Ein SANS Whitepaper Verfasst von Barbara Filkins
Jeder Datenverstoß kann kostspielig sein, doch die potenziellen Kosten steigen mit dem Wert oder der Verwertbarkeit der Daten, auf die ein Angriff abzielt.
Schwerwiegende Angriffe, die direkt auf große ERP-Systeme und nicht auf eher peripheren Systeme abzielen, können außerordentliche Kosten verursachen, unabhängig davon, ob es sich um einfache Denial-of-Service-Angriffe oder um ausgeklügelte Versuche handelt, vertrauliche oder strategisch wichtige Daten zu kompromittieren. Eine IDC-Studie aus dem Jahr 2014 zu den Kosten von Systemausfällen bei den Fortune-1000-Unternehmen ergab, dass die durchschnittlichen Kosten für den Ausfall einer kritischen Anwendung zwischen 500.000 und 1 Million US-Dollar pro Stunde liegen.
Direkte Angriffe auf ERP-Systeme waren bislang relativ selten oder wurden zumindest nur sehr selten öffentlich bekannt. Seit 2012 haben Gruppen wie das Hacktivisten-Kollektiv „Anonymous“ behauptet, Regierungsorganisationen mithilfe von Zero-Day-Exploits, die SAP-Systeme betreffen, erfolgreich angegriffen zu haben.2 Das einzige eindeutige und öffentlich bekannte Beispiel für eine Kompromittierung gab es jedoch im Mai 2015, als Nextgov.com, eine Website, die sich auf Nachrichten über die IT der US-Bundesbehörden konzentriert, die Nachricht veröffentlichte, dass eine SAP-Installation möglicherweise der ursprüngliche Angriffsvektor bei einem Datenleck war, bei dem Dateien mit Dutzenden Millionen hochdetaillierter und persönlicher Datenpunkte erbeutet wurden.3 Bei dem fraglichen Angriff handelte es sich um den berüchtigten Hackerangriff auf das US-Amt für Personalverwaltung (OPM).
Laut Nextgov.com hatte eine interne Untersuchung Hinweise darauf ergeben, dass Angreifer sich Zugang zu United States Investigations Services Inc. (USIS) verschafft hatten – einem Auftragnehmer, der für die meisten Bundesbehörden Hintergrundüberprüfungen durchführt –, indem sie eine Schwachstelle in einem SAP-System ausnutzten.