Fragen und Antworten: Aktuelle Cyberangriffe auf geschäftskritische SAP-Anwendungen

Von:

26. April 2021

Onapsis hat kürzlich einen Bedrohungsbericht veröffentlicht, in dem wir Hinweise auf aktive und weit verbreitete Angriffe gefunden haben, bei denen ungeschützte SAP-Anwendungen in der Praxis ausgenutzt und kompromittiert werden. Aufgrund der beobachteten Bedrohungen und typischer Kundenkonfigurationen gehen wir davon aus, dass eine große Anzahl von SAP-Kunden von diesen Akteuren ins Visier genommen wurde und weiterhin ins Visier genommen wird, insbesondere – aber nicht ausschließlich – Kunden mit SAP-Anwendungen, die mit dem Internet verbunden sind. 

Während unseres jüngsten Webinars zu unserem Bedrohungsbericht haben wir viele interessante Fragen von den Teilnehmern erhalten. In diesem Beitrag gehen wir auf einige der Fragen ein, die während der Live-Sitzung gestellt wurden:

Wie können wir feststellen, ob wir angegriffen oder kompromittiert wurden?
Unser Bericht enthält Indikatoren für Kompromittierung (IoCs), um mögliche Aktivitäten in der Vergangenheit zu identifizieren (diese sollten jedoch nicht als endgültige IoCs angesehen werden). Onapsis hat aktualisierte Open-Source-Tools entwickelt und veröffentlicht, um assess SAP-Anwendungen auf Schwachstellen und Indikatoren für Kompromittierung assess – und damit die Sicherheitsverantwortlichen in der Community bei diesen Bemühungen zu unterstützen. Diese Tools stehen im Onapsis GitHub-Repository unterhttps://github.com/Onapsis zum kostenlosen Download bereit. Wir können außerdem eine kostenlose Schnellbewertung durchführen, um Ihnen dabei zu helfen, Ihre kritischsten und am stärksten gefährdeten SAP-Anwendungen zu identifizieren, die Gefährdung im Hinblick auf beobachtete Angriffe zu bewerten und Ihre SAP-Anwendungen kostenlos auf Anzeichen einer Kompromittierung zu untersuchen. Nach Abschluss der Untersuchung erhalten Sie von uns einen Schnellbewertungsbericht, den Sie an Ihre Führungskräfte weiterleiten können.

Ich habe die Patches installiert. Was mache ich als Nächstes?
Die Installation von Patches ist zwar wichtig, stellt jedoch nur einen Teil des Ganzen dar. Es ist ebenso wichtig, die Sicherheitskonfiguration zu berücksichtigen und zu überprüfen, ob das Risiko tatsächlich gemindert wurde. Wenn der Patch erst Wochen nach seiner Veröffentlichung installiert wurde, besteht die Möglichkeit, dass ein Angreifer die Integrität des Systems gefährdet. Es ist wichtig zu wissen, wann die Patches und Abhilfemaßnahmen durchgeführt wurden. Sollten Ihnen Patches fehlen, sollten Sie eine gründliche Überprüfung vornehmen. Wenn Sie bei der Überprüfung Ihrer SAP-Infrastruktur feststellen, dass Sie keine Sichtbarkeit auf Alarme in einem SIEM oder einer platform haben, sollten Sie eine Lösung in Betracht ziehen, damit Sie diese Plattformen und deren Schwachstellen erkennen können.

Mein SAP-Sicherheitsteam hat festgestellt, dass einige der Patches, die derzeit installiert werden, noch fehlen. Müssen wir noch etwas unternehmen?
Wenn Sie diese Patches erst jetzt installieren, empfehlen wir, diese Systeme bereits vor der Installation durch ein internes Sicherheitsteam überprüfen zu lassen. Wenn Sie Systeme patchen und anschließend neu starten, können dabei tatsächlich Spuren von Sicherheitslücken durch den Patch-Prozess unkenntlich gemacht werden. Angesichts der verstrichenen Zeit empfehlen wir Ihnen, die Systeme zu überprüfen und unsere kostenlose Schnellbewertung in Anspruch zu nehmen. Es ist außerdem wichtig zu prüfen, was an Ihrem Prozess verbessert werden kann, damit Sie nächsten Monat nicht wieder in derselben Situation sind.

Hat dies Auswirkungen auf unsere SAP-Lösungen in der cloud?
Wenn Sie von cloud wie SuccessFactors sprechen, nein. Wenn Sie jedoch die Bereitstellung von SAP-Anwendungen im cloud wie Azure, Google Cloud einer anderen gehosteten Umgebung meinen, dann ja – es liegt in Ihrem Rahmen der „geteilten Verantwortung“, die Sicherheitskonfigurationen vorzunehmen. Auf SaaS-Lösungen von SAP hat dies keinerlei Auswirkungen. Wir empfehlen Ihnen, sich mit diesen Systemen auseinanderzusetzen, unabhängig davon, ob die Verantwortung bei Ihnen oder Ihrem Dienstleister liegt.

Wie viele der über 300 bestätigten Angriffe basieren auf Java oder SolMan?
Die Mehrheit der bestätigten Angriffe stand in direktem Zusammenhang mit SolMan- und Java NetWeaver-basierten Systemen. 

Wie viele der externen Angriffe auf Systeme, die mit dem Internet verbunden sind, stehen im Vergleich zu internen Angriffen?
Unser threat intelligence war von vornherein auf Umgebungen ausgerichtet, die mit dem Internet verbunden sind.

Manche Unternehmen haben den Support für ältere SAP-Systeme auslaufen lassen. Welchen Rat geben Sie für diese veralteten Systeme, die geschäftskritisch sind, nicht aktualisiert werden können und dennoch wichtige Funktionen erfüllen müssen?
Es besteht ein Widerspruch darin, dass diese Systeme zwar das Ende ihrer Lebensdauer erreicht haben oder nicht mehr unterstützt werden, aber dennoch geschäftskritische Funktionen erfüllen. Das erste Gespräch, das Sie führen müssen, ist das mit Ihrer eigenen Unternehmensleitung, denn wenn es zu einer Lücke im Support oder bei der Version kommt, muss dies unverzüglich angegangen werden. Ein erster Schritt wäre, einen neuen Servicevertrag abzuschließen und zu prüfen, welche Migrationsmöglichkeiten der cloud des Kunden bereitstellt. SAP Rise kann Ihnen bei der Migration in die cloud helfen, cloud mit dem Rapid Assessment von Onapsis können Sie assess Risikosituation dieser älteren Altsysteme assess .

Was ist, wenn mein Unternehmen keine öffentlichen SAP-Anwendungen nutzt?
Angreifer wissen, wie sie in ein Netzwerk eindringen können, unabhängig davon, ob es sich um ein privates oder öffentliches Netzwerk handelt. Die meisten Unternehmen verfügen über Umgebungen mit Dienstanbietern und VPNs. Das Wichtigste ist, sicherzustellen, dass keine unbeabsichtigten Systeme online verbunden sind, von denen Sie nichts wussten. Angreifer verfügen über clevere Methoden, um sich ersten Zugriff auf Umgebungen zu verschaffen. Daher müssen Sie wachsam sein, was die Verteidigungsschichten betrifft, die möglicherweise vor Ihrer SAP-Infrastruktur liegen. Sie sollten Ihre SAP-Infrastruktur zudem überprüfen, um ein höheres Maß an Sicherheit zu gewährleisten. 

Sehen Sie sich das gesamte Q&A-Webinarauf Abruf an oder laden Sie unseren Bedrohungsbericht herunter und erfahren Sie noch heute mehr über unsere kostenlose Schnellanalyse.
 

Tags,
Über den Autor

Onapsis Research Labs

Onapsis Research Labs ist ein Team aus weltweit führenden Cybersicherheitsexperten, das sich der Aufdeckung und Abwehr von Bedrohungen in geschäftskritischen Anwendungen widmet. Als produktivster Mitwirkender an der Sicherheitsforschung von SAP und Oracle hat das Team über 1.000 Zero-Day-Schwachstellen entdeckt und bei deren Behebung geholfen. Seine threat intelligence die Onapsis Platformund stellt sicher, dass Unternehmen defend ERP-Landschaften vor den neuesten, raffinierten Angriffen defend können, bevor diese in der Praxis ausgenutzt werden.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen