Es ist an der Zeit, die Bedrohung durch Ransomware für geschäftskritische SAP-Anwendungen ernster zu nehmen

Fast täglich hören wir von einem neuen Fall von Ransomware. Während früher Unternehmen jeder Größe ins Visier genommen wurden, scheint es in letzter Zeit so, als drehten sich alle Nachrichten um schwerwiegende Angriffe auf geschäftskritische Systeme großer Unternehmen – von Energie- und Kraftstoffunternehmen bis hin zu Lebensmittelverarbeitern. Es ist nicht so, dass diese Unternehmen keine Maßnahmen zum Schutz dieser Ressourcen ergriffen hätten; es ist nur so, dass die „traditionelle“ Art der Vorbereitung auf und Reaktion auf Ransomware einfach nicht mehr funktioniert. Was ist also erforderlich, um die geschäftskritischen Anwendungen Ihres Unternehmens vor der drohenden Gefahr durch Ransomware zu schützen? Genau dieser Frage wollen SAP® und Onapsis in diesem gemeinsamen Blogbeitrag nachgehen.

Wenn die meisten Menschen an Ransomware denken, fallen ihnen sofort zwei „klassische“ Lösungen ein: Backups und Endgerätesicherheit. Beide sind zweifellos wesentliche Bestandteile eines soliden Sicherheitskonzepts. Ihr Vorhandensein könnte Unternehmen jedoch in falscher Sicherheit wiegen, da nach wie vor Lücken bestehen, insbesondere im Zusammenhang mit geschäftskritischen Systemen, die heute stärker vernetzt sind als je zuvor.

Die Herausforderung besteht darin, dass viele Unternehmen zu spät erkennen, dass man zur Vorbereitung auf einen Ransomware-Angriff alle Türen und Fenster seines Hauses verschließen muss – nicht nur die Haustür des Endgeräteschutzes. Wenn man über Angriffsvektoren für Ransomware nachdenkt, ist es unerlässlich, alle potenziellen Zugangspunkte zur geschäftskritischen Umgebung zu berücksichtigen und zu überlegen, wie man diese absichern kann … und, um diese Metapher fortzuführen, gehört dazu auch, die Nachbarn zu beurteilen und zu prüfen, wie sie ebenfalls in Ihr Haus gelangen könnten. Wenn man all diese Vektoren betrachtet, wird einem allmählich klar, dass diese Herausforderung weit über reine Endpunktsicherheit und Backups hinausgeht. Sie erfordert einen ganzheitlicheren Blick auf die Sicherung Ihrer geschäftskritischen Anwendungen, einschließlich der Dinge, die wir als „gute Sicherheitshygiene“ bezeichnen würden. In einem kürzlich threat intelligence gemeinsamen threat intelligence Onapsis und SAP haben wir gezeigt, dass Angreifer eindeutig über die Mittel, die Motivation und das Fachwissen verfügen, um ungeschützte geschäftskritische Anwendungen zu identifizieren und auszunutzen – und dies tatsächlich aktiv tun. 

So wurde beispielsweise ein großes börsennotiertes Unternehmen kürzlich Opfer eines Ransomware-Angriffs auf die Daten seiner ERP-Anwendung. Hatte das Unternehmen Backups? Ja – das Backup wurde einmal pro Woche aktualisiert. Dennoch kam der Betrieb zum Erliegen. In solchen Fällen kann die Wiederherstellung aus einem Backup selbst bei vorhandenen Backups Stunden oder sogar Tage dauern, und die negativen Auswirkungen auf das Geschäft sowie die finanziellen Verluste sind in jedem Fall erheblich. Verfügte das Unternehmen über Endpoint-Sicherheit? Ja. Die Angreifer umgingen jedoch die Endpoint Detection and Response (EDR)-Software, indem sie über die Anwendung auf die Daten zugreifen konnten. EDR eignet sich hervorragend, um Aktivitäten auf kompromittierten Systemen zu identifizieren und die Eindämmung sowie das Sammeln von Artefakten (z. B. Prozessbäume, von Malware erstellte Dateien) zu ermöglichen, doch die Anwendungsebene stellt nach wie vor eine Herausforderung dar. Und diese Angreifer nutzten eben diese Anwendungsebene, die vom Tool selbst nicht überwacht wurde, um die geschäftskritischen Ressourcen zu kompromittieren.

Sicherheitslücken wie 10KBLAZE, PayDay und RECON ermöglichen es Angreifern, über die Anwendungsschicht selbst control vollständige control Anwendungen zu erlangen. Diese Angreifer greifen direkt auf die Anwendung zu und dringen von dort aus auf die Ebene des Betriebssystems vor. Betrachtet man die Initiativen der CIOs zur digitalen Transformation oder die rasche Umstellung auf Remote-Arbeit aufgrund der COVID-19-Pandemie, so ergibt sich eine erhebliche Risikosteigerung. Onapsis hat beobachtet, dass neue, ungeschützte SAP-Anwendungen, die in IaaS-Umgebungen bereitgestellt wurden, von Angreifern entdeckt und in weniger als drei Stunden angegriffen wurden, wobei zum Zeitpunkt der Veröffentlichung dieses Blogbeitrags mehr als 400 erfolgreiche Exploits verzeichnet wurden.

Letztendlich ist also ein neues Modell zur defend Ransomware erforderlich – eines, das über den bloßen Schutz von Endgeräten, die Sicherung von Dateien und das Hoffen auf das Beste hinausgeht.  Gartner empfiehlt, dass Unternehmen „einen risikobasierten Prozess zum Schwachstellenmanagement implementieren sollten, der threat intelligence einbezieht. Ransomware nutzt häufig nicht gepatchte Systeme aus, um sich lateral auszubreiten. Dies sollte ein kontinuierlicher Prozess sein. Das mit Schwachstellen verbundene Risiko ändert sich, wenn diese Schwachstellen von Angreifern ausgenutzt werden.“ Dem können wir nur zustimmen.

Was benötigt wird, ist ein erneutes Bekenntnis zu einigen zentralen Sicherheitsgrundsätzen:
1. Sicherheitsoptimierung geschäftskritischer Anwendungen
2. Zeitnahe Patch-Verwaltung
3. Punktuelle Schwachstellenanalysen
4. Kontinuierliche Überwachung von Schwachstellen und Bedrohungen für Ihre geschäftskritischen Anwendungen
5. Absicherung Ihres benutzerdefinierten Codes in geschäftskritischen Anwendungen
6. Ein Bekenntnis zu Control Governance

SAP hat es sich zur Aufgabe gemacht, unsere Software kontinuierlich weiterzuentwickeln, um Ihre Daten sowohl vor Ort als auch in der cloud zu schützen. Wir legen größten Wert auf Cybersicherheit, damit Sie sich ganz auf die Führung Ihres Unternehmens und die effektive Pflege Ihrer Kundenbeziehungen mit SAP-Lösungen konzentrieren können – in der Gewissheit, dass Ihre Daten sicher sind. Um Kunden vor Ransomware-Angriffen zu schützen, ist die Absicherung der Entwicklungsinfrastruktur (z. B. der Build- und Deployment-Kette) von größter Bedeutung, um die Manipulation von Release-Artefakten zu verhindern. Im Rahmen unseres Engagements für unsere Kunden folgt SAP einem sicheren Softwareentwicklungs- und Betriebslebenszyklus, um alle Arten von Sicherheitslücken und Schwachstellen während der Entwicklung von Produkten und Dienstleistungen zu identifizieren und zu beheben. Durch den Einsatz von Techniken zur Risikoidentifizierung wie SAP Threat Modeling und Schulungen zur sicheren Entwicklung ermöglicht SAP den Entwicklungsteams, potenzielle Einfallstore für Ransomware und andere Arten von Angriffen zu beseitigen. Außerdem wird sichergestellt, dass grundlegende Sicherheitsprinzipien, wie beispielsweise das Prinzip der geringsten Berechtigungen, fest in der Arbeitsweise der SAP-Entwickler verankert sind. SAP stärkt seine Systeme kontinuierlich durch automatisierte statische Code-Analysen, Schwachstellenscans und Validierungen durch ein engagiertes, unabhängiges internes SAP-Sicherheitsteam. Der Softwareentwicklungslebenszyklus von SAP dient Kunden als Vorbild dafür, wie ein DevSecOps-Modell unterstützt werden kann, das Entwicklungs- und Betriebsaspekte für eine kontinuierliche und sichere Bereitstellung von Software abdeckt. 

Bei der Bereitstellung und dem Betrieb von SAP-Anwendungen ist es unerlässlich, dass Unternehmen sich auf die Absicherung ihrer Systeme konzentrieren, um die Angriffsfläche insgesamt zu minimieren – beispielsweise durch die Sicherstellung korrekter Einstellungen der Systemparameter und anderer Aspekte der Systemkonfiguration, einschließlich der Aktivierung von Sicherheitsfunktionen und -mechanismen. Es ist wichtig, dass die richtigen Konfigurationseinstellungen vorhanden sind, um ein Unternehmen vor möglichen Sicherheitslücken zu schützen. 

SAP bietet wichtige Funktionen wie den EarlyWatch® Alert-Service, der die wesentlichen Verwaltungsbereiche von SAP-Komponenten überwacht, um Unternehmen über Leistung und Stabilität auf dem Laufenden zu halten, sowie den SAP Security Optimization-Service, der die Sicherheit überprüft und verbessert, indem er potenzielle Sicherheitsprobleme im Zusammenhang mit Ihrer SAP-Lösung identifiziert und wichtige Empfehlungen ausspricht.

Da Angreifer immer wieder neue Angriffsmethoden entwickeln und Schwachstellen für diese Angriffe entdeckt werden, stellt SAP regelmäßig Sicherheitsupdates für bestehenden Code bereit, um die Sicherheit Ihrer Systeme zu gewährleisten. SAP stellt diese Sicherheitsupdates über Support-Pakete zur Verfügung und veröffentlicht jeden zweiten Dienstag im Monat im Rahmen des„Security Patch Day“Sicherheitshinweise mit den neuesten Sicherheitskorrekturen und Empfehlungen. Wie bereits erwähnt, ist die Einführung eines Sicherheitswartungsprozesses zur assess Implementierung empfohlener Sicherheitsupdates eine bewährte Vorgehensweise zur Risikominimierung. 

Seit 2009 konzentrieren wir uns bei Onapsis auf den Schutz geschäftskritischer Anwendungen. Mit unserer Platform zielen wir auf die Anwendungsebene ab und leisten einen wesentlichen Beitrag zu den Plänen unserer Kunden, ihre SAP-Anwendungen vor Ransomware-Angriffen zu schützen.

• Durch die automatische Erfassung kritischer Schwachstellen, fehlender wichtiger Patches und Sicherheitsupdates, Fehlkonfigurationen sowie unsicherer Schnittstellen identifiziert Onapsis alle offenen Türen. Dies ist ein wesentlicher Bestandteil jeder Initiative zur Ransomware-Prävention. Sobald die Einfallstore identifiziert sind, können sie geschlossen werden, wodurch die Angriffsfläche, die zu Ransomware führen könnte, verringert wird.
• Durch kontinuierliche Überwachung und Echtzeit-Warnmeldungen bei Anzeichen von Bedrohungen hilft Onapsis dabei, Echtzeit-Zugriffsversuche auf kritische Systeme über noch offene Sicherheitslücken zu überwachen. Gewinnen Sie wertvolle Zeit, um zu verhindern, dass Angreifer weiteren Zugriff erlangen.
• Durch Code-Analysen in Echtzeit – sowohl vor der Produktivschaltung als auch während des Transports – kann Onapsis dabei helfen, fremden Code (z. B. Malware) oder neue Schwachstellen zu identifizieren, bevor diese an die Öffentlichkeit gelangen. Code-Schwachstellen mögen zunächst als unbedeutender Angriffsvektor erscheinen, bis sie es plötzlich doch sind, wie im Fall des SolarWinds-Angriffs. Nach den Erfahrungen von Onapsis finden wir in der Regel eine kritische Schwachstelle pro 1000 Codezeilen, doch unsere Kunden verfügen meist über Millionen von Zeilen an benutzerdefiniertem Code. Es ist wichtig, diese Tausenden von offenen Türen zu schließen, um jeglichen Zugriff auf geschäftskritische Systeme zu verhindern.

Es ist an der Zeit, Ransomware aus einem neuen Blickwinkel zu betrachten. Wir befinden uns mitten in einer perfekten Sturmkonstellation: mehr ungeschützte SAP-Anwendungen und Remote-Mitarbeiter als je zuvor, erfahrene Angreifer, die über das nötige Fachwissen verfügen, um diese Systeme anzugreifen, hochvernetzte geschäftskritische Systeme in der cloud sowie überlastete Informationssicherheitsteams, die möglicherweise bei der Patch-Verwaltung und dem Schwachstellenmanagement in Verzug geraten sind.  Ransomware ist der letzte Schritt eines Angriffs, der eine Vielzahl von Angriffsvektoren nutzen könnte, um direkten Zugriff auf Ihre SAP-Anwendungen zu erlangen. Unternehmen sollten die leistungsstarken nativen Sicherheitsfunktionen von SAP nutzen, die richtigen risikobasierten Prozesse für Patches, Code und Schwachstellenmanagement etablieren und die optimierten Tools sowie threat intelligence entscheidenden threat intelligence Onapsis nutzen. Wenn sie dies tun, können Unternehmen ihr Risikoprofil drastisch reduzieren, Ransomware-Gruppen einen Schritt voraus sein und letztendlich verhindern, dass ihr Name in den Nachrichten auftaucht.

Dieser Blogbeitrag wurde von Tim McKnight, CSO bei SAP, verfasst, Richard Puckett, CISO bei SAP, und Mariano Nunez, CEO von Onapsis.

Zu den weiteren Mitwirkenden an diesem Beitrag gehören: Elena Kvochko, Imran Islam, Oliver Meli, Vic Chung und Robert Lorch von SAP sowie David D’Aprile, Maaya Alagappan und Tess Cunard von Onapsis.