Zusammenfassung der Sicherheitsbedrohung: Gemeldeter Cyberangriff auf SAP beeinträchtigt den Geschäftsbetrieb erheblich und gefährdet Daten bei einem globalen Hersteller

Zusammenfassung

Im April 2025 berichteten Onapsis, Regierungsbehörden und andere führende Cybersicherheitsunternehmen über eine groß angelegte, weltweite Angriffskampagne, die auf SAP-Anwendungen abzielte. Zwar reagierte SAP umgehend mit der Veröffentlichung neuer Sicherheitspatches, doch führten mehrere Angriffswellen dazu, dass Hunderte von anfälligen SAP-Systemen in verschiedenen Branchen und Organisationen kritischer Infrastrukturen von mehreren Gruppen von Angreifern kompromittiert wurden, darunter mit China verbundene Akteure und mit Russland in Verbindung stehende Ransomware-Gruppen. Diese erfolgreichen Angriffe führten zur vollständigen Fernkompromittierung von SAP-Anwendungen und bargen erhebliche operative, finanzielle, regulatorische und Reputationsrisiken für die betroffenen Organisationen.

Im Anschluss an diese ersten Aktivitäten veröffentlichte die Cyberkriminellen-Gruppe „Scattered LAPSUS$ Hunters“ (ShinyHunters) am 15. August 2025 einen öffentlichen SAP-Exploit. Dieses Tool ermöglichte es jedem Angreifer, anfällige SAP-Systeme unabhängig von der Branche einfacher und „schlüsselfertig“ aus der Ferne zu kompromittieren. Fast sofort wurde dieser Exploit von einer Vielzahl unterschiedlicher Angreifer genutzt, was eine Büchse der Pandora voller neuer Angriffe öffnete. In den letzten Wochen hat Onapsis einen erheblichen Anstieg der Angriffe sowie mindestens vier verschiedene Bedrohungscluster beobachtet, die sich unter Ausnutzung dieses Exploits direkt gegen SAP-Anwendungen richteten. Ab September 2025 tauchten erste öffentliche Berichte über neue Opfer auf.

SAP-Sicherheitslücke wurde Berichten zufolge ausgenutzt, was bei einem globalen Hersteller zu Betriebsstörungen und einem Datenleck führte

Anfang September 2025 gab ein großer globaler Hersteller öffentlich bekannt, dass sein Betrieb durch einen Cybervorfall gestört worden sei. Nach weiteren Untersuchungen bestätigte der Hersteller anschließend, dass es zu einem Datenleck gekommen war. Verschiedene Quellen berichten zudem, dass nun auch Regierungsbehörden eingeschaltet wurden. In Medienberichten wird auf erhebliche Auswirkungen auf den Betrieb des Herstellers hingewiesen – von der Produktion über die Lieferkette bis hin zu Vertrieb und Betriebsabläufen. Es wurde berichtet, dass Produktionsstätten stillgelegt wurden und die Werksmitarbeiter angewiesen wurden, bis auf Weiteres nach Hause zu gehen. Das Unternehmen stand vor kritischen Herausforderungen, darunter der Ausfall wichtiger IT-Systeme und ein insgesamt lahmgelegter Geschäftsbetrieb. Die anhaltende Stilllegung dauerte über sechs Wochen, bevor der Geschäftsbetrieb wieder aufgenommen werden konnte. Weitere Berichte wiesen darauf hin, dass dieser Cyberangriff erhebliche Auswirkungen auf die gesamte Wirtschaft sowie die Liefer- und Wertschöpfungsketten hatte und Tausende von Mitarbeitern sowie verschiedene Unternehmen betraf, die weltweit mit diesem Hersteller Geschäfte tätigen. Es wurde berichtet, dass der Vorfall zu einem Quartalsdefizit von 2,1 Milliarden US-Dollar im Vergleich zum Vorjahresquartal beitrug, was einer Verschlechterung des Vorsteuergewinns um 1,2 Milliarden US-Dollar entspricht und zu einem vierteljährlichen EBIT von -8,6 % führte (im Vergleich zu +5,1 % im gleichen Quartal des vorangegangenen Geschäftsjahres). Weitere Berichte wiesen darauf hin, dass das Unternehmen allein für diesen Angriff direkte, einmalige Cyber-bezogene Kosten in Höhe von ~260 Millionen US-Dollar verbuchte.

Nachrichtenberichten zufolge hat dieselbe Gruppe, die bereits für die Veröffentlichung des SAP-Exploits (sowie für vielbeachtete Angriffe auf Einzelhändler und Salesforce-Kunden) verantwortlich war, nämlich „Scattered LAPSUS$ Hunters“ (ShinyHunters), die Verantwortung für den Angriff übernommen und bekannt gegeben, dass sie sich durch Ausnutzung einer SAP-Sicherheitslücke Zugang zu ihrem Opfer verschafft habe.

Erhöhtes Geschäftsrisiko für globale Unternehmen aller Branchen

Wie die Onapsis Research Labs dieses Jahres feststellten, war das Risiko für Unternehmen mit anfälligen SAP-Systemen schon immer hoch, da die Ausnutzung dieser Art von Schwachstelle Angreifern völlig uneingeschränkten Fernzugriff auf geschäftskritische SAP-Daten und -Prozesse gewährt, einschließlich der Möglichkeit, vertrauliche und/oder regulierte Informationen zu entwenden, zu verändern oder zu löschen sowie den Betrieb zu stören. Die Ausnutzung umgeht herkömmliche SAP-Sicherheitskontrollen (wie Benutzerzugriff und Aufgabentrennung) und hinterlässt möglicherweise keine Spuren in den Standard-Auditprotokollen der SAP-Anwendung.

Die geschäftlichen Auswirkungen auf die betroffenen Organisationen variieren zwar je nach ihren Sicherheitskontrollen und den Motiven der Angreifer, können jedoch unter anderem Folgendes umfassen: Unterbrechung kritischer Dienste; Ransomware; unbefugte geschäftliche Aktivitäten (z. B. Änderung von Finanzunterlagen oder betrügerische Zahlungen); Diebstahl vertraulicher, sensibler und regulierter Informationen (z. B. personenbezogene Daten, Kundendaten oder Materialdaten); seitliche Bewegung in andere kritische interne Systeme sowie die Nichteinhaltung von Vorschriften wie SOX, DSGVO, HIPAA, NERC, NIS2 und anderen.

Zum 11. September 2025 Onapsis Research Labs das Risiko für große Organisationen aus folgenden Gründen als erhöht Onapsis Research Labs :

1.  Erfahrene Angreifer verfügen eindeutig über das Wissen, die Fähigkeiten und die Ressourcen, um angreifbare SAP-Anwendungen gezielt ins Visier zu nehmen und zu kompromittieren – mit der klaren Absicht, den Geschäftsbetrieb zu stören, Ransomware einzusetzen oder in ein Unternehmen einzudringen. Da Exploits mittlerweile öffentlich zugänglich sind, sind die Einstiegshürden für potenzielle oder weniger erfahrene Angreifer gesunken, was zu dem beobachteten Anstieg von Angriffen geführt hat, bei denen angreifbare SAP-Systeme ausgenutzt werden.
2. Im Rahmen verschiedener Projekte hat Onapsis festgestellt, dass zahlreiche Unternehmen bei der Bekämpfung dieser Sicherheitslücken, die ursprünglich im April/Mai bekannt wurden, nur unvollständige Maßnahmen ergriffen haben und/oder bereits kompromittiert wurden, bevor die Patches vollständig implementiert waren. Es wurden viele SAP-Systeme entdeckt, die bis heute noch aktive Hintertüren aufweisen.
3. Jeden Monat behebt SAP Dutzende neuer Sicherheitslücken. Vielen Unternehmen fehlen jedoch nach wie vor geeignete Kontrollmechanismen, um sicherzustellen, dass neue kritische Probleme umgehend und effizient behoben werden und aktive SAP-Bedrohungen in Echtzeit erkannt und überwacht werden können.

Sofortige empfohlene Maßnahmen zum Schutz Ihres Unternehmens

1. Stellen Sie sicher, dass kritische Sicherheitspatches, insbesondere der SAP-Sicherheitshinweis 3604119 (veröffentlicht am 13. Mai 2025) für CVE-2025-31324 und CVE-2025-42999 sowie die Patches für damit verbundene Deserialisierungsschwachstellen (Details), auf allen anfälligen SAP-Systemen in Ihrer Umgebung installiert wurden.
2. Führen Sie eine gründliche Kompromittierungsanalyse potenziell betroffener SAP-Systeme durch. Onapsis hat in Zusammenarbeit mit Mandiant am 16. Mai 2025 ein Open-Source-Tool vom Typ „Whitebox“ veröffentlicht, das Sicherheitsverantwortliche unterstützt und auf GitHub verfügbar ist.
3. Führen Sie von SAP empfohlene, spezifische Sicherheitsmaßnahmen für SAP-Anwendungen ein.