Warum es jetzt an der Zeit ist, Ihre geschäftskritischen SAP-Anwendungen zu schützen

Von:

3. Mai 2022

Geschäftskritische Anwendungen wie SAP sind das Herzstück eines Unternehmens. Angesichts der Tatsache, dass 77 % des weltweiten Transaktionsumsatzes über ein SAP-System abgewickelt werden und 92 % der Forbes Global 2000-Unternehmen SAP nutzen, könnte ein koordinierter und erfolgreicher Angriff auf ungeschützte SAP-Systeme weitreichende Folgen haben. Da sich die Bedrohungslage ständig weiterentwickelt, gibt es eine Lücke in Ihren mehrschichtigen Sicherheitsmodellen – die Anwendungsebene. Traditionell gingen Sicherheits- und IT-Teams davon aus, dass diese Anwendungen vor Angreifern „sicher“ seien, da sie sich vor Ort, hinter dem Netzwerkschutz und außerhalb der Reichweite von Angreifern befanden. Das ist heute nicht mehr der Fall. Wie aus threat intelligence SAP und den Onapsis Research Labs hervorgeht, zielen Angreifer zunehmend direkt auf die Anwendungsebene ab. Diese Cyberkriminellen verfügen über die Motivation, die Mittel und das Fachwissen, um ungeschützte geschäftskritische SAP-Anwendungen zu identifizieren und auszunutzen – und tun dies auch aktiv.

Siehe auch:Warum es jetzt an der Zeit ist, Ihre geschäftskritischen SAP-Anwendungen abzusichern

Was steht auf dem Spiel? 

Compliance, geschäftskritische Abläufe, Umsatz und mehr … Angreifer, die Zugriff auf ein ungeschütztes SAP-System haben, können personenbezogene Daten (PII) von Mitarbeitern, Kunden und Lieferanten stehlen, auf Finanzdaten zugreifen, Ransomware einsetzen und geschäftskritische Prozesse wie das Lieferkettenmanagement stören. Für Unternehmen, die gesetzliche Compliance-Vorgaben erfüllen müssen, kann ein solcher Vorfall zu kostspieligen Audits durch Dritte und Strafen führen, darunter Geldbußen und rechtliche Schritte. Angesichts der Tatsache, dass SAP-Software weltweit von mehr als 400.000 Unternehmen genutzt wird, ist der Bedarf an anwendungsspezifischer Sicherheit von entscheidender Bedeutung. 

In einem aktuellen Bericht von SAPinsider gab ein Drittel der Befragten an, dass sie bereits Opfer eines Angriffs auf ihre Zugangsdaten, von Malware oder eines Cyberangriffs geworden sind, der sich auf ihre SAP-Umgebung ausgewirkt hat. Während einige den normalen Geschäftsbetrieb in weniger als einem Tag wiederherstellen konnten, dauerte es bei über 60 % eine Woche oder länger, bis der Betrieb wieder lief. Für viele Unternehmen können Ausfallzeiten ihrer SAP-Systeme stündliche Umsatzverluste in Höhe von bis zu Zehntausenden Euro bedeuten. Stellen Sie sich den Umsatzverlust vor, wenn diese SAP-Systeme eine Woche oder länger offline wären

In den letzten Monaten haben wir die Folgen erfolgreicher Angriffe erlebt, und die damit verbundenen negativen wirtschaftlichen und beruflichen Auswirkungen waren noch nie so groß wie heute. 

ICMAD-Sicherheitslücken in SAP-Anwendungen

Onapsis und SAP haben gemeinsam eine Reihe von drei Sicherheitslücken entdeckt und Maßnahmen zu deren Behebung erarbeitet, die die Komponente „SAP Internet Communication Manager“ (ICM) in geschäftskritischen SAP-Anwendungen betreffen. Diese Sicherheitslücken erfordern bei den meisten SAP-Kunden sofortiges Handeln. Eine der Schwachstellen, CVE-2022-22536, erhielt die höchstmögliche Risikobewertung von 10 von 10 Punkten. Infolgedessen hat die CISA eine „Current Activity Alert“-Warnung herausgegeben. Werden diese Schwachstellen ausgenutzt, ermöglichen sie Angreifern, schwerwiegende böswillige Aktivitäten gegen SAP-Benutzer, Geschäftsinformationen und Prozesse durchzuführen – und letztlich ungepatchte SAP-Anwendungen zu kompromittieren.

Log4J-Sicherheitslücke

cloud threat intelligence cloud Onapsis Research Labscloud , welche Auswirkungen diese Sicherheitslücke auf einige der am häufigsten verwendeten SAP-Produkte hat. Zwar konnten wir keine Angriffe feststellen, die direkt auf SAP-Systeme abzielten, doch haben wir Folgendes beobachtet: 

  • Über 9.600 Angriffe und mehr als 200 Varianten
  • Über 400 einzelne Hosts versuchen, die Log4j-Sicherheitslücke in unserer cloud auszunutzen
  • Zu den Versuchen von Angreifern, Firewalls zu umgehen, gehören die Verwendung der Base64-Kodierung, die Kombination von Groß- und Kleinbuchstaben sowie die Nutzung von Verschleierungstechniken, um einen String-Abgleich zu vermeiden
  • Zu den Versuchen nach dem Angriff gehörten die Installation von Krypto-Minern und der Diebstahl von AWS-Zugangsdaten 

Die Bedrohung durch Log4j ist sehr real und sehr gefährlich. Alle Organisationen sollten daher anfällige Software und Systeme identifizieren und unverzüglich Maßnahmen ergreifen, um die Log4j-Sicherheitslücke zu schließen oder zu beheben.

Ransomware

Fast täglich hören wir von einem neuen Fall von Ransomware, wobei sich die jüngsten Nachrichten vor allem um schwerwiegende Angriffe auf geschäftskritische Systeme großer Unternehmen drehen – von Kraftstoff- und Energieunternehmen bis hin zu Lebensmittelverarbeitern. Es ist nicht so, dass diese Unternehmen keine Maßnahmen zum Schutz dieser Ressourcen ergriffen hätten; es ist nur so, dass die „traditionelle“ Art der Vorbereitung auf und Reaktion auf Ransomware die Anwendungsebene nicht berücksichtigt. Schwachstellen wie 10KBLAZE, PayDay und RECON ermöglichen es Angreifern, über die Anwendungsebene selbst control vollständige control Anwendungen zu erlangen. Diese Angreifer gehen direkt auf die Anwendung zu und dringen von dort aus bis auf die Ebene des Betriebssystems vor. Onapsis hat beobachtet, dass neue, ungeschützte SAP-Anwendungen, die in IaaS-Umgebungen bereitgestellt wurden, von Angreifern entdeckt und in weniger als drei Stunden angegriffen wurden, wobei über 400 erfolgreiche Exploits festgestellt wurden. In diesem whitepaper skizzieren SAP und Onapsis mehrere wichtige Schritte, die Unternehmen ergreifen können, um das Risiko eines Angriffs auf ihre geschäftskritischen SAP-Anwendungen zu minimieren. 

Elefantenkäfer

Im Januar 2022veröffentlichte das Incident-Response-Team von Sygniaeinen Bericht, in demdie Aktivitäten der Hackergruppe „Elephant Beetle“ detailliert beschrieben wurden, die zum Diebstahl von Millionen von Dollar bei Organisationen des lateinamerikanischen Finanzsektors geführt hatten.Cloud Threat Intelligence Cloud Onapsis Research LabsCloud Aktivitäten im Zusammenhang mit zwei im Sygnia-Bericht erwähnten SAP-NetWeaver-Java-Schwachstellen. Dabei wurden seit Januar 2020 über 350 Ausnutzungsversuche festgestellt, wobei die überwiegende Mehrheit der von Onapsis beobachteten Exploit-Versuche aus Asien und den USA stammt, was darauf hindeutet, dass die Bedrohungsgruppen diese Schwachstellen weltweit ausnutzen.

Es ist klar, dass die Angreifer nicht warten – warum also tun Sie es?

Ein Angriff auf eines dieser Systeme kann schwerwiegende Folgen für Ihr Unternehmen haben. Die richtige anwendungsbasierte Lösung für das Schwachstellenmanagement bietet Unternehmen einen umfassenden Einblick in die Anwendungslandschaft, automatisiert Bewertungen und verkürzt die Behebungszeiten, sodass Teams mit weniger Aufwand eine größere Risikominderung erzielen können. Jetzt ist es an der Zeit, Ihre SAP-Systeme zu schützen; erfahren Sie, wie Onapsis Ihnen dabei helfen kann.

Stichwörter, ,
Über den Autor

Maaya Alagappan

Maayaa Alagappan ist eine Marketingexpertin mit einem besonderen Schwerpunkt auf Datenschutz und Risikomanagement. Sie nutzt ihr Fachwissen im Bereich Cybersicherheit, um Strategien zu entwickeln, die nicht nur sensible Daten schützen, sondern auch das Vertrauen der Kunden stärken. Indem sie Sicherheitsmaßnahmen mit Marketingzielen in Einklang bringt, unterstützt Maayaa Unternehmen dabei, den Ruf ihrer Marke zu stärken und die Einhaltung gesetzlicher Vorschriften in einem zunehmend digitalen Marktumfeld sicherzustellen. Ihre einzigartige Kombination aus Marketing- und Cybersicherheitskenntnissen macht sie zu einer wertvollen Bereicherung bei der Entwicklung von Kampagnen, die sowohl Kundenbindung als auch Datenschutz in den Vordergrund stellen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen