Neue Threat Intelligence: Angreifer nehmen SAP ins Visier, um Profit zu erzielen

Von:

17. April 2024

Fragen, die sich CIOs und CISOs stellen sollten

Mit weltweit über 400.000 Kunden, darunter 99 der 100 größten Unternehmen der Welt, ist SAP eine grundlegende Technologie der globalen digitalen Wirtschaft. Tatsächlich entfallen 87 % des gesamten weltweiten Handels – das entspricht 46 Billionen US-Dollar – auf SAP-Kunden.  Da diese Anwendungen einen enormen Wert haben – sowohl hinsichtlich ihrer Daten als auch ihrer kritischen Geschäftsprozesse –, haben Cyberkriminelle zunehmend darauf abgezielt, Schwachstellen auszunutzen. 

Wir haben soeben eine neue Studie veröffentlicht, die von Onapsis Research Labs Zusammenarbeit mit Flashpoint durchgeführt wurde und besorgniserregende Trends aufzeigt: einen Anstieg der Ransomware-Vorfälle um 400 %, bei denen SAP-Systeme und -Daten in den betroffenen Unternehmen kompromittiert wurden, einen Anstieg der Diskussionen in Cyberkriminellen-Foren über SAP-Schwachstellen und -Exploits um 490 %, einen Anstieg der Preise, die Broker für Exploits zur Kompromittierung von SAP-Systemen zu zahlen bereit sind, um 400 % und vieles mehr. Die Fakten sprechen eine klare Sprache: Ungeschützte cloud, Hybrid- und On-Premise-SAP-Anwendungen werden von böswilligen Akteuren angegriffen, um Daten zu stehlen, Finanzbetrug zu begehen und – in zunehmendem Maße – Ransomware einzusetzen. 

In vielen Gesprächen, die ich branchenweit geführt habe, sehen sich Führungskräfte erst dann zum Handeln gezwungen, wenn bereits ein Vorfall eingetreten ist. Hier ist die gute Nachricht: Dieser Kreislauf lässt sich durchbrechen. Hier sind einige Fragen, die Ihnen oder den Führungskräften in Ihrem Team helfen können, die Verantwortung für Ihre SAP-Cyberresilienz zu übernehmen und Ihre Anwendungen gegen Bedrohungen abzusichern:

Wer hat es auf SAP abgesehen?

Bekannte Hackergruppen wie FIN13, Cobalt Spider, APT10 und FIN7 nutzen SAP-Sicherheitslücken aktiv aus, kompromittieren ungeschützte Systeme und beziehen deren Daten in ihre Ransomware-Angriffe ein. Obwohl SAP und Onapsis Unternehmen seit Jahren proaktiv vor dem erhöhten Risiko böswilliger Aktivitäten und Ransomware-Bedrohungen warnen, die auf SAP-Anwendungen abzielen, haben einige Unternehmen ihre Sicherheitsvorkehrungen noch immer nicht entsprechend verbessert.  

Diese Untersuchung macht deutlich, dass die Bedrohung besteht und sich weiter verschärft

Inwiefern ist SAP betroffen?

Während Unternehmen cloud der digitalen Transformation SAP-Anwendungen in die cloud verlagern, um geschäftlichen Mehrwert zu erschließen, ist eine erhöhte Anfälligkeit gegenüber böswilligen Akteuren die unerwünschte Begleiterscheinung. Es gibt Belege dafür, dass Angreifer ihre Fähigkeiten weiterentwickelt haben, um ungeschützte SAP-Systeme durch die Ausnutzung von Schwachstellen auf Anwendungsebene – wie Fehlkonfigurationen und fehlende Sicherheitspatches – zu kompromittieren, wobei sie sowohl cloud lokale Umgebungen ins Visier nehmen.  

SAP hat bereits vor Jahren sichere Konfigurationen und Patches für die festgestellten Sicherheitslücken veröffentlicht, die von Angreifern ausgenutzt werden. Diese neuen Erkenntnisse deuten jedoch darauf hin, dass Angreifer Lücken in der Governance und eine unzureichende Absicherung von SAP-Anwendungen cloud vor Ort ausnutzen, um Datendiebstahl, Finanzbetrug und störende Angriffe – einschließlich Ransomware – durchzuführen. 

Von besonderer Bedeutung sind Ransomware- und Doppel-Erpressungsvorfälle (d. h. Angreifer, die die Daten der Opfer sowohl verschlüsseln als auch abziehen), die SAP-Anwendungen betreffen, sowie die Beobachtung von CISA und Onapsis, dass Angreifer bei Ransomware-Kampagnen ungepatchte Schwachstellen auf Anwendungsebene von SAP ausnutzen. Für zahlreiche große Unternehmen, für die SAP ein geschäftskritischer Vermögenswert und eines ihrer organisatorischen „Kronjuwelen“ ist, hätte ein erfolgreicher SAP-Ransomware-Angriff operative und finanzielle Auswirkungen in Höhe von Millionen von Dollar pro Stunde oder Tag. 

Darüber hinaus würde ein Ransomware-Angriff auf SAP angesichts der neuen Cybersicherheitsvorschriften der US-Börsenaufsichtsbehörde (SEC), die im Dezember 2023 in Kraft getreten sind, höchstwahrscheinlich einen „wesentlichen“ Cybersicherheitsvorfall darstellen, der innerhalb von vier Tagen nach Feststellung der Wesentlichkeit mittels des SEC-Formulars 8-K offengelegt werden muss. Die Prävention, schnelle Erkennung und Eindämmung von SAP-Sicherheitsverletzungen zur Vermeidung wesentlicher Auswirkungen war noch nie so wichtig wie heute.

Wie kann ich mich schützen?

Angesichts dieser perfekten „Cybersicherheits-Sturmfront“, von der SAP-Anwendungen betroffen sind, haben die meisten Unternehmen damit begonnen, ihre Cybersicherheits- und Compliance-Programme weiterzuentwickeln, um SAP-Systeme in das Schwachstellenmanagement, die kontinuierliche Bedrohungsüberwachung und DevSecOps einzubinden. Es war noch nie so wichtig, dies zu verstehen und richtig umzusetzen.

Wo fängt man an? Zunächst einmal muss man den aktuellen Reifegrad des eigenen Unternehmens in diesem Bereich ermitteln. Hier sind einige Fragen, die Sie Ihren SAP- und Informationssicherheitsteams stellen sollten:

  • Wie hoch sind die Kosten eines SAP-Ransomware-Angriffs für unser Unternehmen? Für viele Unternehmen können diese Kosten oft Millionen von Dollar pro Stunde oder Tag betragen.
  • Wie schützen wir SAP-Anwendungen über die Zugriffskontrollen (Benutzerrollen und Berechtigungen) hinaus? 
  • Haben wir im Security Operations Center einen vollständigen Überblick über unsere SAP-Landschaft?
  • Wie stellen wir effiziente SAP-Patching-Prozesse sicher? Wie sieht unser SLA aus? Fehlen uns wichtige SAP-Patches, die bereits vor Jahren veröffentlicht wurden?
  • Wie unterstützen wir unsere Teams mit SAP-spezifischen threat intelligence?
  • Verfügen wir über einen Schutz vor Zero-Day-Angriffen auf SAP-Systeme, der bereits vor der Veröffentlichung von Patches greift?

Sollten Sie feststellen, dass der Schutz der SAP-Kronjuwelen nicht mit Ihren Cybersicherheits- und Compliance-Programmen Schritt hält, ist es wichtig, Maßnahmen zu ergreifen und zunächst die Grundlagen abzudecken. Unser Expertenteam kann Sie bei diesem Prozess unterstützen. 

Wie kann ich mehr darüber erfahren?

Laden Sie den Bericht herunter, um sich einen Überblick über die vollständigen threat intelligence die wichtigsten Empfehlungen von Onapsis zu verschaffen, wie Sie sicherstellen können, dass Ihr Unternehmen gut vorbereitet ist und dem Schutz von SAP-Anwendungen Priorität einräumt.

Am 24. April veranstalten wir zudem ein Webinar, um diese Ergebnisse zu besprechen und Fragen zu unserer Studie sowie deren Bedeutung für Ihre Teams zu beantworten. Melden Sie sich hier an.

Stichworte, , , , ,
Über den Autor
Mariano Núñez

Mariano Núñez

Geschäftsführer und Mitbegründer

Als CEO und Mitbegründer von Onapsis bestimmt Mariano die strategische Ausrichtung des Unternehmens. Unter seiner Führung hat sich Onapsis zu einem der am schnellsten wachsenden Technologie- und Cybersicherheitsunternehmen weltweit entwickelt. Mit über 20 Jahren Erfahrung in der Cybersicherheitsbranche, sowohl als Führungskraft als auch als Cybersicherheitsexperte, war Mariano der Erste, der auf großen Konferenzen wie RSA, Black Hat und SANS öffentlich über Cybersicherheitsrisiken für ERP-Plattformen und deren Minderung referierte. Zu Marianos Beiträgen zur Cybersicherheits-Community zählen die Entwicklung der ersten Open-Source-Frameworks für SAP- und ERP-Penetrationstests sowie die Aufdeckung kritischer Zero-Day-Schwachstellen in Anwendungen von SAP, Oracle, IBM und Microsoft. Marianos Erkenntnisse werden regelmäßig in großen Medien wie CNN, Reuters, dem Wall Street Journal, Nasdaq, Fortune und der New York Times veröffentlicht.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen