Jahresrückblick: Risiken und die Bedeutung des Schutzes von SAP-Anwendungen

Von:

6. Februar 2025

Wenn es eine Sache gibt, die bei unseren Onapsis Research Labs heraussticht, dann ist es die Tatsache, dass wir uns leidenschaftlich für SAP-Sicherheit einsetzen. Zwar sind viele Sicherheitsfachleute leidenschaftlich bei der Sache, doch ich würde sogar so weit gehen zu sagen, dass dies unsere Berufung ist. Es bedarf besonderer Menschen und eines gemeinsamen Teams, um gemeinsam eine sicherere Weltwirtschaft zu schaffen. Wir leisten unseren Beitrag durch Schwachstellenforschung und threat intelligence und arbeiten direkt mit SAP zusammen, um Schwachstellen zu beheben und einen umfassenden Schutz für SAP-Anwendungen zu gewährleisten. Lassen Sie mich das noch einmal betonen: 

Als Forschungsteam liegt es uns sehr am Herzen, zur Sicherheit von SAP beizutragen – zum Wohle aller.  

Vor kurzem hatte ich die Gelegenheit, mich mit JP, unserem CTO und Mitbegründer, zusammenzusetzen, umüber den Jahresrückblick der Onapsis Research Labs zu sprechen. Da dies jedes Jahr eines unserer beliebtesten Themen ist, beginnen wir zunächst damit, zu zeigen, warum wir überhaupt in der Lage sind, ein solches Webinar durchzuführen – quasi als Beweis für unsere „Street Credibility“:

  • Ich werde regelmäßig zu den weltweit führenden und legendären Sicherheitskonferenzen wie Black Hat, DefCon, RSA und Troopers eingeladen (vielen Dank übrigens!)
  • Onapsis Research Labs über 1.000 Zero-Day-Sicherheitslücken in ERP-Anwendungen entdeckt
  • Sechs dieser Sicherheitslücken waren aufgrund ihrer Auswirkungen so gravierend, dass die CISA entsprechende kritische Warnmeldungen herausgab

Die Bedeutung von SAP-Anwendungen

Als Nächstes werden JP und ich uns damit befassen, warum SAP für den globalen Handel, die Wirtschaft und unser übergeordnetes Ziel von entscheidender Bedeutung ist. Auf der Website von SAP heißt es beispielsweise: 

98 der 100 größten Unternehmen der Welt sind SAP-Kunden

SAP-Kundenstatistiken

Viele, die neu in der Welt der SAP- und ERP-Sicherheit sind, dürften überrascht sein, wie viele Unternehmen auf SAP-Anwendungen setzen. Nicht nur die schiere Anzahl ist atemberaubend, sondern auch das Ausmaß – SAP-Kunden generieren 84 % des gesamten weltweiten Handels. Tatsächlich sind diese Anwendungen für unsere Weltwirtschaft so entscheidend, dass die CISA seit 2021 mehr als 10 SAP-Schwachstellen in ihren Katalog „Known Exploited Vulnerabilities“ (KEV) aufgenommen hat. Viele CVEs aus der gemeinsamen Forschung von SAP und Onapsis – wie die in unserer ICMAD-Studie behandelten Schwachstellen – wurden hinzugefügt, und zuletzt wurde CVE-2019-0344 im November 2024 in den KEV aufgenommen.

Angreifer, die es auf SAP-Anwendungen abgesehen haben

Leider ist dies auch der kriminellen Unterwelt bereits bekannt. Wir zeigen, dass in den letzten zwei Jahren 64 % der ERP-Systeme angegriffen wurden. Und dass Ausfallzeiten bei SAP aufgrund von Sicherheitsvorfällen den Unternehmen durchschnittlich mehr als 50.000 Dollar pro Stunde gekostet haben. 

Nun müssen wir uns fragen: Warum steht SAP mehr denn je im Fokus? Abgesehen von einer Vielzahl von Angreifern, die es gezielt auf Unternehmen abgesehen haben, die SAP einsetzen, haben unsere Untersuchungen ergeben, dass Kriminelle SAP-Sicherheitslücken ausnutzen, um:

  • Ausführen von Ransomware
    • 400-prozentiger Anstieg der Ransomware-Vorfälle zwischen 2021 und 2023, bei denen SAP-Daten betroffen waren
    • Kriminelle wissen, dass geschäftskritische Daten von hohem Wert sind
  • Finanzbetrug begehen
    • Cyberkriminelle wie FIN13 (Elephant Beetle) haben 30.000.000 Dollar erbeutet.
    • Kriminelle nutzen Zahlungssysteme aus, um Geld zu stehlen
  • Zugriff auf SAP-Informationen
  • Die Infrastruktur nutzen

Ausnutzung von SAP-Sicherheitslücken

Die Sache ist die: Die Angreifer sind nicht nur an den Daten oder dem Server interessiert, sondern wollen auch die begehrten Exploits für SAP-Sicherheitslücken erwerben. Hier ist ein Beispiel für einen Exploit zur Remote-Code-Ausführung, für den SAP eine Prämie von 250.000 Dollar ausgesetzt hat und den JP und ich ausführlich besprechen:

Exploit-Bild

Nun kann das Installieren von Patches ohne die richtigen Lösungen zeitaufwändig und mühsam sein, sodass eine sofortige Installation nicht immer möglich ist. Doch laut unserer Untersuchung aus dem letzten Jahr MÜSSEN Sie dem Installieren von Patches Priorität einräumen. Dieser Bericht schilderte einen realen Angriff durch einen Angreifer und verdeutlichte damit etwas, worüber wir bereits zuvor geschrieben haben: 

SAP-Systeme werden schnell angegriffen und ausgenutzt.  

Hier ist ein zeitlicher Ablauf eines solchen Angriffs, den Onapsis Research Labs im Jahr 2024 Onapsis Research Labs :

Beispiel für einen Angriffsverlauf

Der Angreifer nutzte eine bekannte SAP-Sicherheitslücke aus, die die CISA in ihrem KEV-Katalog als aktiv ausweist: CVE-2010-5326. Die Lehre daraus? Selbst wenn Sie glauben, Ihre Systeme seien sicher – insbesondere, weil sie durch mehrschichtige Abwehrmaßnahmen geschützt sind –, können Kriminelle dennoch eindringen und tun dies auch. Wir können es nicht oft genug betonen: Selbst mit Zero-Day-Schutz und Schutz vor der Veröffentlichung von Patches gilt: Installieren Sie SAP-Patches, installieren Sie sie regelmäßig und installieren Sie sie umgehend.

Risiken und Patches für SAP-Anwendungen

Um Unternehmen dabei zu helfen, das Risiko für SAP als Risiko für das Geschäft zu verstehen, verweisen JP und ich oft auf den folgenden Entscheidungsbaum:

Entscheidungsbaum für das Patchen

Ja, Unternehmen müssen SAP-Sicherheitspatches zügig installieren. Selbst wenn Ihre SAP-Systeme nicht öffentlich zugänglich sind, bestehen On-Premise-, cloud und Hybridsysteme aus Komponenten verschiedener Anbieter von Lieferkettentechnologien. Dadurch sind sie miteinander vernetzt, was Ihre Angriffsfläche vergrößert. 

Vor kurzem hat die CISA eine Warnung zu Sicherheitslücken in der Lieferkette herausgegeben, insbesondere zu solchen, deren Lebenszyklus abgelaufen ist und die nicht mehr unterstützt werden, die aber von Unternehmen weiterhin genutzt werden. Ihre SAP-Systeme sind vielleicht streng gegen Zugriff von außen abgeschirmt, doch bedenken Sie auch andere Technologien in Ihrer Lieferkette, die ebenfalls gepatcht, aktualisiert, aufgerüstet oder ersetzt werden müssen. Jede dieser Technologien könnte ausgenutzt werden – wodurch Ihre mehrschichtige Verteidigungsstrategie zum Schutz von SAP umgangen werden könnte.  

Gewährleistung des Schutzes von SAP-Anwendungen

Nun, da Sie wissen, wie wichtig SAP ist und dass SAP-Anwendungen mehr denn je ins Visier genommen werden, was können Sie tun?

  • Bleiben Sie mit den SAP-Sicherheitshinweisen auf dem Laufenden
  • Stellen Sie sicher, dass Ihr Team über die neuesten Patches verfügt, und nutzen Sie dabei nach Möglichkeit Automatisierung
  • Investieren Sie in Lösungen, die detaillierte Informationen zu den geschäftlichen Auswirkungen von SAP-Sicherheitslücken liefern

Entdecken Sie Lösungen wie Onapsis Defend, die Schutz vor Zero-Day-Angriffen und vor der Veröffentlichung von Patches bieten, um einen umfassenden Schutz Ihrer SAP-Anwendungen zu gewährleisten.

Stichworte, , , ,
Über den Autor

Paul Laudanski

Leiter der Sicherheitsforschung

Paul Laudanski, Leiter der Sicherheitsforschung bei Onapsis, bringt über zwanzig Jahre Erfahrung in den Bereichen Cybersicherheit, threat research -entwicklung, threat intelligence sowie Spionageabwehr in seine Position ein. Paul ist zudem Mitglied des Onapsis Research Labs und widmet sich der Aufdeckung von Schwachstellen in geschäftskritischen Anwendungen, was bereits zur Behebung von über 1.000 Zero-Day-Schwachstellen in SAP- und Oracle-Anwendungen beigetragen hat. Paul hat einen Bachelor-Abschluss in Mathematik von der Rider University und lebt mit seiner Familie in Tacoma, Washington.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen