auch Onapsis weiterhin fest, dass viele Unternehmen die erforderlichen Abhilfemaßnahmen noch immer nicht umgesetzt haben, sodass ungeschützte SAP-Systeme weiterhin in Betrieb sind und in vielen Fällen für Angreifer über das Internet sichtbar bleiben. Unternehmen, die der raschen Behebung dieser bekannten Risiken keine Priorität eingeräumt haben, sollten davon ausgehen, dass ihre Systeme kompromittiert sind, und unverzüglich geeignete Maßnahmen ergreifen.

Die gesammelten Erkenntnisse zeigen, dass Angreifer über die Motivation, die Mittel und das Fachwissen verfügen, um ungeschützte, geschäftskritische SAP-Anwendungen zu identifizieren und auszunutzen, und dass sie dies aktiv tun. Zu den wichtigsten Erkenntnissen zählen:

  • Cyberangreifer sind aktiv, kompetent und weit verbreitet – Es liegen Belege für mehr als 300 automatisierte Exploits vor, bei denen sieben SAP-spezifische Angriffsvektoren ausgenutzt wurden, sowie für mehr als 100 manuelle Angriffe durch eine Vielzahl von Cyberangreifern. Dies ist ein klarer Beweis für das ausgefeilte Wissen der Cyberangreifer über geschäftskritische Anwendungen – sie nehmen ungesicherte SAP-Anwendungen gezielt ins Visier und nutzen diese mithilfe vielfältiger Techniken, Tools und Vorgehensweisen aus, einschließlich der Installation von SAP-Patches nach dem Einbruch.
  • Das Zeitfenster für Sicherheitsverantwortliche ist klein kritische SAP-Sicherheitslücken werden bereits weniger als 72 Stunden nach Veröffentlichung eines Patches ausgenutzt, und neue, ungeschützte SAP-Anwendungen, die in cloud IaaS) bereitgestellt werden, werden in weniger als drei Stunden entdeckt und kompromittiert.
  • Bedrohungen haben sowohl Auswirkungen auf die Sicherheit als auch auf die Compliance Eine Ausnutzung würde zur vollständigen control ungesicherte SAP-Anwendungen führen, wobei gängige Sicherheits- und Compliance-Kontrollen umgangen würden. Dies würde es Angreifern ermöglichen, sensible Informationen zu stehlen, Finanzbetrug zu begehen oder geschäftskritische Prozesse durch den Einsatz von Ransomware oder die Unterbrechung des Betriebs zu stören. Bedrohungen können zudem erhebliche Auswirkungen auf die Einhaltung gesetzlicher Vorschriften haben, darunter SOX, DSGVO, CCPA und andere. 

Abgesehen von den Auswirkungen auf einzelne SAP-Kunden könnten koordinierte und erfolgreiche Angriffe auf ungeschützte SAP-Anwendungen weitreichende Folgen haben: Da mehr als 400.000 Unternehmen SAP nutzen, darunter 92 % der Global Fortune 2000, laufen 77 % des weltweiten Transaktionsumsatzes über ein SAP-System. Zu diesen Unternehmen gehören die überwiegende Mehrheit der Pharmaunternehmen, Unternehmen aus den Bereichen kritische Infrastruktur und Versorgungswirtschaft, Lebensmittelhändler, Verteidigungsunternehmen, Fertigungsunternehmen und viele weitere kritische Branchen. 

Wir empfehlen Ihnen dringend, den vollständigen Bedrohungsbericht herunterzuladen und zu lesen, um assess Sie gefährdet sind und welche Maßnahmen Sie unverzüglich ergreifen sollten, um Ihr Unternehmen zu schützen. Dieser Bericht beschreibt zudem detailliert die spezifischen Techniken, Werkzeuge und Vorgehensweisen (TTPs), die von unseren Experten beobachtet wurden, und versetzt Verteidiger in die Lage, so schnell wie möglich auf diese Aktivitäten zu reagieren.   

Um SAP-Kunden zu unterstützen, die Untersuchungen, die Beseitigung von Sicherheitsbedrohungen und eine zusätzliche Sicherheitsüberwachung nach einem Sicherheitsvorfall benötigen, bietet Onapsis eine kostenlose Schnellbewertung sowie – in Zusammenarbeit mit SAP – ein dreimonatiges kostenloses Abonnement für die Platform Cybersicherheit und Compliance an.

Sollten Sie weitere Informationen oder Unterstützung benötigen, um auf diese Situation zu reagieren, wenden Sie sich bitte an Onapsis unter [email protected].

Über den Autor
Mariano Núñez

Mariano Núñez

Geschäftsführer und Mitbegründer

Als CEO und Mitbegründer von Onapsis bestimmt Mariano die strategische Ausrichtung des Unternehmens. Unter seiner Führung hat sich Onapsis zu einem der am schnellsten wachsenden Technologie- und Cybersicherheitsunternehmen weltweit entwickelt. Mit über 20 Jahren Erfahrung in der Cybersicherheitsbranche, sowohl als Führungskraft als auch als Cybersicherheitsexperte, war Mariano der Erste, der auf großen Konferenzen wie RSA, Black Hat und SANS öffentlich über Cybersicherheitsrisiken für ERP-Plattformen und deren Minderung referierte. Zu Marianos Beiträgen zur Cybersicherheits-Community zählen die Entwicklung der ersten Open-Source-Frameworks für SAP- und ERP-Penetrationstests sowie die Aufdeckung kritischer Zero-Day-Schwachstellen in Anwendungen von SAP, Oracle, IBM und Microsoft. Marianos Erkenntnisse werden regelmäßig in großen Medien wie CNN, Reuters, dem Wall Street Journal, Nasdaq, Fortune und der New York Times veröffentlicht.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen