Cyberkriminelle haben es auf ERP-, CRM- und andere zentrale Unternehmenssysteme abgesehen. Sind Sie darauf vorbereitet?

Von:

4. Juni 2021

Dieser Blogbeitrag entstand im Rahmen unserer Partnerschaft mit SAP®.

Haben Sie schon einmal eine E-Mail von einem Unternehmen erhalten, mit dem Sie geschäftlich zu tun haben, in der es um einen Datenverstoß ging, der Ihre personenbezogenen Daten betraf? Oder haben Sie eine Schlagzeile über einen schwerwiegenden Datenverstoß bei einem großen Unternehmen gelesen und sich gefragt, was das für Sie als Kunde bedeuten könnte? Da Cyberbedrohungen weiter zunehmen, geben immer mehr Unternehmen Cybersicherheitsvorfälle bekannt, bei denen die Perimeter-Sicherheitsmaßnahmen versagt haben, kritische Daten entwendet wurden und die Einhaltung gesetzlicher Vorschriften beeinträchtigt wurde.

Was in diesen Meldungen jedoch fast nie genannt wird, sind die konkreten Anwendungen, auf die sich die Angreifer Zugriff verschafft haben. Oft handelt es sich dabei um geschäftskritische Anwendungen in Bereichen wie ERP, CRM, SCM, SRM, PLM oder Personalmanagement. Manchmal handelt es sich um Business-Intelligence-Lösungen, die wesentliche Geschäftsfunktionen und -prozesse der weltweit größten kommerziellen und staatlichen Organisationen unterstützen, darunter Lieferkette, Fertigung, Finanzen, Vertrieb und Dienstleistungen, Personalwesen und andere. Diese Anwendungen sind die Kronjuwelen ihres Betriebs und gelten ausnahmslos als besonders wertvolle Vermögenswerte (High-Value Assets, HVAs), die geschützt werden müssen.

Laut threat intelligence von SAP und Onapsisthreat intelligence gibt es eine kritische Sicherheitslücke, die sich darauf auswirkt, wie viele Unternehmen ihre geschäftskritischen SAP-Anwendungen schützen. Gleichzeitig ist klar, dass Angreifer aktiv, kompetent und weit verbreitet sind. Dies belegen mehr als 300 automatisierte Exploits, die sieben SAP-spezifische Angriffsvektoren nutzen, sowie mehr als 100 manuelle Angriffe durch eine Vielzahl von Angreifern. Dies ist ein eindeutiger Beweis dafür, dass die heutigen Angreifer über fundierte Kenntnisse im SAP-Bereich verfügen, einschließlich des Wissens über die Implementierung von SAP-Patches nach einer Kompromittierung.

Erfolgreiche Angriffe auf SAP-Systeme könnten weitreichende Folgen für einzelne Unternehmen, ganze Branchen und Gesellschaften weltweit haben. Wussten Sie schon, dass:

  • SAP-Anwendungen sind weltweit weit verbreitet und werden von Unternehmen in systemrelevanten Branchen wie dem Lebensmittelvertrieb, der Medizinprodukteherstellung, der Pharmaindustrie, der kritischen Infrastruktur, dem öffentlichen Sektor und der Verteidigung sowie in weiteren Bereichen für geschäftskritische Abläufe eingesetzt
  • SAP-Kunden vertreiben 78 % der weltweiten Lebensmittel, stellen 82 % der weltweiten Medizinprodukte her und zählen 18 der 20 weltweit größten Impfstoffhersteller zu ihren Kunden, die SAP-Software einsetzen, um alle Prozesse zu verwalten – von der Herstellung über die kontrollierte Distribution bis hin zur Verabreichung und Nachbeobachtung nach der Impfung
  • 77 % der weltweiten Transaktionsumsätze laufen über ein SAP-System
  • 64 % der Großkunden von SAP gelten gemäß der Definition des US-Heimatschutzministeriums als Teil der kritischen Infrastruktur

Denken Sie einmal an Ihr eigenes Unternehmen: Stellen Sie sich zum Beispiel vor, ein Angreifer hätte sich unter Umgehung aller Zugriffs- und Autorisierungskontrollen mit maximalen Administratorrechten Zugang zu einem anfälligen SAP-System verschafft. In diesem Szenario könnte der Angreifer control vollständige control das betroffene SAP-System erlangen, einschließlich der zugrunde liegenden Geschäftsdaten und -prozesse. Mit Administratorzugriff wäre der Angreifer in der Lage, jeden Datensatz, jede Datei und jeden Bericht im System zu lesen, zu ändern oder zu löschen sowie personenbezogene Daten (PII) zu stehlen, Finanzdaten zu lesen, zu ändern oder zu löschen oder Bankdaten zu ändern.

Wenn Ihre geschäftskritischen SAP-Anwendungen spezifischen Branchen- und behördlichen Vorschriften unterliegen oder zur Erfüllung finanzieller und anderer Compliance-Anforderungen (wie z. B. der Sarbanes-Oxley-Vorschriften) genutzt werden, kann die Umgehung der durchgesetzten Kontrollen durch böswillige Akteure zu schwerwiegenden Verstößen gegen Vorschriften und Compliance-Anforderungen führen. Wenn Sie beispielsweise bekannte Schwachstellen und Fehlkonfigurationen in SAP-Systemen haben, die einen nicht authentifizierten Zugriff und/oder die Erstellung von Benutzerkonten mit hohen Berechtigungen ermöglichen, hätten Sie eine Lücke in den IT-Kontrollen, die zu einem Audit-Versagen führen und gegen Compliance-Vorgaben verstoßen würde. In solchen Fällen müssten Sie den Verstoß wahrscheinlich offenlegen, teure Audits durch Dritte und Strafen bezahlen sowie mit Geldbußen und rechtlichen Schritten rechnen.

Das Wichtigste in Kürze

Angesichts dieser Informationen ergeben sich für jeden SAP-Kunden zwei wichtige Erkenntnisse: Erstens ist das Zeitfenster für die Verteidiger Ihres Unternehmens sehr klein. Kritische SAP-Sicherheitslücken werden bereits weniger als 72 Stunden nach der Veröffentlichung eines Patches ausgenutzt, und neue, ungeschützte SAP-Anwendungen, die in cloud IaaS) bereitgestellt werden, werden in weniger als drei Stunden entdeckt und kompromittiert. Und zweitens kann Onapsis helfen. Nur Onapsis bietet Transparenz und bewährten Schutz für die geschäftskritische Anwendungsebene – egal ob vor Ort, in Hybrid- oder cloud–, sodass Sie Risiken identifizieren und verstehen, Abhilfemaßnahmen priorisieren, sofort auf neue Bedrohungen reagieren, Compliance-Anforderungen erfüllen und die gesamte Angriffsfläche reduzieren können.

Weitere Informationen

Wir empfehlen Ihnen dringend, den vollständigen Bedrohungsbericht herunterzuladen und zu lesen, um mehr zu erfahren. Um SAP-Kunden zu unterstützen, die weitere Untersuchungen durchführen, die Bedrohung beheben und zusätzliche Sicherheitsüberwachungsmaßnahmen nach einem Sicherheitsvorfall ergreifen möchten:

Für weitere Informationen wenden Sie sich bitte an Onapsis unter [email protected].

Stichworte, , ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen