ERP-Anwendungen im Visier: Wie Cyberangreifer es auf die Kronjuwelen abgesehen haben

Frage 1: Um was für einen Bedrohungsbericht handelt es sich hier? Warum veröffentlichen Sie diesen?

Die Onapsis Research Labs umfassende Kenntnisse und Fachkompetenz im Bereich von Bedrohungen und Schwachstellen bei ERP-Systemen und arbeiten eng mit SAP und Oracle zusammen, um die von Onapsis kontinuierlich gemeldeten Schwachstellen zu beheben. In diesem Fall haben wir unser Wissen mit der Erfahrung und Technologie von Digital Shadows kombiniert, um einen besseren Einblick und ein besseres Verständnis dafür zu gewinnen, wie sich die Bedrohungen für ERP-Anwendungen entwickeln. Wir veröffentlichen diesen Bericht gemeinsam mit Digital Shadows, um Unternehmen zu warnen und das Bewusstsein für die Risiken und Bedrohungen zu schärfen, die entstehen, wenn die Sicherheit von ERP-Anwendungen nicht angemessen gewährleistet wird.

Frage 2: Wie kann ich überprüfen, ob meine SAP- und Oracle-Systeme mit dem Internet verbunden sind?

Unternehmen können öffentlich zugängliche Suchmaschinen nutzen, um zu überprüfen, ob sie über ERP-Anwendungen verfügen, die mit dem Internet verbunden sind.ShodanundCensysgehören zu den bekanntesten dieser Suchmaschinen. Diese Suchmaschinen liefern wertvolle Informationen; dennoch ist es wichtig, über eine klare und aktuelle Bestandsaufnahme der ERP-Anwendungen zu verfügen, in der insbesondere dokumentiert ist, welche Anwendungen für externe Nutzer (wie Lieferanten und/oder Kunden) sowie für externe Netzwerke, wie beispielsweise das Internet, zugänglich sein könnten.

Frage 3: Werden in dem Bericht neue Sicherheitslücken behandelt?

Der Bericht konzentriert sich auf bekannte Sicherheitslücken und nutzt bekannte CVEs, um über verschiedene Quellen hinweg Bedrohungen für SAP- und Oracle E-Business Suite (EBS)-Anwendungen zu suchen und zu identifizieren. ERP-Kunden haben weiterhin Schwierigkeiten, mit Patches Schritt zu halten und die Sicherheit ihrer ERP-Anwendungen zu gewährleisten, was bedeutet, dass Angreifer keine komplexen APT-Angriffe durchführen müssen, um sich Zugang zu verschaffen. Wie die identifizierten Kampagnen zeigen, nutzen Angreifer bekannte Sicherheitslücken aus und machen sich dabei die Unfähigkeit der Kunden zunutze, mit den Sicherheitsanforderungen Schritt zu halten.

Frage 4: Welche bekannten Sicherheitslücken werden in dem Bericht hervorgehoben?

Wir konnten eine Vielzahl von Kampagnen identifizieren, bei denen unterschiedliche Techniken und Vorgehensweisen zum Einsatz kamen. Die einzelnen identifizierten Schwachstellen sind das Invoker-Servlet in SAP-Anwendungen (CVE-2010-5326), der SOAPRFC-Exploit über Metasploit sowie mangelnde Passwort-Sicherheit (Standard- oder schwache Benutzernamen und Passwörter).

Trotz dieser eindeutig identifizierten Schwachstellen könnten Angreifer eine von Tausenden von ERP-Schwachstellen ins Visier nehmen. Daher ist es für Unternehmen von entscheidender Bedeutung, sich nicht nur auf diese drei zu konzentrieren, sondern ERP-Schwachstellen ebenso wie bei jeder anderen bestehenden Produktionsanwendung zu priorisieren und zu beheben.

Frage 5: Welches Risiko besteht für mein Unternehmen?

Das größte Risiko für Unternehmen besteht darin, die Risiken nicht zu kennen. Unternehmen müssen ein angemessenes Maß an Governance im Hinblick auf Cyberrisiken sicherstellen, die sich auf ERP-Anwendungen auswirken könnten. Dies beginnt mit einem klaren Überblick über ihre mit dem Internet verbundenen ERP-Anwendungen und setzt sich fort mit der Erfassung und proaktiven Bewältigung potenzieller Schwachstellen und Risiken, die ERP-Anwendungen betreffen.

Frage 6: Was bedeutet „Angreifer“?

Angreifer sind Akteure, die für eine Kampagne oder einen Vorfall verantwortlich sind, der die Sicherheit einer Organisation oder ihrer Daten beeinträchtigt. Im Verlauf der Erstellung dieses Berichts stieß das Team auf Belege für verschiedene Kampagnen, die auf ERP-Anwendungen abzielten. Die Kampagnen wurden zudem nach Angreifern unterteilt, da diese jeweils unterschiedliche Motive verfolgten.

Frage 7: Ich habe nur ERP-Anwendungen, die nicht im Produktivbetrieb sind und mit dem Internet verbunden sind. Bin ich sicher?

Auch wenn es auf den ersten Blick so aussehen mag, als sei das Risiko bei der Einbindung von Nicht-Produktionssystemen geringer, könnte dies in Wirklichkeit zu einer risikoreicheren Situation führen, da Nicht-Produktionsanwendungen in der Regel weniger Kontrollen, weniger Audits und geringere Sicherheitsvorkehrungen aufweisen als andere Produktionsumgebungen. Dies könnte dazu führen, dass diese Anwendungen leichter ins Visier genommen und letztlich durch den Missbrauch bestehender Schnittstellen und Verbindungen stärker gefährdet werden als Produktionssysteme.

Frage 8: Meine ERP-Anwendungen befinden sich hinter einer Firewall – warum sollte ich mir also Sorgen machen?

Unter vielen ERP-Kunden herrscht die irrtümliche Annahme, dass ERP-Anwendungen hinter der Firewall vor externen Bedrohungen geschützt seien. Selbst wenn keine ERP-Komponenten mit dem Internet verbunden sind – was in den meisten Fällen nicht zutrifft –, gibt es zahlreiche Bedrohungen, die ERP-Anwendungen hinter der Firewall betreffen und gezielt angreifen. Die Aktualisierung der Dridex-Malware-Konfiguration, die den SAPlogon-Prozess (SAPgui) abdeckt, ist ein weiteres Beispiel dafür, wie ein Angreifer weiterhin SAP-Anmeldedaten und -Daten kompromittieren kann.

Frage 9: Welche ERP-Anwendungen sind betroffen?

Das Forschungsprojekt konzentrierte sich auf SAP- und Oracle-EBS-Anwendungen, da diese für die größten Unternehmen der Welt von großer Bedeutung sind. Im Rahmen dieser Untersuchung haben wir Hinweise auf gezielte Angriffe auf diese Anwendungen gefunden, doch das Problem ist weitaus umfassender. ERP-Anwendungen beherbergen die wichtigsten Geschäftsdaten, weshalb Unternehmen sowohl diese Anwendungen als auch die darin enthaltenen Daten schützen müssen.

Frage 10: Bin ich auf der sicheren Seite, wenn ich meine ERP-Anwendung in der cloud betreibe?

Die cloud zahlreiche Vorteile und Effizienzsteigerungen, und in ganz bestimmten Anwendungsfällen kann auch die Sicherheit dazu gehören. In vielen Fällen ist jedoch genau das Gegenteil der Fall, da ERP-Kunden davon ausgehen, dass cloud durch den Umstieg auf die cloud automatisch sicherer sind, und daher ihre Sicherheitskontrollen und Schutzmaßnahmen vernachlässigen.

Durch die Verlagerung Ihrer ERP-Anwendungen in die cloud die Verantwortung nicht auf andere über; Ihr Unternehmen bleibt weiterhin für die von diesen Anwendungen gehosteten und verarbeiteten Daten verantwortlich. ERP-Kunden müssen sich weiterhin um die Sicherheit in cloud kümmern, um sicherzustellen, dass die Daten geschützt sind.

Frage 11: Was kann mein Unternehmen tun, um sicherzustellen, dass wir vor Malware geschützt sind, die auf ERP-Anwendungen abzielt?

Die meisten Unternehmen setzen irgendeine Form von Endpunkt- bzw. Malware-Schutz ein. Verschiedene Produkte schützen Ihre Endpunkte auf unterschiedliche Weise, angefangen bei herkömmlichen Antivirenprogrammen bis hin zu fortschrittlicheren Methoden. Unabhängig davon, welches Produkt Ihr Unternehmen verwendet, müssen Sie sicherstellen, dass es stets auf dem neuesten Stand ist und dass die Computer, auf denen die Clients für die Verbindung zu ERP-Anwendungen (wie z. B. SAPlogon) laufen, ebenfalls denselben Schutzgrad genießen wie die übrigen Endpunkte des Unternehmens.

Frage 12: Warum hat das Ministerium für Innere Sicherheit (DHS) eine Warnung zu diesen Bedrohungen herausgegeben?

Das DHS hat aufgrund der Art der festgestellten Hinweise eine Warnung herausgegeben, um große Unternehmen auf diese Bedrohung aufmerksam zu machen. Es gibt eindeutige Hinweise darauf, dass die Angreifer gezielt ERP-Anwendungen ins Visier nehmen; daher müssen sich Unternehmen dessen bewusst sein und in der Lage sein, einen Sicherheitsverstoß zu verhindern, indem sie die empfohlenen Protokolle befolgen.

Frage 13: Meine ERP-Anwendungen werden regelmäßig geprüft. Ist damit meine Sicherheit gewährleistet?

Herkömmliche Audits befassen sich in der Regel nicht mit den technischen Risiken von ERP-Anwendungen, wie beispielsweise ausnutzbaren Schwachstellen oder nicht gepatchten CVEs. Wir gehen davon aus, dass externe Wirtschaftsprüfungsgesellschaften ihre derzeitigen Kontrollmaßnahmen (die sich größtenteils auf die Aufgabentrennung beziehen) in naher Zukunft ausweiten werden, um den Cybersicherheitsrisiken bei SAP Rechnung zu tragen. Der Status quo ist eindeutig nicht tragbar, da diese Risiken ausgenutzt werden können, um Finanzdaten zu manipulieren, sensible Daten zu stehlen und geschäftskritische Prozesse zu stören. Wir empfehlen Unternehmen dringend, ihre internen Prüfungsverfahren zu überprüfen, um sicherzustellen, dass sie diese neueren Arten von Kontrollen einbeziehen, um Geschäftsrisiken angemessen und proaktiv zu steuern.

Frage 14: Wie kann Onapsis helfen?

Wenn Sie das Cybersicherheitsniveau Ihrer ERP-Anwendungen noch nie analysiert haben, besteht der erste logische Schritt darin, sich einen Überblick über Ihre aktuelle Situation zu verschaffen und die potenziellen Geschäftsrisiken zu erfassen. Wir können Sie dabei unterstützen, indem wir in Ihrem Unternehmen einen kostenlosen Service zur Darstellung der Geschäftsrisiken durchführen.

Darüber hinaus stellt die Implementierung einer Lösung, die eine kontinuierliche Überwachung bietet, sicher, dass Ihre ERP-Systeme stets vor bekannten Sicherheitslücken geschützt sind. Die Onapsis Security Platform einen nahezu in Echtzeit funktionierenden Ansatz zur Prävention, Erkennung und Behebung von Sicherheitsrisiken für die Absicherung von ERP-Systemen und -Anwendungen.