Rückblick auf CH4TTER: Erkenntnisse ein Jahr nach Veröffentlichung dieses SAP-Bedrohungsberichts

Von: ,

17. April 2025

Es ist genau ein Jahr her, seit wir unseren allerersten Bericht über Angreifer veröffentlicht haben, die sich mit SAP befassen. In Zusammenarbeit mit Flashpoint beleuchtete dieser Bericht Trends in der SAP-Bedrohungslandschaft. CISA, SAP und Onapsis warnen Unternehmen seit Jahren, Patches zu installieren und für Sicherheit zu sorgen, sowie bewährte Verfahren wie die Überwachung und das Penetrationstesten ihrer Umgebungen anzuwenden. Wir haben gewarnt, weil Unternehmen, die anfällige SAP-Systeme betreiben, bedroht sind. Diese Daten aus dem Untergrund bestätigen, was wir schon immer offen gesagt haben. Die wichtigsten Erkenntnisse sind, dass Führungskräfte und Praktiker aufgeschlossener denn je für umsetzbare threat intelligence ein tiefes Verständnis ihrer tatsächlichen SAP-Sicherheitslage sind.

Ein Jahr nach dieser Untersuchung möchten wir unsere wichtigsten Erkenntnisse noch einmal zusammenfassen:

Die Branche ist begierig auf diese Informationen

Man weiß nicht, was man nicht weiß. Und obwohl wir die Öffentlichkeit bereits über diese Gefahren informiert hatten, gelang es uns erst mit dem CH4TTER-Bericht, bei den Unternehmen den richtigen Nerv zu treffen. Vielleicht ist es „genau der richtige Zeitpunkt“ oder „der perfekte Moment“, damit diese Botschaft – so wie sie formuliert wurde – von aufgeschlossenen und aufmerksamen Führungskräften und Fachleuten aufgenommen wird. 

Durchweg erhielten wir Rückmeldungen, dass unsere Untersuchung unseren Kunden nicht nur dabei half, die Risiken für ihre SAP-Anwendungen zu verstehen, sondern diese Risiken auch gegenüber ihrem Vorstand im Hinblick auf Investitionsentscheidungen zu verdeutlichen. Dies galt insbesondere für die Grafiken zum Anstieg von Ransomware sowie für die Einblicke in die Funktionsweise von C2-Botnetz-Angriffen. Generell war die Bestätigung, dass auch SAP-Systeme als Angriffsvektoren ausgenutzt werden, etwas, das unsere Kunden als hilfreich für ihre Gespräche mit der Geschäftsleitung und dem Vorstand empfanden. 

Die Erkenntnisse, die die Praktiker als für sie am nützlichsten erachteten, ermöglichten es ihnen, ihre IT-Umgebungen zu überprüfen und sicherzustellen, dass sie über geeignete Maßnahmen zur Überwachung von Angriffen verfügten. Die folgende Tabelle stammt aus der ursprünglichen CH4TTER-Analyse:

Diese Tabelle soll verdeutlichen, dass die CISA der Bedeutung einer umfassenden Aufklärung über diese SAP-Sicherheitslücken große Bedeutung beimisst. Wir möchten vermeiden, dass der Eindruck entsteht, man sei sicher, wenn man alle in der obigen Tabelle aufgeführten Schwachstellen patcht. Leider ist es nicht so einfach. Bedrohungen für SAP-Anwendungen sind aktiv und dynamisch, und Sicherheitsverantwortliche müssen wachsam bleiben und aktuelle sowie neue Bedrohungen im Auge behalten, sobald sie auftreten. Im nächsten Abschnitt gehen wir auf ein solches Beispiel ein, wobei wir diese Liste aktueller und aktiver Angriffe auf SAP ergänzen können.

Cyberkriminelle nutzen weiterhin SAP-Sicherheitslücken aus

Seit der Einführung des „Catalog of Known Exploited Vulnerabilities“ (KEV) wurden diesem regelmäßig mehrere SAP betreffende Sicherheitslücken hinzugefügt. Wir beobachten, dass diesem Bereich der Sicherheit weiterhin zunehmende Aufmerksamkeit geschenkt wird. Vor kurzem, im März 2025, wurde CVE-2017-12637 in den KEV der CISA aufgenommen.  Dies untermauert die oben dargestellte threat intelligence , wonach selbst ältere SAP-Sicherheitslücken auch heute noch im Visier von Angreifern stehen.

Das Verständnis von Angriffen auf SAP-Anwendungen hilft Unternehmen, Defend

Im vergangenen Jahr Onapsis Research Labs den „Anatomy of an Attack“ veröffentlicht, die Aufschluss darüber gibt, wie Angreifer Schwachstellen ausnutzen, und Unternehmen dabei helfen kann, ihre SAP-Anwendungen besser zu schützen. Wir haben vor traditionellen Angriffszielen wie Finanzdaten und personenbezogenen Daten gewarnt; in diesem Szenario missbrauchten die Angreifer den SAP-Hostserver, um Angriffe auf andere Unternehmen zu starten. Dadurch können sich die Angreifer während des Angriffs vor ihrem Ziel verbergen und stattdessen einem legitimen Unternehmen die Schuld zuschieben.

Ausfälle und Ransomware bei SAP-Anwendungen haben Auswirkungen auf Unternehmen 

Die Auswirkungen von Ausfällen von SAP-Anwendungen oder – schlimmer noch – von Ransomware-Angriffen auf Ihre SAP-Systeme tauchen immer häufiger in unseren Nachrichten auf. Ein aktuelles Beispiel ist ein Unternehmen, das Insolvenz angemeldet hat und als einen der Gründe dafür einen Ransomware-Angriff auf seine SAP-Anwendungen nannte. Als erfahrene Forscher sowie als Incident Responder und Penetrationstester sind wir uns der Folgen für Unternehmen, deren SAP-Systeme kompromittiert werden, voll und ganz bewusst.  Im vergangenen Jahr haben wir eine der größten öffentlich bekannten Auswirkungen eines kompromittierten SAP-Systems erlebt: die Insolvenz von Stoli

Was können wir dagegen tun?

Hilfe beim Penetrationstest einholen

Da wir in den letzten Jahren zahlreiche Unternehmen unterstützt haben, haben wir festgestellt, dass eine große Diskrepanz besteht zwischen dem, was ein Unternehmen für sicher hält, und dem tatsächlichen Stand der SAP-Sicherheit.

Interessante Erkenntnisse liefern die Penetrationstests (Pentests), da wir einige anonymisierte allgemeine Erkenntnisse aus den Pentests weitergeben können, die wir in den letzten Jahren durchgeführt haben. Hier sind einige Punkte, die Sie bei der Ausarbeitung Ihrer SAP-Sicherheitsstrategie berücksichtigen sollten:

  1. Onapsis Research Labs sind in der Lage, in fast jeder Organisation bereits beim ersten Versuch einen vollständigen Kompromiss zu erzielen.
  2. Nach der Vorstellung der Ergebnisse der Penetrationstests sind die Führungskräfte überrascht, wie anfällig ihre SAP-Landschaft ist und wie viele Sicherheitslücken sie aufweist.
  3. Je entschlossener Unternehmen daran arbeiten, ihre SAP-Landschaft zu sichern, desto sicherer wird die gesamte Kundenumgebung. Das bedeutet, in die Cybersicherheit von SAP zu investieren.
  4. Jährliche Penetrationstests sind wie eine jährliche Vorsorgeuntersuchung – eine Überprüfung kann nie schaden, sondern nur helfen.

Cybersicherheit für SAP von SAP Press

Auf der SAPinsider haben wir das erste Buch vorgestellt, das sich ausschließlich mit SAP-Cybersicherheit befasst: „Cybersecurity for SAP“. Noch nie haben wir so viele positive Rückmeldungen von Kunden und Branchenführern erhalten, dass hier schon so lange eine Lücke bestand. Dieses Buch ist die definitive Antwort auf Ihre Fragen zur SAP-Cybersicherheit und enthält Erkenntnisse der Branchenführer JP Perez-Etchegoyen und Gaurav Singh. Wenn das Ihr Interesse weckt, nehmen Sie hier an der Verlosung teil und gewinnen Sie ein kostenloses Exemplar.

Da Unternehmen täglich mit neuen Bedrohungen konfrontiert sind, setzen wir unsere Forschungsarbeit entschlossen fort, um die Sicherheit von SAP-Anwendungen zum Wohle der Weltwirtschaft zu verbessern.

Stichworte, , , , ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Über den Autor

Paul Laudanski

Leiter der Sicherheitsforschung

Paul Laudanski, Leiter der Sicherheitsforschung bei Onapsis, bringt über zwanzig Jahre Erfahrung in den Bereichen Cybersicherheit, threat research -entwicklung, threat intelligence sowie Spionageabwehr in seine Position ein. Paul ist zudem Mitglied des Onapsis Research Labs und widmet sich der Aufdeckung von Schwachstellen in geschäftskritischen Anwendungen, was bereits zur Behebung von über 1.000 Zero-Day-Schwachstellen in SAP- und Oracle-Anwendungen beigetragen hat. Paul hat einen Bachelor-Abschluss in Mathematik von der Rider University und lebt mit seiner Familie in Tacoma, Washington.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen