Die Spitze des Eisbergs: Massive Sicherheitslücken und Cyberangriffe auf SAP-Geschäftsanwendungen

Frage 1: Woher weiß ich, ob ich von der beschriebenen Sicherheitslücke betroffen bin? Wie kann ich mich davor schützen?

A1: Die Sicherheitslücke wurde bereits vor über fünf Jahren behoben, sodass Ihre Systeme hoffentlich nicht gefährdet sind. Aufgrund des Risikos durch unsichere Konfigurationen und kundenspezifische Anwendungen sollten Sie jedoch überprüfen, ob Sie die Sicherheitspatches (SAP-Sicherheitshinweise) installiert haben, und die Anweisungen im Abschnitt „Abhilfemaßnahmen“ des Sicherheitsberichts beachten.

Frage 2: Welches Risiko besteht für mein Unternehmen?

A2: Die Ausnutzung dieser Sicherheitslücke verschafft nicht authentifizierten Angreifern von außerhalb vollständigen Zugriff auf die betroffenen SAP-Plattformen, wodurch sie control vollständige control die dort verwalteten Geschäftsdaten und -prozesse sowie potenziell weiteren Zugriff auf verbundene SAP- und Nicht-SAP-Systeme erhalten.

Frage 3: Welche SAP-Geschäftslösungen und -Komponenten sind möglicherweise betroffen?

A3: Die folgende Liste enthält einige der SAP-Geschäftslösungen und technischen Komponenten, die betroffen sein können, wenn die ihnen zugrunde liegenden SAP-Java-Plattformen nicht ordnungsgemäß gesichert wurden:

• SAP-Unternehmensressourcenplanung (ERP)
• SAP-Produktlebenszyklusmanagement (PLM)
• SAP Customer Relationship Management (CRM)
• SAP-Lieferkettenmanagement (SCM)
• SAP Supplier Relationship Management (SRM)
• SAP Enterprise Portal (EP)
• SAP-Prozessintegration (PI)
• SAP Exchange Infrastructure (XI)
• SAP Solution Manager (SolMan)
• SAP NetWeaver Business Warehouse (BW)
• SAP Business Intelligence (BI)
• SAP NetWeaver Mobile Infrastructure (MI)
• SAP NetWeaver Development Infrastructure (NWDI)
• SAP Central Process Scheduling (CPS)
• SAP NetWeaver Composition Environment (CE)
• SAP NetWeaver Enterprise Search
• SAP NetWeaver Identity Management (IdM)
• SAP Governance, Risk & Control .x (GRC)

Frage 4: Ist meineplatform ?

A4: Je nach verwendeter Unternehmenslösung und Bereitstellungsmodell (siehe obige Frage) können diese Sicherheitslücken SAP-Systeme betreffen, unabhängig davon, ob diese in privaten, öffentlichen oder hybriden cloud betrieben werden.

Frage 5: Um was für einen Bedrohungsbericht handelt es sich? Warum veröffentlichen Sie diesen?

A5: Die Ausnutzung der SAP-Systeme von mindestens 36 globalen Unternehmen wurde zwischen 2013 und 2016 auf einem in China registrierten digitalen Forum öffentlich bekannt gegeben. Anfang 2016 wurden wir auf dieses Problem aufmerksam, nachdem wir gemeinsame Ähnlichkeiten bei den Ergebnissen erster Platform Onapsis Security Platform bei SAP-Kunden sowie Anzeichen für Kompromittierungen festgestellt hatten, die im Rahmen von SAP-Forensik- und Incident-Response-Einsätzen auftraten. Die Onapsis Research Labs , diesem Thema genauer nachzugehen, und stellten fest, dass öffentliche Informationen über diese Exploits bereits seit mehreren Jahren öffentlich zugänglich waren. Wie unsere Untersuchungen zeigen, könnten Unternehmen aktiv ausgenutzt werden. Wir sehen es als unsere Verantwortung an, SAP-Kunden zu benachrichtigen, die dieser Schwachstelle ausgesetzt sein könnten. Wir halten es zudem für entscheidend, dass sich die breitere Informationssicherheits-Community der Sicherheitsrisiken bei Geschäftsanwendungen bewusst ist, da diese Situation deutlich den vorherrschenden Mangel an Transparenz und Governance bei dieser Art von Anwendungen verdeutlicht.

Frage 6: Der Angriffsvektor; Wie werden Unternehmen konkret ausgenutzt?

A6: Die ausgenutzte Kernschwachstelle wurde als „Invoker-Servlet-Schwachstelle“ identifiziert, die von SAP bereits im Jahr 2010 behoben wurde. Diese wird in Verbindung mit einer anfälligen SAP-Java-Anwendung ausgenutzt, um aus der Ferne vollständigen Administratorzugriff auf die SAP-Systeme zu erlangen. Angreifer können diese Schwachstelle über HTTP(S) ausnutzen, ohne dass sie über einen gültigen SAP-Benutzer im Zielsystem verfügen müssen. Um diese Schwachstelle auszunutzen, benötigt ein Angreifer lediglich einen Webbrowser sowie die Domain, den Hostnamen oder die IP-Adresse des Ziel-SAP-Systems.

Frage 7: Wer steckt dahinter? Handelt es sich um einen staatlich gelenkten Cyberangriff?

A7: Während mehrere threat reports Sicherheitsvorfälle als Folge von staatlich geförderten Cyberkampagnen threat reports , sieht die Realität in diesem Fall (und das macht diese Untersuchung unserer Meinung nach umso interessanter) so aus, dass diese Indikatoren bereits seit mehreren Jahren unbemerkt öffentlich zugänglich waren (auf einem in China registrierten Digitalforum).

Daher haben wir keinen Grund, diese Aktivitäten mit einer Regierung, einem Nationalstaat oder einer koordinierten Aktion einer Gruppe von Cyberkriminellen in Verbindung zu bringen. Es ist wichtig zu betonen, dass der Standort des Forums von niemandem zur Zuordnung oder zur Ableitung von Absichten hinter diesen Indikatoren herangezogen werden sollte. Dies ist kein Bericht vom Typ „Mandiant APT1“.

Gleichzeitig wissen wir ganz genau, dass dies nur die Spitze des Eisbergs ist, was die Cybersicherheitsbedrohungen für SAP-Systeme angeht.

Frage 8: Warum hat das DHS eine Warnung zu genau dieser SAP-Sicherheitslücke herausgegeben? Ist das die einzige, über die ich mir Sorgen machen muss?

A8: Das DHS hat eine Warnung zu diesem konkreten Problem herausgegeben, da kürzlich öffentliche Anzeichen für eine unbefugte Ausnutzung dieser Sicherheitslücke entdeckt wurden. Dies bedeutet keineswegs, dass dies die einzige Sicherheitslücke ist, die SAP-Systeme potenziell betreffen könnte, und es bedeutet auch nicht, dass es sich um die kritischste handelt.

Teams für Informationssicherheit sollten sich bewusst sein, dass SAP bis heute über 3.000 Sicherheitspatches (SAP Security Notes) veröffentlicht hat, was etwa 30 Sicherheitspatches pro Monat entspricht. Jeder Sicherheitspatch enthält Informationen zur Behebung einer oder mehrerer Sicherheitslücken. Falls Ihr Unternehmen derzeit über keinen klar definierten Prozess zur Verwaltung der laufenden Sicherheitsmaßnahmen verfügt, könnten weitere Sicherheitslücken Ihre platform beeinträchtigen.

Aufgrund der Erfahrungen von Onapsis bei der Zusammenarbeit mit großen SAP-Kunden stellen wir häufig fest, dass in Systemen nach wie vor Schwachstellen bestehen, obwohl diese bereits vor bis zu 10 Jahren von SAP behoben wurden. Dies ist bei der überwiegenden Mehrheit der uns bekannten Implementierungen gang und gäbe und bietet sowohl Insidern als auch Angreifern von außen einen weit offenen Zugang zum Kern großer Unternehmen. Unser Team war zudem an einer Reihe von SAP-Forensik- und Incident-Response-Projekten beteiligt, die aus realen Sicherheitsverletzungen in SAP-Anwendungen resultierten und andere Angriffsvektoren nutzten als die in diesem Bedrohungsbericht vorgestellten.

Frage 9: Können Sie uns genauere Angaben dazu machen, wo die Indikatoren gefunden wurden?

A9: Das Forum, in dem diese Indikatoren entdeckt wurden, enthält Informationen, aus denen die Namen der betroffenen Unternehmen, die konkreten SAP-Systeme (IP-Adressen/Domainnamen), bei denen diese Sicherheitslücke festgestellt wurde, sowie vertrauliche technische Informationen, die sich aus der Ausnutzung der Sicherheitslücken ergeben, eindeutig hervorgehen.

Daher können wir keine weiteren Informationen zu diesem Forum veröffentlichen, da wir der Ansicht sind, dass dies unverantwortlich wäre und unseren ethischen Grundsätzen widersprechen würde.

Frage 10: Welche Unternehmen waren betroffen? Haben Sie diese benachrichtigt?

A10: Wir haben Anzeichen entdeckt, die 36 globale Unternehmen betreffen. Diese Unternehmen haben ihren Sitz in den Vereinigten Staaten, dem Vereinigten Königreich, Deutschland, China, Indien, Japan und Südkorea oder befinden sich im gemeinsamen Besitz von dort ansässigen Konzernen. Sie sind in einer Reihe von Branchen tätig, darunter Öl und Gas, Telekommunikation, Versorgungsunternehmen, Einzelhandel, Automobilindustrie und Stahlproduktion. Wir werden die Namen der betroffenen Unternehmen nicht veröffentlichen. Wir haben mit dem US-Heimatschutzministerium (DHS) und den zuständigen Behörden zusammengearbeitet, um sicherzustellen, dass die betroffenen Unternehmen im Voraus benachrichtigt wurden. Am 11. Mai 2016 veröffentlichtedas DHS US-CERTeine Warnmeldung, um die Cybersicherheits-Community auf die Bedeutung und die Auswirkungen dieser Sicherheitslücke hinzuweisen.

Frage 11: Könnten neben den 36 im Bedrohungsbericht genannten Unternehmen noch weitere betroffen sein?

A11: Selbstverständlich. Das ist nur die Spitze des Eisbergs.

Aufgrund unserer Erfahrungen bei der Absicherung einiger der weltweit größten SAP-Implementierungen gehen wir davon aus, dass möglicherweise noch weitaus mehr Unternehmen (neben den 36 in diesem Bericht genannten) von dieser Bedrohung betroffen sind.

Eine solche abschließende Bewertung hätte jedoch bedeutet, dass wir unbefugte Scans der mit dem Internet verbundenen SAP-Systeme von Unternehmen hätten durchführen müssen, und das ist etwas, was Onapsis weder jemals getan hat noch tun wird, da es gegen unsere ethischen Grundsätze verstößt.

Frage 12: Was hat SAP unternommen, um die Öffentlichkeit auf diese Sicherheitslücke aufmerksam zu machen?

A12: Im Jahr 2010 veröffentlichte SAP einen Sicherheitspatch, um diese und damit verbundene Sicherheitslücken zu beheben. Software wird immer Sicherheitslücken aufweisen; das Beste, was ein Anbieter tun kann, sobald ein Problem entdeckt wird, ist die rasche Veröffentlichung eines Sicherheitspatches. In diesem konkreten Fall hat SAP bereits vor mehr als fünf Jahren einen Patch zur Verfügung gestellt. Diese Meldung verdeutlicht daher, dass es sich nicht um ein SAP-Problem handelt, sondern um einen vorherrschenden Mangel an Transparenz, Governance und control Cybersicherheitsrisiken, der SAP-Plattformen betrifft, sobald diese installiert sind und laufen. Diese Verantwortung liegt bei den Informationssicherheitsteams der SAP-Kunden, den Dienstleistern und externen Prüfungsgesellschaften.

Frage 14: Warum wurde diese Art von Risiko bei meiner externen Prüfung nicht angesprochen?

A14: Bei herkömmlichen Prüfungen werden diese Arten von Risiken in der Regel nicht berücksichtigt. Wir gehen davon aus, dass externe Wirtschaftsprüfungsgesellschaften ihre derzeitigen Kontrollmaßnahmen (die sich größtenteils auf die Aufgabentrennung beziehen) in naher Zukunft ausweiten werden, um SAP-Cybersicherheitsrisiken zu adressieren. Der Status quo ist eindeutig nicht tragbar, da diese Risiken ausgenutzt werden können, um Finanzdaten zu manipulieren, sensible Daten zu stehlen und geschäftskritische Prozesse zu stören. Wir empfehlen Unternehmen dringend, ihren internen Prüfungsprozess zu überprüfen, um sicherzustellen, dass sie diese neueren Kontrollmaßnahmen einbeziehen, damit sie Geschäftsrisiken angemessen bewältigen können, bevor dies geschieht.

Frage 15: Wie kann Onapsis helfen?

A15: Wenn Sie das Cybersicherheitsniveau Ihrer SAP-Anwendungen noch nie analysiert haben, besteht der erste logische Schritt darin, sich einen Überblick über Ihre aktuelle Situation zu verschaffen und die potenziellen Geschäftsrisiken zu erfassen. Wir können Sie dabei unterstützen, indem wir in Ihrem Unternehmen einen kostenlosen Servicezur Darstellung der Geschäftsrisikendurchführen.

Darüber hinaus stellt die Implementierung einer Lösung, die eine kontinuierliche Überwachung ermöglicht, sicher, dass Ihre SAP-Systeme stets vor Sicherheitslücken wie dem „Invoker Servlet“ geschützt sind. In diesem Fall verfügen unsere Kunden bereits seit 2010 über die entsprechenden Funktionen, um dieses Problem zu beheben. DieOnapsis Security Platformbietet einen präventiven, detektiven und korrektiven Ansatz nahezu in Echtzeit zur Absicherung von SAP-Systemen und -Anwendungen. Weitere Informationen finden Siehier.