10KBLAZE
SCHUTZ VOR CYBER EXPLOITS, DIE FINANZBERICHTEN GEFÄHRLICH WERDEN KÖNNEN
HOHES KONFIGURATIONSRISIKO IN UNGESCHÜTZTEN SAP-IMPLEMENTIERUNGEN
Im April 2019 wurde in einem öffentlichen Forum über neue Exploits in SAP®-Geschäftsanwendungen berichtet. Obwohl diese Exploits auf fehlerhafte Systemeinstellungen zielen, die von SAP und Oracle bereits gemeldet worden waren, erhöhte ihre Bekanntmachung das Risiko erfolgreicher Cyber-Angriffe auf SAP-Implementierungen weltweit erheblich. Auf Basis der Auswertung hunderter SAP-Anwendungen und eigener Erkenntnisse über Cyber-Bedrohungen schätzt Onapsis, dass die Exploits neun von zehn SAP-Systemen von global mehr als 50.000 Kunden betreffen. Daher empfehlen wir Ihnen, sich umgehend über alle relevanten SAP-Sicherheitshinweise zu informieren und diese umzusetzen.
Aufgrund der Kritikalität des Risikos durch 10KBLAZE und unserer eigenen Erkenntnisse haben wir beschlossen, die Funktionen der Onapsis-Plattform als Open-Source-Komponenten bereitzustellen und allen SAP-Kunden sofort und kostenlos Signaturen zur Erkennung von Eindringlingen anzubieten. Zudem hat Onapsis gemeinsam mit internationalen Regierungsbehörden, SAP-Service-Providern sowie führenden Anbietern von Lösungen für die Erkennung von Cyber-Bedrohungen und Incident Response eine globale Strategie entwickelt, um betroffene Unternehmen bei der Identifizierung, Überwachung und Beseitigung von Schwachstellen zu unterstützen.
Wir haben einen umfassenden Bedrohungsbericht zu 10KBLAZE für Sie erstellt. Damit können Sie feststellen, ob Sie gefährdet sind, und geeignete Gegenmaßnahmen einleiten.
BEDROHUNGSBERICHT JETZT HERUNTERLADENZUSAMMENFASSUNG ZU BEDROHUNGEN ANZEIGEN
Wir haben eine Zusammenfassung für Führungskräfte erstellt, damit sie die geschäftlichen Auswirkungen von 10KBLAZE verstehen.
JETZT HERUNTERLADENSPRECHEN SIE MIT EINEM SAP-CYBERSICHERHEITSEXPERTEN
Fordern Sie eine Risikobewertung an um zu ermitteln, ob Ihre SAP-Systemumgebung diese kritischen Fehlkonfigurationen aufweist.
HÄUFIG
GESTELLTE FRAGEN
ÜBER DIE CERT-WARNUNG FÜR SAP-SYSTEME
WAS IST 10KBLAZE? WAS BEDEUTET DER BEGRIFF?
10KBLAZE ist der Name, den Onapsis einer Reihe öffentlich bekanntgemachter SAP-Exploits gab. Der Begriff wurde aufgrund des hohen Risikopotenzials dieser Exploits gewählt, kritische Geschäftsinformationen und -prozesse zu beeinträchtigen. So kann die Kritikalität dieser Geschäftsrisiken dazu führen, dass die US-amerikanische Security and Exchange Commission (SEC) von einem Unternehmen verlangt, seinen jährlichen Jahresbericht als genormtes „10-K“-Formular abzugeben und damit verschärften Offenlegungspflichten nachzukommen.
WAS IST EINE US-CERT-WARNUNG UND WARUM IST SIE WICHTIG?
Laut US-CERT "stellen Warnungen zeitnahe Informationen zu aktuellen Sicherheitsproblemen, Schwachstellen und Exploits bereit". US-CERT-Warnmeldungen werden vom US-Ministerium für Innere Sicherheit ausgegeben und enthalten Details zu bestimmten Risiken und Bedrohungen für globale Organisationen. Jährlich werden nur wenige solcher Warnungen publiziert, die die bedeutsamsten Risiken und Bedrohungen adressieren. 10KBLAZE löste die zweite Warnung im Jahr 2019 und die dritte Warnung zu ERP-Anwendungen seit 2016 aus.
WIE STEHEN 10KBLAZE UND DIE US-CERT-WARNUNG AA19-122A IN BEZIEHUNG?
US-CERT-Warnung AA19-122A wurde vom US-Ministerium für Innere Sicherheit aufgrund der kritischen Natur der 10KBLAZE-Exploits ausgegeben, die am 19. April 2019 veröffentlicht worden waren. Damit sollten Organisationen vor diesen Exploits gewarnt und bei der Umsetzung von Abwehrmaßnahmen unterstützt werden. Ziel war es, die Risiken zu senken, dass diese Schwachstellen ausgenutzt und SAP-Daten kompromittiert werden.
ICH BIN SAP-KUNDE. WIE MUSS ICH AUF DIESE WARNUNG REAGIEREN?
Die US-CERT-Warnung AA19-122A ist essenziell für SAP-Kunden, damit sie verstehen, wie gefährlich SAP-Konfigurationen für ihre gesamte Sicherheitslage werden können, wenn diese nicht richtig gepflegt und gesichert werden. Es ist für sie wichtig, den Status quo in Bezug auf die SAP-Cybersicherheit im Unternehmen zu kennen und die internen Stakeholder für den Schutz von SAP-Anwendungen zu sensibilisieren.
ICH BIN SAP-KUNDE. WOHER WEIß ICH, OB ICH VON DEN IN WARNUNG AA19-122A GENANNTEN PROBLEMEN BETROFFEN BIN?
Die in dieser Warnung genannten Exploits betreffen Systeme, die auf SAP NetWeaver laufen, der Basis-Plattform für die geschäftskritischsten Anwendungen von Unternehmen. Wenn Sie Anwendungen wie SAP ERP (ECC), SAP S/4HANA, SAP Solution Manager, SAP Business Suite oder andere NetWeaver-basierten Systeme betreiben, müssen Sie geeignete Prozesse installieren, um Transparenz und Kontrolle über die SAP-Cybersicherheitsrisiken zu gewinnen.
WELCHE MAßNAHMEN EMPFIEHLT US-CERT IN WARNUNG AA19-122A?
Auf Basis der veröffentlichten 10KBLAZE-Exploits bietet das US-Ministerium für Innere Sicherheit weitere Details zu Komponenten, die zusätzlich gesichert werden müssen, wie Message Server und SAP Gateway. Zudem gibt es folgende Empfehlungen zur Reduzierung der mit den Exploits verbundenen Risiken:
- Organisationen müssen in der Lage sein, die Konfigurationen von SAP-Anwendungen zu sichern. Dazu benötigen sie Funktionen, die für Transparenz, Überwachung und Vorbeugung kritischer SAP-Systemeinstellungen sorgen.
- Organisationen benötigen Einblick in SAP-Anwendungen, besonders wenn diese mit dem Internet verbunden sind, um Sicherheitsrisiken zu erkennen und zu verhindern.
SIND PATCHES FÜR DIE IN US-CERT-WARNUNG AA19-122A GENANNTEN BEDROHUNGEN VERFÜGBAR?
Die in der Warnung beschriebenen Schwachstellen sind seit Jahren bekannt und wurden in mehreren SAP-Sicherheitshinweisen dokumentiert. Unternehmen finden in den SAP-Sicherheitshinweisen #1408081, #821875 und #1421005 zusätzliche Details zur sicheren Konfiguration von SAP Message-Server und SAP Gateway.
ICH BIN ONAPSIS-KUNDE. BIN ICH VOR DEN IN US-CERT-WARNUNG AA19-122A GENANNTEN RISIKEN GESCHÜTZT?
Ja, die Onapsis Security Platform bietet Unternehmen drei Möglichkeiten, die Risiken zu senken, die durch die beschriebenen Exploits und Fehlkonfigurationen entstehen:
- Bestimmung des Gefährdungszustands
- Überwachung und Erkennung von Angriffen, die durch Fehlkonfigurationen möglich werden
- Anpassung und Schutz der Systemeinstellungen, um künftige Gefährdungen zu vermeiden
WARUM SIND SO VIELE UNTERNEHMEN DURCH DIE GENANNTEN SCHWACHSTELLEN GEFÄHRDET?
10KBLAZE und die zugehörige US-CERT-Warnung AA19-122A liefern den zwingenden Beweis, dass Unternehmen das Thema Cybersicherheit für ERP-Anwendungen programmatisch angehen müssen. Das heißt konkret: Sie müssen ihrer IT-Sicherheitsabteilung Governance und Kontrolle über die ERP-Risiken sowie ihren anderen Teams Transparenz ermöglichen. Traditionell wird ERP-Sicherheit als Synonym für Segregation of Duties sowie Rollen- und Profilkonzepte betrachtet. Dies verursacht eine Lücke in den Sicherheitsrichtlinien und -vorgaben, die das IT-Sicherheitsteam unternehmensweit definiert hat.
MEIN SAP-SYSTEM WIRD KONTINUIERLICH AUDITIERT. WARUM WURDEN DIE IN US-CERT-WARNUNG AA19-122A GENANNTEN RISIKEN NICHT WÄHREND DER INTERNEN/EXTERNEN AUDITS ENTDECKT?
Klassische Audits decken diese Risikotypen in der Regel nicht ab. Wir gehen aber davon aus, dass externe Auditfirmen ihre Kontrollen (die sich noch überwiegend auf Segregation of Duties beziehen) ausweiten werden, um in naher Zukunft auch SAP-Cybersicherheitsrisiken zu adressieren. Der gegenwärtige Zustand ist zweifellos nicht tragbar, da die Exploits ausgenutzt werden können, um Finanzdaten zu ändern, sensible Informationen zu stehlen und geschäftskritische Prozesse zum Erliegen zu bringen. Wir empfehlen Unternehmen daher dringend, ihren internen Auditprozess auszuwerten und sicherzustellen, dass diese zusätzlichen Kontrollen einbezogen werden, um Geschäftsrisiken proaktiv zu begegnen.
WARUM VERÖFFENTLICHEN SIE DIESEN BEDROHUNGSBERICHT? WARUM WIRD IHM SO VIEL BEDEUTUNG BEIGEMESSEN?
Am 23. April 2019 erfuhren die Onapsis Research Labs, dass verschiedene neue Exploits, die auf Fehlkonfigurationen von SAP Gateway und Message-Server zielen, öffentlich gemacht worden waren. Diese Systemeinstellungen waren bereits zuvor bekannt und wurden den Kunden von SAP® und Onapsis im Rahmen von SAP-Sicherheits- und Bedrohungshinweisen mitgeteilt. Die öffentliche Bekanntmachung dieser Exploits jedoch erhöhte die Wahrscheinlichkeit ihrer Ausnutzung erheblich. Denn damit sind externe wie interne Angreifer – von staatlich geförderten Gruppen bis hin zu unzufriedenen Mitarbeitern – in der Lage, die fehlerhaften Systemeinstellungen für sich auszunutzen – mit möglicherweise schwerwiegenden Folgen für den Geschäftsbetrieb. Nach der Analyse hunderter SAP-Kundenimplementierungen fand Onapsis heraus, dass rund 90 Prozent davon gefährdet waren, bevor eine individuelle Risikobewertung vorgenommen oder die Onapsis Security Platform implementiert werden konnte. Das Onapsis-Team ist überzeugt, dass es diese Risiken unbedingt erfordern, das Thema öffentlich zu machen und die SAP-Kunden über die versteckten Bedrohungen in ihren Netzwerken zu informieren.
WELCHE SYSTEME SIND GEFÄHRDET?
Alle SAP NetWeaver Application Server (AS)- und S/4HANA-Systeme sind potenziell betroffen, da Message-Server und Gateway in jeder SAP-Umgebung zum Einsatz kommen. Zu den gefährdeten Systemen zählen die SAP Business Suite, SAP ERP, SAP CRM, SAP S/4HANA, SAP Solution Manager, SAP GRC Process and Access Control, SAP Process Integration/Exchange Infrastructure (PI/XI), SAP Solution Manager, SAP SCM, SAP SRM und andere.
WELCHE AUSWIRKUNGEN HAT EIN RISIKO WIE 10KBLAZE AUF MEINEN GESCHÄFTSBETRIEB?
Gefährdete SAP-Anwendungen können von einem nicht-autorisierten Angreifer remote kompromittiert werden, der lediglich Netzwerkzugriff auf das System hat (dazu sind keine gültige SAP USER-ID und kein Password erforderlich). Der Angreifer kann damit unbeschränkten Zugang zu SAP-Systemen erhalten und die Plattform sowie sämtliche enthaltenen Informationen kompromittieren, um die Daten zu ändern oder zu stehlen oder sogar das komplette System abzuschalten. Er ist in der Lage, Order-to-Cash, Procure-to-Pay, Lagerverwaltung, Treasury, Tax, HR & Payroll und andere von SAP unterstützte Geschäftsprozesse zu kontrollieren – und damit die Integrität der Geschäftsinformationen zu gefährden, die für die Erstellung der Finanzberichte verwendet werden. Ein Angreifer, der diese Schwachstellen ausnutzt, kann zahlreiche kritische Geschäftstransaktionen ausführen, zum Beispiel:
- Erzeugung von Fake-Anbietern
- Erzeugung von Fake-Mitarbeitern
- Erstellung/Änderung von Bestellungen
- Änderung von Bankkonten
- Zahlungen an beliebige Anbieter oder Mitarbeiter
- Freigabe von Lieferungen
- Änderung von Bestandsdaten
- Erstellung gefälschter Managementberichte
- Umgehung automatischer Geschäftskontrollen
Da jeder Angreifer, der auf diese Weise betrügt, sämtliche Spuren oder Belege seiner Aktionen beseitigen kann, bleiben diese unentdeckt.
SOLLTE MEIN UNTERNEHMEN DIESE RISIKEN IN DEN JÄHRLICHEN FINANZBERICHT AUFNEHMEN?
Dies ist eine Frage, die Ihre Geschäftsleitung mit dem Aufsichtsrat und dem unabhängigen Auditor erörtern muss. Wenn in Ihrem Unternehmen tatsächlich ein Risiko besteht, sollten Sie alle gemeinsam die Dringlichkeit, Wahrscheinlichkeit und die Möglichkeit seiner Erkennung bewerten. Letztlich entscheidet der unabhängige Auditor, ob 10KBLAZE als Risiko für die Integrität Ihrer Finanzberichte eingestuft wird. Onapsis kann Ihr Management und Ihren Auditor nur fachgerecht beraten und unterstützen.
WER IM UNTERNEHMEN SOLLTE ÜBER DIE RISIKEN INFORMIERT WERDEN?
Auf jeden Fall gehört das Management dazu – vom CISO und CIO bis hin zu CFO und CEO. Zudem sollten Ihr internes Auditteam und Ihr Verantwortlicher für Compliance und Auditing als unabhängige Instanzen die Risiken aus geschäftlicher Perspektive bewerten und das Ergebnis dem Audit Committee präsentieren.
WIE KOMME ICH AN DIE VON SAP VERÖFFENTLICHTEN PATCHES?
SAP-Kunden können sich selbst schützen, indem sie die unten genannten SAP-Sicherheitshinweise anwenden, die Abwehrmaßnahmen enthalten (erfordert SAP-Login):
KÖNNEN DIE RISIKEN VON MEINER GRC-LÖSUNG / MEINEN SEGREGATION OF DUTIES (SOD)-KONTROLLEN ERKANNT WERDEN?
Leider lassen sich Fehlkonfigurationen nicht im Rahmen von SAP GRC- oder SOD-Kontrollen entdecken. Unternehmen müssen dafür eine manuelle Prüfung durchführen oder eine spezielle automatisierte Lösung einsetzen.
WIE SIEHT ES MIT ALLGEMEINEN IT-KONTROLLEN AUS?
Auch allgemeine IT-Kontrollen sind nicht in der Lage, die fehlerhaften Systemeinstellungen aufzuspüren. Selbst wenn die allgemeinen IT-Kontrollen für Ihre SAP ERP-Anwendungen ansonsten zufriedenstellend verlaufen, sind die durch 10KBLAZE verursachten Risiken gleichbedeutend mit der Kombination mehrerer ITGC (IT General Control)-Lücken. Nach unseren Erfahrungen werden diese Risiken in der Regel nicht von traditionellen Audits abgedeckt. Daher raten wir den internen und externen Auditoren, die 10KBLAZE-Risikobewertung in die allgemeinen IT-Kontrollen für SAP-Systeme aufzunehmen.
WIE KANN ICH ERKENNEN, OB MEIN UNTERNEHMEN DURCH ANGRIFFE DIESER ART KOMPROMITTIERT WURDE?
Mit der Onapsis Security Platform lässt sich herausfinden, ob die Schwachstellen in Ihren SAP-Systemen aktiv ausgenutzt wurden. Sollten Sie Befürchtungen haben, dass dies bereits geschehen ist, wenden Sie sich bitte für weitere Details an Onapsis.
WARUM BIETEN SIE OPEN-SOURCE-SIGNATUREN AN?
Aufgrund der Kritikalität des Risikos durch 10KBLAZE und unserer eigenen Threat-Intelligence-Erkenntnisse haben wir beschlossen, die Funktionen der Onapsis Security Platform als Open-Source-Komponenten anzubieten und allen SAP-Kunden sofort und kostenlos Signaturen zur Erkennung von Eindringlingen bereitzustellen. Zudem haben wir gemeinsam mit internationalen Regierungsbehörden, SAP-Service-Providern sowie führenden Anbietern von Lösungen zur Erkennung von Cyber-Bedrohungen und Incident Response eine globale Strategie entwickelt, um betroffene Unternehmen bei der Identifizierung, Überwachung und Beseitigung von Schwachstellen zu unterstützen.
REICHT ES AUS, WENN ICH DIE ERKENNUNGSSIGNATUR IN MEINER FIREWALL HABE?
Das Einbinden von Erkennungssignaturen in Firewall-Lösungen ist zwar wichtig. Jedoch sind Ihr Unternehmen und Ihre Systeme erst dann sicher, wenn Sie die betreffenden SAP-Sicherheitshinweise umsetzen.
WURDEN DIESE SCHWACHSTELLEN BEI SAP-KUNDEN BEREITS KOMPROMITTIERT?
Onapsis hat keine Anhaltspunkte dafür, dass diese Schwachstellen bis jetzt ausgenutzt wurden. Nach unseren praktischen Erfahrungen mit Kunden, Partnern und potenziellen Neukunden können wir jedoch bestätigen, dass 90 Prozent der fehlkonfigurierten SAP-Implementierungen anfällig für 10KBLAZE-Exploits sind. Da die meisten Unternehmen nicht erkennen können, ob diese Fehlkonfigurationen ausgenutzt wurden, kann eine Systemkompromittierung tatsächlich unerkannt bleiben.
ÜBER DIE SAP-CYBERSICHERHEITSEXPERTISE VON ONAPSIS
WIE VIELE SCHWACHSTELLEN IN SAP NETWEAVER SIND ES, BEI DEREN BEHEBUNG SAP VON DEN ONAPSIS RESEARCH LABS SAP BIS HEUTE UNTERSTÜTZT WURDE?
Als führender SAP-Partner im Bereich Cybersicherheit haben wir über 400 Sicherheitsschwachstellen in SAP NetWeaver an SAP gemeldet und die Behebung unterstützt.
WIE ARBEITEN DIE ONAPSIS RESEARCH LABS MIT SAP ZUSAMMEN?
Wenn die Onapsis Research Labs eine potenzielle Schwachstelle identifizieren, benachrichtigen sie umgehend SAP, damit mit der Evaluierung und Erstellung eines Patches für die gemeldete Fehlkonfiguration und Schwachstelle begonnen werden kann. Dabei stellen wir SAP alle Informationen bereit, die zur Erstellung eines Patches erforderlich sind. Wir veröffentlichen niemals Informationen zu einer Fehlkonfiguration oder Schwachstelle, bevor SAP ein Patch verfügbar gemacht hat.
SIND ONAPSIS-KUNDEN VOR DIESEN SCHWACHSTELLEN GESCHÜTZT?
Ja, denn die Onapsis Security Platform bietet den Unternehmen drei Möglichkeiten, die Risiken zu senken, die durch die beschriebenen Exploits und Fehlkonfigurationen entstehen:
- Bestimmung des Gefährdungszustands
- Überwachung und Erkennung von Angriffen, die durch Fehlkonfigurationen möglich werden
- Anpassung und Schutz der Systemeinstellungen, um künftige Gefährdungen zu vermeiden
WIE KANN ICH PRÜFEN, OB ES FEHLKONFIGURATIONEN AKTUELL IN MEINER SAP-SYSTEMUMGEBUNG GIBT?
Für Unternehmen, die keine OSP-Kunden sind, kann Onapsis eine Risikobewertung vornehmen. So können Sie schnell ermitteln, ob Ihre SAP-Systeme anfällig für einen Angriff sind.
Wünschen Sie weitere Informationen? Dann kontaktieren Sie uns unter [email protected].