Zusammenfassung der Sicherheitsbedrohungen für Führungskräfte: Kritische Zero-Day-Sicherheitslücken bei SAP werden weltweit aktiv ausgenutzt

Zusammenfassung

Zwei kritische Sicherheitslücken in SAP-Systemen werden mindestens seit dem 12. März 2025 aktiv ausgenutzt. Diese Probleme betreffen eine Komponente des SAP NetWeaver Java Application Server, der wichtige Unternehmenslösungen wie SAP ERP, SCM, PI/PO, SRM, PLM, CRM, EP, BI/BW, HCM und viele andere unterstützt. Obwohl diese Komponente glücklicherweise nicht standardmäßig aktiviert ist, Onapsis Research Labs , dass über 4.000 dieser Systeme direkt über das Internet erreichbar waren und 50–70 % von ihnen zum Zeitpunkt des Beginns dieser Angriffskampagne über die anfällige Komponente verfügten.

Nachrichtendienstberichten zufolge wurden Hunderte von SAP-Systemen kompromittiert, und viele sind auch heute noch anfällig. Die Angriffe werden von verschiedenen Gruppen von Angreifern durchgeführt, darunter Akteure mit Verbindungen nach China und mit Russland verknüpfte Ransomware-Gruppen, und richten sich gezielt gegen SAP-Kunden in verschiedenen Branchen und Regionen. Erfolgreiche Angriffe führen zu einer vollständigen Kompromittierung von SAP-Anwendungen und bergen erhebliche operative, finanzielle, regulatorische und Reputationsrisiken für die betroffenen Unternehmen. SAP reagierte schnell und veröffentlichte am 24. April 2025 sowie am 13. Mai 2025 dringende kritische Patches, um die Sicherheitslücken zu schließen. SAP, Onapsis und globale Regierungsbehörden fordern SAP-Kunden dringend auf, unverzüglich Maßnahmen zum Schutz ihrer Unternehmen zu ergreifen.

Was ist das Geschäftsrisiko?

Durch die Ausnutzung dieser Schwachstellen können nicht authentifizierte Angreifer uneingeschränkten Fernzugriff auf geschäftskritische SAP-Daten und -Prozesse erlangen, einschließlich der Möglichkeit, vertrauliche und/oder regulierte Informationen zu entwenden, zu verändern oder zu löschen sowie den Betrieb zu stören. Die Ausnutzung umgeht herkömmliche SAP-Sicherheitskontrollen (wie Benutzerzugriff und Aufgabentrennung) und hinterlässt möglicherweise keine Spuren in den Standard-Auditprotokollen der SAP-Anwendung.

Die geschäftlichen Auswirkungen auf betroffene Organisationen könnten erheblich sein, darunter (unter anderem) die Unterbrechung kritischer Dienste; Ransomware; unbefugte geschäftliche Aktivitäten (z. B. die Änderung von Finanzunterlagen oder betrügerische Zahlungen); der Diebstahl vertraulicher, sensibler und regulierter Informationen (z. B. personenbezogene Daten, Kundendaten oder Materialdaten); seitliche Ausbreitung auf andere kritische interne Systeme sowie die Nichteinhaltung von Vorschriften wie SOX, DSGVO, HIPAA, NERC, NIS2 und anderen.

Zentrale Herausforderungen, die sofortige Aufmerksamkeit erfordern

Onapsis nennt drei zentrale Herausforderungen, mit denen zahlreiche Unternehmen angesichts dieser anhaltenden Angriffskampagne nach wie vor konfrontiert sind:

1. Viele Unternehmen verfügen auch heute noch über anfällige SAP-Systeme, die mit dem Internet verbunden sind. Warum? Möglicherweise sind sich die Cybersicherheitsteams dessen nicht bewusst, weil ihnen der Überblick über SAP-Patches oder kritische Warnmeldungen fehlt, geschäftskritische SAP-Anwendungen möglicherweise nicht die erforderliche Ausfallzeit erhalten haben und/oder es wurden möglicherweise unwirksame vorübergehende Abhilfemaßnahmen ergriffen.
2. Viele Unternehmen haben die SAP-Sicherheitspatches oder Workarounds installiert, sind sich jedoch nicht bewusst, dass ihreSysteme bereits kompromittiert wurden. Warum? Den Verantwortlichen für SAP-Anwendungen ist das Konzept der „Zero-Day-Angriffe“ möglicherweise nicht geläufig: Angreifer haben ihre Systeme möglicherweise bereitskompromittiert, bevor ein Sicherheitspatch verfügbar war, und die Installation des Patches beseitigt ihren unbefugten Zugriff nicht.
3. Viele Unternehmen haben unvollständige Untersuchungen durchgeführt und sind möglicherweise weiterhin Angriffen durch raffinierte Angreifer ausgesetzt. Warum? In ersten Berichten wurde die Bedrohung falsch eingestuft, was dazu führte, dass die Ermittler nur nach gefährlichen Dateien (z. B. Webshells) suchten. Onapsis gelang es, die tatsächlichen Zero-Day-Angriffe zu rekonstruieren, was zu einer Verbesserung der Ermittlungsmethoden führte, die für die Aufdeckung verdeckter Angriffe erforderlich sind.

Maßnahmen, die Sie heute ergreifen sollten

Zum Schutz Ihrer Organisation werden die folgenden Maßnahmen dringend empfohlen:

• Lassen Sie Ihre Teams den kumulativen SAP-Sicherheitshinweis 3604119 unverzüglich installieren
• Falls ein Patch nicht möglich ist, wenden Sie dievon SAP empfohlene Abhilfemaßnahme an und/oder schränken Sie den Netzwerkzugang nach Möglichkeit ein.
• Führen Sie eine gründliche Kompromittierungsanalyse der potenziell betroffenen Systeme durch.
• Führen Sie von SAP empfohlene, spezifischeSicherheitsmaßnahmen für SAP-Anwendungen ein.

Ausführliche technische Informationen und weitere Ressourcen finden Sie hier

Wenden Sie sich an die Experten von Onapsis, wenn Sie Unterstützung bei der SAP-Incident-Response oder weitere Beratung benötigen, unter [email protected]