SAP-Sicherheitsverletzung als wesentlicher Faktor für die Insolvenz des Unternehmens genannt

Ende 2024 gab es Medienberichte über ein Unternehmen, das aufgrund eines Cybersicherheitsvorfalls und anderer Faktoren Insolvenz anmeldete. Nachrichtenartikel aus Quellen wie dem Wall Street Journal, der SC Group und SecureWorld berichten übereinstimmend, dass das betroffene Unternehmen durch Ransomware lahmgelegt wurde, was den Geschäftsbetrieb erheblich beeinträchtigte. Wir erfahren, dass es sich bei dem Unternehmen um die Stoli Group USA („Stoli“) handelt, ein Unternehmen in Privatbesitz, das aufgrund des Cybersicherheitsvorfalls und anderer Faktoren im November 2024 Insolvenz nach Chapter 11 beantragt hat.

Es tauchen weitere Informationen zum Cyberangriff auf
Die Onapsis Research Labs sind Gerichtsunterlagen zugegangen, die weitere Einzelheiten zu den Geschehnissen liefern. Aus den Unterlagen geht hervor, dass es sich bei dem Cybersicherheitsvorfall um eine „SAP-Sicherheitsverletzung“ handelte.

„Aufgrund einer Sicherheitslücke bei SAP“

Quelle: Rechtssache 24-80146-swe11, Aktenzeichen 117, eingereicht am 30.12.24

Weitere Auszüge aus den Gerichtsunterlagen, in denen SAP als das betroffene ERP-System genannt wird, liefern weitere Einzelheiten zu den negativen Auswirkungen des Ransomware- und Datenlecks-Angriffs:

„Offenlegung von Cyberangriffen. Wie in der Erklärung von Chris Caldwell zur Unterstützung der Anträge am ersten Tag [Aktenzeichen Nr. 11] (die „Erklärung am ersten Tag“) näher erläutert, kam es im Anschluss an eine Datenpanne und einen Ransomware-Angriff im August 2024 (zusammenfassend als „Cyberangriff“ bezeichnet) zu schwerwiegenden Störungen der IT-Infrastruktur der Schuldner. Der Cyberangriff verursachte erhebliche betriebliche Probleme in allen Unternehmen der Stoli-Gruppe (wie in der Erklärung vom ersten Tag definiert), einschließlich der Schuldner. Unter anderem wurden durch den Cyberangriff die gesamten Buchhaltungs- und Finanzsysteme der Schuldner gehackt und in einer Form verschlüsselt, die die Schuldner nicht lesen oder entschlüsseln konnten. Der Cyberangriff führte dazu, dass das Enterprise-Resource-Planning-System („ERP“ oder „SAP“) der Stoli-Gruppe außer Betrieb gesetzt wurde und die meisten internen Prozesse der Stoli-Gruppe (einschließlich der Buchhaltungsfunktionen) auf manuelle Eingabe umgestellt werden mussten. Zum Zeitpunkt der Antragstellung und der Einreichung der Aufstellungen und Erklärungen der Schuldner sind die Buchhaltungs- und Finanzsysteme der Schuldner noch nicht vollständig wiederhergestellt und laufen nicht so, wie dies im normalen Geschäftsbetrieb der Fall wäre.“

Die Auswirkungen eines Cyberangriffs auf SAP-Anwendungen gehen über die Störung kritischer Geschäftsprozesse wie Fertigung, Logistik und Vertrieb hinaus. In der gerichtlichen Aussage findet sich zudem folgende Feststellung, die verdeutlicht, dass die Sicherheitsverletzung bei SAP für das betroffene Unternehmen auch Herausforderungen bei comply Rechnungslegungsvorschriften mit sich brachte. Während Stoli ein Privatunternehmen war, hätte dies für börsennotierte Unternehmen aufgrund der SOX-Vorschriften sicherlich noch weitreichendere Folgen:

(3) die oben genannten schwerwiegenden Betriebsstörungen, die durch eine Datenpanne und einen Ransomware-Angriff im August 2024 verursacht wurden (einschließlich der Probleme bei der Einhaltung der Berichtspflichten gegenüber dem Kreditgeber durch die Schuldner)

Den Angaben in den Unterlagen zufolge rechnet das Unternehmen damit, dass die vollständige Wiederherstellung und Instandsetzung zwischen fünf und sieben Monaten dauern wird:

„Die Schuldner setzen ihre Pläne zur Wiederherstellung und Rückführung der verschlüsselten Daten in das zuvor von ihnen verwendete Format fort und gehen davon aus, dass diese Systeme frühestens im ersten Quartal 2025 vollständig wiederhergestellt sein werden. Daher geben die Schuldner diese Offenlegung im Zusammenhang mit dem Cyberangriff ab, um darauf hinzuweisen, dass die hierin sowie in den Erklärungen und Anhängen der Schuldner enthaltenen Informationen nach bestem Wissen und Gewissen der Schuldner zum Zeitpunkt der Antragstellung bereitgestellt werden, ohne dass die Buchhaltungs- und Finanzsysteme der Schuldner nach dem Cyberangriff vollständig wiederhergestellt wurden.“

Die Entwicklung der SAP-Ransomware-Bedrohungen

SAP und Onapsis warnen Unternehmen seit 2001 gemeinsam und proaktiv vor der zunehmenden Bedrohung durch Ransomware-Angriffe auf ungeschützte SAP-Anwendungen. Darüber hinaus Onapsis Research Labs die Onapsis Research Labs im vergangenen Jahr neue SAP threat intelligence im CH4TTER-Bericht veröffentlicht und damit erneut vor dem Verhalten von Angreifern in diesem Zusammenhang gewarnt.  

Die Ergebnisse deuteten auf eine anhaltende Zunahme der Bedrohungen für SAP-Anwendungen hin, zum Beispiel: 

• 400-prozentiger Anstieg der Ransomware-Vorfälle, bei denen SAP-Systeme und -Daten kompromittiert wurden
• 490 % Anstieg bei kriminellen Gesprächen über SAP-Sicherheitslücken und -Exploits
• 220 % Anstieg der aktiven Beiträge nach der Einführung der SAP cloud und Web-Services
• 400-prozentiger Preisanstieg bei SAP-Exploits zur Remote-Codeausführung

In einem Beispiel aus dem Bericht wurde festgestellt, dass ein russischsprachiger Nutzer einer Cyberkriminellen-Gruppe nach Anleitungen suchte, wie er einen SAP-Hack bei vier verschiedenen Unternehmen zu Geld machen könnte, nachdem er Schwachstellen auf Anwendungsebene wie RECON und im SAP Solution Manager ausgenutzt hatte.

Quelle: CH4TTER -Bericht

Das bedeutet (grob übersetzt): 

So stellen Sie sicher, dass Ihre SAP-Anwendungen geschützt sind

Die Schlussfolgerung ist eindeutig: Angreifer verfügen über die Fähigkeiten, das Wissen und die Absicht, ungesicherte SAP-Anwendungen zu kompromittieren. Darüber hinaus haben sie inzwischen erkannt, dass Ransomware-Angriffe auf SAP-Systeme ihnen bei Lösegeldverhandlungen mit ihren Opfern eine starke Verhandlungsposition verschaffen, da SAP für die meisten Unternehmen geschäftskritisch ist und eine anhaltende Störung ihrer SAP-Systeme erhebliche finanzielle Folgen nach sich zieht. 

Die Onapsis Research Labs diesen Vorfall weiterhin. Zwar liegen noch keine weiteren technischen Informationen zu den konkreten Techniken, Tools und Vorgehensweisen vor, die die Angreifer in diesem Fall eingesetzt haben, doch möchten wir auf der Grundlage unserer Erfahrungen im Bereich SAP-Incident-Response und threat intelligence Empfehlungen zu Maßnahmen geben, die alle SAP-Kunden ergreifen können, um das Risiko erfolgreicher SAP-Ransomware-Angriffe zu minimieren. 

Einige der wichtigsten Empfehlungen:

• SAP-Systeme auf alle bekannten Sicherheitslücken auf Anwendungsebene überprüfen, wie z. B. fehlende SAP-Sicherheitspatches/-hinweise und unsichere Instanzkonfigurationen.
• SAP-Systeme auf böswillige oder übermäßige SAP-Benutzerberechtigungen analysieren.
• Assess von Entwicklern oder Dritten erstellten Assess , um potenzielle Schwachstellen und Hintertüren zu identifizieren. 
• Überwachen Sie SAP-Systeme auf Anzeichen für Kompromittierungen, die durch die Ausnutzung von Sicherheitslücken entstehen.
• Überwachen Sie SAP-Systeme auf verdächtiges Benutzerverhalten, sowohl bei privilegierten als auch bei nicht privilegierten Benutzern.
• Nutzen Sie threat intelligence neuen Sicherheitslücken, um die Sicherheitslage gegenüber gezielten, hochentwickelten Angriffen zu verbessern.
• Umfassende Sicherheitsrichtlinien für Systeme festlegen, kontinuierlich auf Verstöße gegen diese Richtlinien überwachen und festgestellte Abweichungen beheben.
• Stellen Sie sicher, dass SAP-Anwendungen regelmäßig gesichert werden und die Sicherungen getestet werden
• Überprüfen Sie die Prozesse und Playbooks für die Reaktion auf Vorfälle und stellen Sie sicher, dass die SAP-Systeme in den Umfang einbezogen werden. 

Weitere Informationen finden Sie in unseren Beiträgen, Blogs und unseren Hinweisen zu SAP-Sicherheitslücken oder kontaktieren Sie uns.