Ch4tter: Cyberkriminelle greifen SAP aus Profitgier an

Neue Sicherheitslösungen zum Schutz von SAP vor Ransomware und Datenlecks

Ungepatchte SAP-Sicherheitslücken werden ausgenutzt und in Ransomware-Kampagnen eingesetzt, wie sowohl Onapsis Research als auch die CISA hervorheben.
In der SAP-Bedrohungslandschaft sind etablierte, äußerst raffinierte Angreifer und staatlich geförderte Gruppen aktiv.
Diese Gruppen greifen SAP-Anwendungen zunehmend gezielt an, um finanziellen Gewinn zu erzielen, Spionage zu betreiben und Sabotage zu verüben.
Das Interesse an SAP-Sicherheitslücken ist groß, was sich sowohl in den Diskussionen in Foren für Cyberkriminelle als auch in deren aktiver Ausnutzung zeigt.
SAP und Onapsis warnen Unternehmen bereits seit Jahren proaktiv vor dem erhöhten Risiko böswilliger Aktivitäten und Ransomware-Bedrohungen, die auf SAP-Anwendungen abzielen. Unternehmen müssen unbedingt Maßnahmen ergreifen, um sich zu schützen.

Zu sehen in

betanews
SC Media – Eine CRA-Ressource
Security Week – Nachrichten, Einblicke und Analysen zu Internet- und Unternehmenssicherheit

CH4TTER-Bericht

Onapsis und Flashpoint haben sich zusammengeschlossen, um für mehr Transparenz zu sorgen und aufzudecken, wie Angreifer SAP-Anwendungen ins Visier nehmen. Dieser Bericht behandelt folgende Themen:

  • Untersuchungen zeigen, dass die Zahl der Ransomware-Vorfälle, bei denen SAP-Systeme und Daten in den betroffenen Unternehmen kompromittiert wurden, seit 2021 um 400 % gestiegen ist.
  • Die Zahl der Beiträge in aktiven Cyber-Bedrohungsforen, die SAP-spezifische cloud Webdienste thematisieren, ist von 2021 bis 2023 um 220 % gestiegen.
  • Erfolgsgeschichten: Das Onapsis-Team stellt Ihnen relevante Erfolgsgeschichten vor, die auf Ihre Bedürfnisse und/oder Ihre Branche zugeschnitten sind.
  • Die Diskussionen über SAP-Sicherheitslücken und -Exploits haben im Open Web, Deep Web und Dark Web zwischen 2021 und 2023 um 490 % zugenommen.
Ch4tter-Bericht

Webinar auf Abruf

Cyberkriminelle greifen SAP aus Profitgier an

In den letzten Jahren hat sich die Bedrohungslage im Umfeld von SAP-Anwendungen erheblich verändert. Was hat diesen Wandel ausgelöst? Angreifer erkennen zunehmend den Gewinnpotenzial, das SAP-Anwendungen und die damit verbundenen Daten bieten, und nutzen Schwachstellen aus.

Dieses Webinar stützt sich auf die Expertise von Onapsis im Bereich SAP-Cybersicherheit und threat intelligence umfassenden threat intelligence von Flashpoint und behandelt folgende Themen:

  • Die aktuelle Bedrohungslage bei SAP
  • Verweise auf SAP-Sicherheitslücken im Open Deep und Dark Web
  • Gruppen von Angreifern, die häufig SAP-Anwendungen ins Visier nehmen
  • SAP-Sicherheitslücken und Exploits

Referenten

JP Perez-Etchegoyen

CTO und Mitbegründer | Onapsis

Christian Rencken

Christian Rencken

Leitender strategischer Berater | Flashpoint

Ch4tter-Infografik

Neue Erkenntnisse von Flashpoint und Onapsis helfen Unternehmen dabei, SAP vor Ransomware und Datenlecks zu schützen

Gewinnen Sie mit unserer neuesten Infografik wichtige Einblicke in die sich ständig verändernde Landschaft der Cybersicherheitsbedrohungen und erfahren Sie, wie raffinierte Angreifer nicht nur die Daten eines Unternehmens verschlüsseln, um Lösegeld zu erpressen, sondern auch Daten abziehen und diese anschließend auf illegalen Märkten verkaufen. Laden Sie die Infografik jetzt herunter, um auf dem Laufenden zu bleiben und Ihr Unternehmen vor diesen wachsenden Bedrohungen zu schützen.

Infografik herunterladen

Möchten Sie sich Onapsis Research Labs mit Onapsis Research Labs über deren Ergebnisse informieren?

Vereinbaren Sie ein persönliches Beratungsgespräch mit unserem Team.

Häufig gestellte Fragen

Onapsis Research Labs ORL) verfügt über umfassende Kenntnisse und Fachkompetenz im Bereich von Bedrohungen und Schwachstellen in ERP-Systemen und arbeitet eng mit SAP zusammen, um die Schwachstellen zu beheben, die wir dem SAP Product Security Response Team kontinuierlich melden.

Seit Jahresbeginn Onapsis Research Labs die Onapsis Research Labs ihr Fachwissen mit der Erfahrung und Technologie von Flashpoint Onapsis Research Labs , um Zugang zu threat intelligence zu erhalten, die in der Regel nur begrenzt verfügbar und zeitlich begrenzt sind. Dadurch konnten wir ein tieferes Verständnis dafür gewinnen, wie sich die Bedrohungen für SAP-Anwendungen in den letzten vier Jahren entwickelt haben.

Wir veröffentlichen diesen Bericht gemeinsam mit Flashpoint, um IT-Sicherheitsverantwortlichen dabei zu helfen, ihre geschäftskritischen SAP-Anwendungen zu schützen. Damit wollen wir Unternehmen warnen und das Bewusstsein für die Risiken und Bedrohungen schärfen, die von Ransomware ausgehen, die auf SAP-Anwendungen und -Daten abzielt, sowie für neue, äußerst raffinierte Gruppen von Angreifern und die beobachtete Zunahme von Versuchen, SAP-Exploits und kompromittierte Daten zu monetarisieren.

Ziel dieses Berichts ist es, SAP-Anwendungen zu schützen und auf die zunehmenden Bedrohungsaktivitäten sowie die wachsenden Risiken für SAP-Anwendungen aufmerksam zu machen. Zu diesem Zweck richten sich die darin enthaltenen threat intelligence Erkenntnisse an Teams, die für die SAP-Sicherheit zuständig sind, an SAP-Administratoren, an Mitarbeiter der Informationssicherheit sowie an SOC-Betreiber und -Analysten und an andere Akteure im Bereich Cybersicherheit. All diese Gruppen tragen eine gewisse Verantwortung für die allgemeine Sicherheit, Integrität und Risikominderung der SAP-Anwendungslandschaft eines Unternehmens.

Kurze Antwort: JA. Das ist jedoch nicht unbedingt eine neue Erkenntnis. Ausführlichere Antwort: Angreifer nehmen SAP-Systeme bereits seit Jahren im Rahmen von Ransomware-Kampagnen ins Visier, da dort in der Regel die für ein Unternehmen kritischsten Daten gespeichert sind. SAP, Onapsis und die CISA warnen Unternehmen bereits seit mehreren Jahren vor diesem Risiko. Besorgniserregend an dieser neuen Studie ist der aggressive Anstieg der Ransomware-Angriffe auf SAP-Anwendungen und -Daten. 

Onapsis Research Labs die Aktivitäten auf Websites Onapsis Research Labs , auf denen Ransomware-Gruppen ihre Angriffe veröffentlichen. Wir haben einen Anstieg der Ransomware-Vorfälle im Zusammenhang mit SAP um 400 % festgestellt. Ebenso besorgniserregend ist, dass eine Reihe von finanzstarken und produktiven Ransomware-Gruppen, staatlich geförderten Gruppen und Cyberkriminellen „auf den Markt getreten“ sind – wie beispielsweise APT10 (verantwortlich für den Angriff auf das US-Amt für Personalverwaltung) und FIN13 (verantwortlich für den Diebstahl von Geldern in Höhe von mehreren zehn Millionen Dollar aus Organisationen). Diese hochentwickelten Gruppen von Bedrohungsakteuren erpressen nicht nur Lösegeld für die Daten einer Organisation, sondern exfiltrieren diese Daten auch und bieten sie auf dem kriminellen Markt zum Verkauf an – wodurch sie effektiv doppelte kriminelle Gewinne erzielen. Darüber hinaus sehen wir Hinweise auf modifizierte Ransomware-Payloads, die „SAP-bewusster“ sind und eine effizientere Identifizierung, Verschlüsselung und Datenextraktion ermöglichen als frühere Versionen. All dies deutet auf eine sehr reale, wachsende Bedrohung für globale Unternehmen hin, die SAP einsetzen.

Die Ergebnisse dieser Untersuchung zeigen keine neuen Sicherheitslücken oder Zero-Day-Schwachstellen auf. Das Auffälligste an dieser Untersuchung ist vielmehr, dass alle in diesem Bericht genannten CVEs von SAP bereits vor mindestens einem Jahr behoben wurden. In den meisten Fällen wurden die Sicherheitslücken sogar schon vor mehreren Jahren behoben. Dies verdeutlicht den Mangel an angemessener Governance in Unternehmen sowie die üblichen Herausforderungen bei der Patching-Verwaltung komplexer, kritischer SAP-Umgebungen.  

Im Anhang dieses Berichts haben wir eine umfassende Liste von CVEs beigefügt, die im Rahmen der Untersuchung als aktiv von Angreifern ausgenutzt und/oder als besonders relevante CVEs identifiziert wurden. 

Zwar haben wir eine große Anzahl von Schwachstellen identifiziert, die derzeit von Angreifern aktiv ausgenutzt werden, doch muss betont werden, dass es sich hierbei nicht um eine vollständige Liste handelt – das heißt, Angreifer könnten jede beliebige der Tausenden bekannten SAP-Schwachstellen ins Visier nehmen, die in der Umgebung eines Unternehmens möglicherweise noch nicht gepatcht sind. Daher ist es zwar wichtig, diese spezifischen, identifizierten Schwachstellen unverzüglich zu beheben, doch ist es für Sie und Ihr Team ebenso entscheidend, das Patchen oder die Absicherung von SAP-Schwachstellen zu priorisieren und anzugehen, wie Sie es bei jeder anderen bestehenden Produktionsanwendung tun würden. Dies gilt wohl umso mehr angesichts der Fülle vertraulicher und kritischer Daten, die durch diese Systeme fließen.

Das unmittelbare Risiko besteht natürlich darin, dass in Ihrer SAP-Umgebung möglicherweise eine dieser aktiv ausgenutzten Sicherheitslücken unbehoben ist. Es ist daher unerlässlich, dass Ihre Teams Ihre SAP-Systeme so schnell wie möglich auf diese Sicherheitslücken überprüfen und die entsprechenden Patches installieren. 

Es ist wichtig zu beachten, dass in Unternehmen, in denen SAP für den täglichen Geschäftsbetrieb von entscheidender Bedeutung ist, jede Situation, in der SAP-Systeme offline geschaltet und/oder verschlüsselt werden, erhebliche finanzielle und betriebliche Auswirkungen haben kann. Viele Unternehmen beziffern dieses Risiko auf mehrere Millionen Dollar pro Stunde oder Tag, wobei sie ungeplante Ausfallzeiten und Störungen geschäftskritischer Prozesse in den Bereichen Fertigung, Versand, Lieferkette, Vertrieb, Lohnabrechnung, Finanzberichterstattung und weiteren Bereichen berücksichtigen. 

Darüber hinaus hat die US-Börsenaufsichtsbehörde SEC im Jahr 2023 eine Reihe neuer Cybersicherheitsvorschriften zum Thema„wesentliche Auswirkungen“ eingeführt. Diese Vorschriften haben die regulatorischen, reputationsbezogenen und finanziellen Risiken im Zusammenhang mit SAP-Ransomware-Angriffen weiter erhöht. Über das Ransomware-Risiko hinaus besteht für Unternehmen ein zusätzliches Risiko in der von der SEC vorgeschriebenen erhöhten Transparenz bei „wesentlichen Cybersicherheitsvorfällen“ (zu denen auch ein SAP-Ransomware-Angriff zählt). Die Vorschrift verlangt eine zeitnahe Offenlegung gegenüber der Öffentlichkeit innerhalb von vier Tagen nach Feststellung der Wesentlichkeit mittels des SEC-Formulars 8-K. Daher müssen Risikoanalysten nun diese breitere öffentliche Wirkung der Sicherheitstransparenz (z. B. Kursveränderungen, Markenprobleme, Verantwortung von Führungskräften und Vorstand) in ihren Risikobewertungsberechnungen für das Unternehmen berücksichtigen.  

Letztendlich können es sich Unternehmen nicht mehr leisten, die Risiken zu ignorieren. Unternehmen müssen ein angemessenes Maß an Governance in Bezug auf Cyberrisiken sicherstellen, die ERP-Anwendungen (nicht nur SAP) betreffen könnten. Beginnen Sie mit einem klaren Überblick über Ihre mit dem Internet verbundenen ERP-Anwendungen und stellen Sie dann sicher, dass diese Transparenz hinsichtlich Bestands, Lücken und Bedrohungen allen Verantwortlichen für die Sicherheit kritischer Systeme zur Verfügung steht. Schließen Sie daran eine proaktivere Bewertung potenzieller Schwachstellen und ein Risikomanagement für ERP-Anwendungen an.

Bedrohungsakteure sind Akteure, die für eine Kampagne oder einen Vorfall verantwortlich sind, der die Sicherheit einer Organisation oder ihrer Daten beeinträchtigt. Im Laufe der Erstellung dieses Berichts stieß das Team auf Hinweise auf verschiedene Bedrohungsakteure, die aktiv SAP-Anwendungen ins Visier nehmen und erfolgreich ausnutzen. 

Unter vielen SAP-Kunden herrscht die weit verbreitete Fehlannahme, dass SAP-Anwendungen „hinter der Firewall“ vor externen Bedrohungen geschützt sind. Auch wenn wir uns wünschten, die Sicherheit wäre so einfach, sieht die Realität leider ganz anders aus. Selbst wenn keine SAP-Komponenten mit dem Internet verbunden sind, gibt es dennoch eine Vielzahl von Bedrohungen, die auf SAP-Anwendungen hinter der Firewall abzielen. Der folgende Artikel bietet weitere Einblicke in dieses Thema: 8 Gründe, warum Perimeter-Sicherheit allein Ihre Kronjuwelen nicht schützt 

Die cloud zahlreiche Vorteile und Effizienzsteigerungen, und in bestimmten Anwendungsfällen kann auch die Sicherheit dazu gehören. In den meisten Fällen haben wir jedoch das Gegenteil festgestellt. Viele SAP-Kunden glauben, dass cloud durch den Umstieg auf die cloud sicher sind (oder zumindest keine Verantwortung mehr für die Sicherheit tragen). Infolgedessen haben wir häufig eine Lockerung der Sicherheitskontrollen, Prozesse, Zugriffsrechte und bestimmter Schutzmaßnahmen beobachtet. 

In allen Fällen, in denen die cloud zum Einsatz kommt, gilt ein gemeinsames Sicherheitsmodell, bei dem sowohl der cloud als auch der cloud die Verantwortung für verschiedene Sicherheitsmaßnahmen in einer cloud tragen. Beispielsweise könnte ein cloud dafür verantwortlich sein, sicherzustellen, dass seineplatform verschlüsseltplatform und seine Server auf Sicherheitsvorfälle überwacht werden. SAP leistet hervorragende Arbeit beim Schutz der zugrunde liegenden Cloud-Infrastruktur, die von Kunden genutzt wird. Der cloud trägt jedoch die Verantwortung für die Authentifizierung, Autorisierung und Konfiguration von Anwendungen, für Schnittstellen, benutzerdefinierten Code und viele andere Bereiche in der cloud sowie für die Überwachung der Anwendungen und die Überwachung auf missbräuchliche Nutzung der cloud und der Daten.

Die Verlagerung Ihrer SAP-Anwendungen in die cloud nicht, dass die Verantwortung und Rechenschaftspflicht für die Sicherheit nicht mehr bei Ihrem Unternehmen liegt. Sie sind weiterhin für die Daten verantwortlich, die von diesen Anwendungen gehostet und verarbeitet werden. 

Wenn Sie Onapsis-Kunde von Assess Defend sind, Platform Sie die Platform bereits. Wenn Sie unser Threat Intel Center abonniert Platform , erhalten Sie mit einem Klick Zugriff auf diese threat intelligence eine konsolidierte Übersicht über alle betroffenen Ressourcen in Ihrer Infrastruktur. Falls Sie das Threat Intel Center noch nicht abonniert haben, wenden Sie sich bitte an Ihren Kundenbetreuer und fragen Sie nach einer kostenlosen Testversion. 

Sollten Sie den Aspekt der Cybersicherheit Ihrer SAP-Anwendungen bisher noch nie analysiert haben – sei es aufgrund der allgemeinen Komplexität oder aufgrund fehlender SAP-Kenntnisse in Ihrem Sicherheitsteam –, ist der erste logische Schritt, sich einen Überblick über Ihre aktuelle Situation hinsichtlich der potenziellen Geschäftsrisiken für Ihre kritischen SAP-Systeme zu verschaffen. Dies kann mitunter eine gewaltige Aufgabe sein, aber wir stehen Ihnen gerne zur Seite. Bitte kontaktieren Sie uns unter [email protected]

Weiterführende Literatur

Möchten Sie sich näher damit befassen? Beginnen Sie mit diesen verwandten Artikeln und besuchen Sie dann unsere Seite „Ressourcen“, um weitere Informationen zu erhalten.

ALLE RESSOURCEN
Zwei Männer, die gemeinsam am Computer programmieren

Bleiben Sie mit Onapsis Research Labs den CH4TTER-Sicherheitslücken einen Schritt voraus

Cybersicherheit erfordert proaktive Maßnahmen, und der Schutz Ihrer SAP-Systeme vor ausgenutzten Schwachstellen ist von entscheidender Bedeutung. Zögern Sie nicht – wenden Sie sich noch heute an uns, um die Sicherheit Ihrer SAP-Umgebung zu verbessern. Gemeinsam können wir sicherstellen, dass Ihre Systeme widerstandsfähig bleiben und vor neuen Bedrohungen geschützt sind.

Kontaktieren Sie uns