10 KBLAZE

Schutz vor Cyberangriffen, die den Jahresabschluss zunichte machen können

Kritisches Sicherheitsrisiko bei ungeschützten SAP-Implementierungen

Im April 2019 wurden in einem öffentlichen Forum mehrere neue Exploits veröffentlicht, die auf SAP®-Geschäftsanwendungen abzielen. Obwohl die Exploits auf unsichere Konfigurationen abzielen, auf die SAP SE und Onapsis bereits in der Vergangenheit hingewiesen haben, erhöht ihre Veröffentlichung das Risiko erfolgreicher Cyberangriffe auf SAP-Implementierungen weltweit erheblich. Basierend auf Hunderten von SAP-Implementierungsbewertungen und den proprietären threat intelligence Onapsis schätzen wir, dass diese Exploits 9 von 10 SAP-Systemen bei mehr als 50.000 Kunden weltweit betreffen könnten. Wir empfehlen Ihnen, alle relevanten SAP-Sicherheitshinweise unverzüglich zu prüfen und anzuwenden.

Angesichts der hohen Gefährlichkeit des von 10KBLAZE ausgehenden Risikos und der Erkenntnisse aus unseren threat intelligence hat Onapsis beschlossen, Teile der Platform als Open Source zur Verfügung zu stellen Platform Signaturen zur Erkennung von Eindringlingen ab sofort allen SAP-Kunden kostenlos zugänglich zu machen. Darüber hinaus hat Onapsis eine weltweite Reaktion in Abstimmung mit internationalen Regierungsbehörden, globalen SAP-Dienstleistern und führenden Unternehmen im Bereich der Erkennung von Cyberbedrohungen und der Reaktion auf Vorfälle koordiniert, um die Erkennung, Überwachung und Behebung von Schäden bei betroffenen Organisationen weltweit zu ermöglichen.

Wir haben einen umfassenden Sicherheitsbericht erstellt, der Informationen darüber enthält, wie Sie feststellen können, ob Sie gefährdet sind, sowie Maßnahmen zur Behebung des Problems.

Häufig gestellte Fragen

Informationen zur CERT-Warnung für SAP-Systeme

Was ist 10KBLAZE? Was bedeutet das?

10KBLAZE ist die Bezeichnung, die Onapsis für eine Reihe öffentlich bekannt gewordener SAP-Exploits verwendet. Der Name wurde aufgrund des hohen Risikos gewählt, das diese Exploits mit sich bringen, da sie kritische Geschäftsinformationen und -prozesse potenziell beeinträchtigen können. Die Schwere dieser Geschäftsrisiken kann dazu führen, dass im Rahmen der jährlichen Finanzberichterstattung – dem Formular 10-K – Offenlegungspflichten gegenüber der US-Börsenaufsichtsbehörde (SEC) bestehen.

Was ist eine US-CERT-Warnung und warum ist sie wichtig?

Laut US-CERT„liefern Warnmeldungen zeitnahe Informationen zu aktuellen Sicherheitsproblemen, Schwachstellen und Exploits“. Diese Warnmeldungen werden vom Ministerium für Innere Sicherheit gezielt herausgegeben und beschreiben konkrete Risiken und Bedrohungen, die globale Organisationen betreffen könnten. Jährlich werden nur wenige Warnmeldungen herausgegeben, und nur die bedeutendsten Risiken und Bedrohungen werden in diesen Warnmeldungen behandelt. Dies ist die zweite Warnmeldung des Jahres 2019 und die dritte Warnmeldung zu ERP-Anwendungen seit 2016.

In welchem Zusammenhang stehen 10KBLAZE und die US-CERT-Warnung AA19-122A?

Die US-CERT-Warnung AA19-122A wurde vom Ministerium für Innere Sicherheit aufgrund der kritischen Natur der 10KBLAZE-Exploits herausgegeben, die am 19. April 2019 öffentlich zugänglich gemacht wurden. Die Warnung wurde erstellt, um Organisationen vor diesen Exploits zu warnen und zusätzliche Leitlinien zu Abhilfemaßnahmen bereitzustellen, die ergriffen werden sollten, um das Risiko einer Ausnutzung und Kompromittierung von SAP-Daten zu verringern.

Ich bin SAP-Kunde. Wie soll ich auf diese Warnmeldung reagieren?

Diese Warnung ist für SAP-Kunden besonders wichtig, um zu verstehen, wie kritisch SAP-Konfigurationen für ihre allgemeine Sicherheitslage sein können, wenn sie nicht ordnungsgemäß gewartet und gesichert werden. Es ist wichtig, sich einen Überblick über den aktuellen Stand der SAP-Cybersicherheit in Ihrem Unternehmen zu verschaffen und die internen Beteiligten auf das Ziel der Sicherung von SAP-Anwendungen einzustimmen.

Ich bin SAP-Kunde. Wie kann ich feststellen, ob ich von den in der Meldung AA19-122A beschriebenen Problemen betroffen bin?

Die in der Sicherheitswarnung AA19-122A genannten Sicherheitslücken betreffen SAP-NetWeaver-Systeme, die die grundlegende platform die wichtigsten Geschäftsanwendungen von Unternehmen bilden. Wenn Ihr Unternehmen Anwendungen wie SAP ERP (ECC), SAP S/4HANA, SAP Solution Manager, die SAP Business Suite oder andere NetWeaver-basierte Systeme einsetzt, müssen Sie sicherstellen, dass geeignete Prozesse vorhanden sind, damit Ihr Unternehmen Transparenz und control Cybersicherheitsrisiken in Ihren SAP-Anwendungen hat.

Gibt es Patches für die in der US-CERT-Warnung AA19-122A beschriebenen Sicherheitslücken?

Auf der Grundlage der öffentlich zugänglichen 10KBLAZE-Exploits liefert das DHS weitere Einzelheiten zu den Komponenten, deren Sicherheit verstärkt werden muss, wie beispielsweise dem Message-Server und dem SAP-Gateway. Darüber hinaus folgen Empfehlungen zur Verringerung des Risikos einer Ausnutzung von SAP-Anwendungen:

  • Unternehmen müssen in der Lage sein, die Konfiguration von SAP-Anwendungen zu sichern, was Transparenz, Überwachung und Präventionsmaßnahmen in Bezug auf kritische SAP-Konfigurationen erfordert
  • Unternehmen müssen einen Überblick über alle SAP-Anwendungen haben, insbesondere über diejenigen, die mit dem Internet verbunden sind, um Sicherheitsrisiken zu erkennen und zu verhindern

Gibt es Patches für die in der US-CERT-Warnung AA19-122A beschriebenen Sicherheitslücken?

Die in der Warnmeldung aufgeführten Sicherheitslücken sind seit Jahren bekannt und werden von SAP in einer Reihe von SAP-Sicherheitshinweisen dokumentiert, die im Abschnitt „Referenzen“ der Warnmeldung aufgeführt sind. Unternehmen können die SAP-Sicherheitshinweise Nr. 1408081, Nr. 821875 und Nr. 1421005 heranziehen, um weitere Informationen zur sicheren Konfiguration des SAP Message Servers und des SAP Gateway zu erhalten.

Ich bin Kunde von Onapsis. Bin ich vor den Risiken geschützt, auf die in der US-CERT-Warnung AA19-122A hingewiesen wird?

Ja, die Onapsis Security Platform bietet Unternehmen die Möglichkeit, Risiken im Zusammenhang mit diesen Sicherheitslücken und Fehlkonfigurationen auf drei Arten zu beseitigen:

  1. durch Ermittlung ihres Expositionsgrades
  2. indem mögliche Angriffe, die diesen Exploit ausnutzen, überwacht und erkannt werden, während die Fehlkonfigurationen behoben werden
  3. indem sie ihre Konfigurationen anpassen und diese festlegen, um eine künftige Offenlegung zu verhindern

Warum sind so viele Organisationen von diesen Sicherheitslücken bedroht?

10KBLAZE und die dazugehörige US-CERT-Warnung AA19-122A sind ein weiterer Beleg dafür, dass Unternehmen die Cybersicherheit in ERP-Anwendungen systematisch angehen müssen. Unternehmen müssen ihren IT-Sicherheitsabteilungen Governance und control ERP-Risiken sowie Transparenz für alle internen Teams gewährleisten. In der Vergangenheit wurde die Sicherheit von ERP-Anwendungen als Synonym für die Trennung von Aufgaben, Rollen und Profilen angesehen, was zu einer Lücke zwischen den von der IT-Sicherheit definierten Sicherheitsrichtlinien und den unternehmensweiten Richtlinien führte.

Mein SAP-System wird regelmäßig geprüft. Warum sind die in der US-CERT-Warnung AA19-122A aufgeführten Risiken bei meinen internen/externen Prüfungen nicht aufgefallen?

Bei herkömmlichen Prüfungen werden diese Arten von Risiken in der Regel nicht berücksichtigt. Wir gehen davon aus, dass externe Wirtschaftsprüfungsgesellschaften ihre derzeitigen Kontrollmaßnahmen (die sich größtenteils auf die Aufgabentrennung beziehen) in naher Zukunft ausweiten werden, um SAP-Cybersicherheitsrisiken zu adressieren. Der Status quo ist eindeutig nicht tragbar, da diese Risiken ausgenutzt werden können, um Finanzinformationen zu manipulieren, sensible Daten zu stehlen und geschäftskritische Prozesse zu stören. Wir empfehlen Unternehmen dringend, ihre internen Prüfungsverfahren zu überprüfen, um sicherzustellen, dass sie diese zusätzlichen Kontrollmaßnahmen einbeziehen und Geschäftsrisiken angemessen managen, bevor dies geschieht.

Warum veröffentlichen Sie diesen Bedrohungsbericht? Warum wird diesem Thema so viel Aufmerksamkeit geschenkt?

Am 23. April 2019 hat das Onapsis Research Labs wurde darauf aufmerksam, dass mehrere neue Exploits, die auf Fehlkonfigurationen des SAP Gateway und des Message Servers abzielen, öffentlich veröffentlicht wurden. Diese Konfigurationen sind bekannt und wurden von SAP® und Onapsis den Kunden über SAP-Sicherheitshinweise und Sicherheitswarnungen gemeldet. Die öffentliche Veröffentlichung dieser Exploits erhöht die Wahrscheinlichkeit des Eintretens des Risikos erheblich. Nun sind sowohl externe als auch interne Angreifer (von staatlich geförderten Gruppen bis hin zu verärgerten Mitarbeitern) in der Lage, diese Fehlkonfigurationen mit erheblichen geschäftlichen Auswirkungen auszunutzen.Nach der Analyse von Hunderten von realen SAP-Kundenimplementierungen stellte Onapsis fest, dass rund 90 % der SAP-Systeme vor der Durchführung der Onapsis-Risikobewertung oder Platform Onapsis Security Platform anfällig waren. Das Onapsis-Team ist der Ansicht, dass dieses Risiko groß genug ist, um die Öffentlichkeit auf das Problem aufmerksam zu machen und SAP-Kunden über die versteckte Bedrohung zu informieren, die in ihren Netzwerken bestehen könnte.

Welche Systeme sind betroffen?

Alle SAP NetWeaver Application Server (AS)- und S/4HANA-Systeme sind potenziell betroffen, da sowohl der Message Server als auch das Gateway in jeder SAP-Umgebung vorhanden sind. Zu den betroffenen Produkten zählen unter anderem die SAP Business Suite, SAP ERP, SAP CRM, SAP S/4HANA, SAP Solution Manager, SAP GRC Process and Access Control, SAP Process Integration/Exchange Infrastructure (PI/XI), SAP Solution Manager, SAP SCM und SAP SRM.

Welche geschäftlichen Auswirkungen hat ein Risiko wie 10KBLAZE in meinem Unternehmen?

Anfällige SAP-Anwendungen können von einem nicht authentifizierten Angreifer aus der Ferne kompromittiert werden, der lediglich über Netzwerkzugriff auf das System verfügt (ohne dass eine gültige SAP-Benutzer-ID und ein Passwort erforderlich sind). Angreifer können sich uneingeschränkten Zugriff auf SAP-Systeme verschaffen, wodurch sie die platform aller darin enthaltenen Informationen kompromittieren, diese Informationen verändern oder extrahieren oder das System lahmlegen können. Order-to-Cash, Procure-to-Pay, Bestandsmanagement, Treasury, Steuern, Personalwesen und Gehaltsabrechnung sowie alle anderen von SAP abgewickelten Geschäftsprozesse können kontrolliert werden, was die Integrität der Geschäftsinformationen beeinträchtigt, die zur Erstellung der Jahresabschlüsse verwendet werden. Eine Person, die diese Schwachstelle ausnutzt, wäre in der Lage, kritische Geschäftstransaktionen durchzuführen, darunter unter anderem:

  • Erstellen von Scheinanbietern
  • Erfinden von fiktiven Mitarbeitern
  • Bestellungen anlegen/ändern
  • Wechsel des Bankkontos
  • Zahlungen an Lieferanten oder Mitarbeiter
  • Freigabe von Sendungen
  • Bestandsdaten ändern
  • Erstellung fehlerhafter Managementberichte
  • Umgehung automatischer Geschäftskontrollen

Jemand, der irgendeine Art von Betrug begeht, könnte alle Spuren oder Aufzeichnungen löschen, die seine Handlungen belegen, und eine solche Handlung würde möglicherweise nicht aufgedeckt werden.

Sollte mein Unternehmen dieses Risiko in den Jahresabschluss aufnehmen?

Dies ist eine Frage, die die Geschäftsleitung mit dem Vorstand und dem unabhängigen Wirtschaftsprüfer erörtern muss. Falls dieses Risiko in Ihrem Unternehmen besteht, sollten Sie gemeinsam mit ihnen assess Wesentlichkeit, Eintrittswahrscheinlichkeit und Aufdeckbarkeit assess . Letztendlich liegt es im Ermessen des unabhängigen Wirtschaftsprüfers, 10KBLAZE als Risiko für die Integrität des Jahresabschlusses zu berücksichtigen. Onapsis kann der Geschäftsleitung und den Wirtschaftsprüfern lediglich fachkundige Beratung und Unterstützung bieten.

Wer sollte sich in meiner Organisation dieses Risikos bewusst sein?

Die Unternehmensleitung sollte sich dieses Risikos bewusst sein, angefangen beim CISO und CIO bis hin zum CFO und CEO. Darüber hinaus sollten Ihr internes Revisionsteam sowie der Leiter der Compliance- und Revisionsabteilung assess Risiko aus geschäftlicher Perspektive assess , um als Fürsprecher zu fungieren und es auch dem Prüfungsausschuss vorzulegen.

Wo finde ich die von SAP veröffentlichten Patches?

SAP-Organisationen können sich schützen, indem sie die folgenden SAP-Sicherheitshinweise anwenden, die Maßnahmen zur Behebung dieser Sicherheitslücke enthalten (SAP-Anmeldung erforderlich):

Würde dies von meiner GRC-Lösung bzw. meinen Kontrollen zur Aufgabentrennung erkannt werden?

Leider werden diese Fehlkonfigurationen weder von SAP GRC noch von SoD-Kontrollen erkannt. Unternehmen müssen dies manuell überprüfen oder eine automatisierte Lösung einsetzen.

Könnte dies durch allgemeine IT-Kontrollen gemildert werden?

Leider fallen diese Fehlkonfigurationen nicht unter den allgemeinen Geltungsbereich der IT-Grundsicherungsmaßnahmen. Selbst in einem Szenario, in dem die IT-Grundsicherungsmaßnahmen in Ihrer SAP-ERP-Anwendung einen zufriedenstellenden Status aufweisen, würde das Vorhandensein dieses Risikos der Kombination mehrerer Mängel bei den IT-Grundsicherungsmaßnahmen entsprechen. Nach unserer Erfahrung werden die mit 10KBLAZE verbundenen Risiken in herkömmlichen Audits in der Regel nicht berücksichtigt. Wir empfehlen internen und externen Prüfern, die Risikobewertung von 10KBLAZE in Ihre Control für SAP-Systeme aufzunehmen.

Gibt es eine Möglichkeit festzustellen, ob meine Organisation durch diese Angriffe kompromittiert wurde?

Die Onapsis Security Platform in der Lage, aktive Angriffe auf diese Schwachstellen in SAP-Systemen zu erkennen. Sollten Sie befürchten, dass diese Schwachstellen in Ihrer Umgebung ausgenutzt worden sein könnten, wenden Sie sich bitte an Onapsis, um weitere Informationen zu erhalten.

Warum habt ihr Open-Source-Signaturen veröffentlicht?

Angesichts der hohen Gefährdung durch 10KBLAZE und der Erkenntnisse aus unseren threat intelligence hat Onapsis beschlossen, Teile seiner Onapsis Security Platform als Open Source zur Verfügung zu stellen Platform Signaturen zur Erkennung von Eindringversuchen ab sofort allen SAP-Kunden kostenlos zugänglich zu machen. Darüber hinaus hat Onapsis eine weltweite Reaktion in Abstimmung mit internationalen Regierungsbehörden, globalen SAP-Dienstleistern und führenden Anbietern von Lösungen zur Erkennung von Cyberbedrohungen und zur Reaktion auf Vorfälle koordiniert, um die Erkennung, Überwachung und Behebung von Sicherheitsverletzungen in betroffenen Unternehmen weltweit zu ermöglichen.

Reicht es aus, wenn ich die Erkennungssignatur in meiner Firewall habe?

Das Hinzufügen von Erkennungssignaturen zu Firewall-Lösungen ist wichtig; Ihre Organisation und Ihre Systeme sind jedoch erst dann vollständig geschützt, wenn Sie die entsprechenden SAP-Sicherheitshinweise ordnungsgemäß umsetzen.

Wurden diese Sicherheitslücken bei SAP-Kunden ausgenutzt?

Onapsis liegen bislang keine Hinweise darauf vor, dass diese Schwachstellen in der Praxis ausgenutzt werden; aufgrund unserer praktischen Erfahrungen mit Kunden, Partnern und Interessenten können wir jedoch bestätigen, dass 90 % der falsch konfigurierten SAP-Implementierungen für 10KBLAZE-Exploits anfällig sind. Da die meisten Unternehmen nicht in der Lage sind, die Ausnutzung dieser Fehlkonfiguration zu erkennen, kann eine Kompromittierung des Systems unentdeckt bleiben.

Über die SAP-Cybersicherheitskompetenz von Onapsis

Wie viele Sicherheitslücken in SAP NetWeaver hat Onapsis Research Labs SAP bisher dabei Onapsis Research Labs zu beheben?

Als führender SAP-Partner im Bereich Cybersicherheit hat Onapsis SAP über mehr als 400 Sicherheitslücken in SAP NetWeaver informiert und dabei geholfen, diese zu beheben.

Wie arbeitet Onapsis Research Labs mit SAP Onapsis Research Labs ?

Wenn Onapsis Research Labs eine potenzielle Schwachstelle Onapsis Research Labs , benachrichtigt das Unternehmen SAP umgehend, damit SAP mit der Bewertung beginnen und einen Patch für die gemeldete Fehlkonfiguration und Sicherheitslücke vorbereiten kann. Onapsis Research Labs dem Anbieter alle erforderlichen Informationen Onapsis Research Labs , um sicherzustellen, dass dieser über alles verfügt, was zur Erstellung des Patches notwendig ist. Onapsis veröffentlicht niemals Informationen über eine Fehlkonfiguration oder Sicherheitslücke, bevor diese vom Anbieter behoben wurde.

Sind Onapsis-Kunden vor diesen Sicherheitslücken geschützt?

Ja, die Onapsis Security Platform Unternehmen die Möglichkeit, Risiken im Zusammenhang mit diesen Sicherheitslücken und Fehlkonfigurationen auf drei Arten zu beseitigen:

  • durch Ermittlung ihres Expositionsgrades
  • indem mögliche Angriffe, die diesen Exploit ausnutzen, überwacht und erkannt werden, während die Fehlkonfigurationen behoben werden
  • indem sie ihre Konfigurationen anpassen und diese festlegen, um eine künftige Offenlegung zu verhindern

Wie kann ich überprüfen, ob diese Fehlkonfiguration derzeit in meiner SAP-Landschaft vorliegt?

Für Unternehmen, die keine OSP-Kunden sind, bietet Onapsis eine Risikobewertung an, um schnell festzustellen, ob sie für diesen Angriff anfällig sind.

Für weitere Informationen kontaktieren Sie uns bitte unter [email protected].

Sind Sie bereit, Ihre Sicherheitslücke bei SAP zu schließen?

Wir zeigen Ihnen, wie einfach es sein kann, Ihre Geschäftsanwendungen zu schützen.

Kontaktieren Sie uns