01. Jun. 2021
Neuer „Threat Intelligence Report“: SAP-Bedrohungslage spitzt sich zu
Von Frederik Weidemann, Onapsis
Welche Methoden und Techniken nutzen Cyberkriminelle, um SAP-Anwendungen zu kompromittieren? Welche Ausnutzungsmöglichkeiten bieten sich ihnen, wenn ein Angriff gelang? Um Transparenz über die aktuelle SAP-Bedrohungslage zu erhalten, führten Onapsis und SAP eine globale Studie – den „Threat Intelligence Report“ – durch. Dazu bauten die Sicherheitsforscher ein eigenes Sensornetzwerk auf, das weltweit verteilte „Honeypots“ (Honigtöpfe) zum ersten Mal im SAP-Umfeld nutzt. Mehrere SAP-Systeme wurden absichtlich mit Schwachstellen versehen und im Internet zugänglich gemacht, um die Angreifer gezielt anzulocken. Über Monate hinweg beobachteten die Sicherheitsforscher die präparierten SAP-Systeme rund um die Uhr – und förderten alarmierende Ergebnisse zutage.
Über 300 Angriffe festgestellt
So kam es während dieser Zeit zu mehr als 300 erfolgreichen Angriffen, bei denen ungepatchte SAP-Sicherheitslücken und fehlerhafte Systemeinstellungen ausgenutzt wurden. In einem Drittel der Fälle wurde wenige Stunden später ein Hands-on-Keyboard-Login ausgeführt.
Erstaunlich war zum einen das Tempo, das die Angreifer vorlegten: So brauchten sie lediglich 72 Stunden nach Veröffentlichung eines SAP-Sicherheitspatches, bis sie die zugehörige Schwachstelle auszunutzen konnten. Wurden ungeschützte SAP-Anwendungen komplett neu in IaaS-Umgebungen zur Verfügung stellt, dauerte es im kürzesten Fall lediglich drei Stunden, bis die Cyberkriminellen diese entdeckten und kompromittierten. Dabei fiel auf, dass es die Angreifer bevorzugt auf die Cloud-Plattformen großer IaaS-Provider abgesehen hatten, um dort nach verwundbaren SAP-Systemen zu suchen.
Absolute SAP-Profis am Werk
Viele Unternehmen gehen heute noch immer davon aus, dass Angriffe eine hohe Komplexität erfordern oder das notwendige Know-how bei den Angreifern nicht vorhanden ist. Das ist ein Trugschluss. Denn bei vielen SAP-Angriffen zeigten sich eindeutig Profis am Werk, die neben fundiertem SAP-Know-how über direkten Zugriff auf SAP-Software verfügen. So nutzten einige Bedrohungsakteure SAP-Schwachstellen aus, noch ehe die zugehörigen Exploits veröffentlicht worden waren. Sie mussten also genügend Technologiewissen besitzen, um selbst Exploits entwickeln zu können. Andere Angreifer wiederum patchten SAP-Sicherheitslücken, nachdem sie selbst in die Systeme eingedrungen waren. Während es für andere Cyberkriminelle kein Einfallstor mehr gab, hatten sich die Angreifer längst ein Benutzerkonto und damit ein eigenes Schlupfloch angelegt. Diese Vorgehensweisen selbst sind im IT-Sicherheitsumfeld nicht neu, wurden jedoch erstmals im SAP-Umfeld nachgewiesen.
Hohe Frequenz der Angriffsversuche
Überrascht hat die Onapsis- und SAP-Sicherheitsexperten auch die Häufigkeit der Angriffsversuche. Sie lässt sich unter anderem mit einer besonderen Angriffsstrategie erklären. So bauen viele Cyberkriminelle Verzeichnisse mit weltweit im Internet zugänglichen SAP-Systemen auf und halten diese durch ständige Online-Recherchen aktuell. Wird eine neue Exploit-Beschreibung herausgegeben, wenden sie diese auf den kompletten Index an. Mit gutem Ergebnis, da die SAP-Systeme mit den zugehörigen Schwachstellen automatisch kompromittiert werden können. Dabei gehen viele Angriffe von weltweit verteilten IT-Infrastrukturen und koordinierten Gruppen aus. So wurden immer wieder Attacken von Quellsystemen in verschiedenen Ländern aus registriert, die zum Teil auch manuell erfolgten.
Attacken immer gefährlicher
Mit dem Technologie- und Prozess-Wissen der Angreifer wächst die Gefährlichkeit der Attacken. Weit über die verbreitete Brute-Force-Methode hinaus wurden zahlreiche Angriffe registriert, die mehrere SAP-Schwachstellen kombiniert auszunutzen versuchten. Damit wollten die Cyberkriminellen eine Rechteausweitung von den Anwendungen auf das Betriebssystem erzielen oder gleich mehrere SAP-Systeme auf einmal kompromittieren – mit womöglich schwerwiegenden Folgen für die Unternehmen.
So können die Angriffe dazu führen, dass die Bedrohungsakteure die Kontrolle über ein SAP-System übernehmen. Das betrifft nicht nur Angriffe von außen, sondern auch durch Innentäter, also eigene Mitarbeiter. Datendiebe, Wirtschaftsspione und Saboteure sind dann in der Lage, ganze Datenbestände zu kopieren, zu ändern oder zu löschen. So können Finanzberichte gefälscht, kritische Geschäftsprozesse unterbrochen oder SAP-Systeme komplett abgeschaltet werden. Den Unternehmen entstehen dadurch finanzielle und rechtliche Schäden, zudem leidet ihre Reputation. Gleichzeitig können die Cyberattacken zu kostspieligen Audit- und Compliance-Verstößen führen.
Dringende Sicherheitsmaßnahmen empfohlen
Um diese Schäden abzuwenden, sollten die Unternehmen dringend wirksame Sicherheitsmaßnahmen ergreifen. Die Onapsis- und SAP Security-Experten raten zu folgenden Schwerpunkten:
- Etablieren Sie ein regelmäßiges SAP-Patchmanagement!
Ungepatchte SAP-Schwachstellen gehören zu den gefährlichsten Angriffsstellen in den Systemen. Daher sollte jedes Unternehmen für ein effektives Patchmanagement sorgen und die dafür erforderlichen Rollen und Prozesse etablieren. Es empfiehlt sich, sofort nach der monatlichen Veröffentlichung der SAP-Sicherheitsupdates eine Patch-Priorisierung vorzunehmen – und kompensierende Maßnahmen zu definieren, falls bestimmte Patches nicht gleich eingespielt werden können.
- Führen Sie automatische Gefährdungsanalysen durch!
SAP-Schwachstellen treten im Bereich von Systemeinstellungen, eigenentwickeltem ABAP-Code und Transporten auf. Hohe Risiken gehen auch von unzulässigen Verbindungen kritischer Berechtigungen aus. Mit speziellen Tools zur automatisierten Analyse und Bewertung der Risiken lassen sich die Sicherheitslücken aufspüren, beheben und vermeiden. Nach Möglichkeit sollten diese Werkzeuge auch offizielle Sicherheitsrichtlinien und Empfehlungen berücksichtigen, wie sie zum Beispiel von SAP, der Deutschsprachigen SAP-Anwendergruppe (DSAG) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben werden.
- Installieren Sie SAP-Sicherheitskontrollen in Echtzeit!
Kommt es trotz aller Sicherheitsvorkehrungen zu Angriffsversuchen, müssen diese schnell erkannt und bewertet werden. Falls erforderlich, sind Gegenmaßnahmen zu ergreifen. Doch reichen die herkömmlichen SIEM-Systeme (Security Information and Event Management) für die SAP-Sicherheitsüberwachung nicht aus, da sie die SAP-Logdateien nicht auslesen können. Daher sollten Unternehmen zusätzlich Tools einsetzen, die ein gezieltes SAP-Sicherheitscontrolling in Echtzeit ermöglichen.
Schnelles Handeln geboten
Der „Threat Intelligence Report“ weist eine zugespitzte Bedrohungslage für SAP-Systeme aus. Immer ausgeklügeltere Angriffsmethoden und -techniken fordern von den Unternehmen ein schnelles Handeln und systematische Sicherheitsmaßnahmen.
Frederik Weidemann ist Experte für Cybersicherheit und Chief Technical Evangelist bei Onapsis, wo er Innovationen vorantreibt. In seiner 15-jährigen Berufslaufbahn hat er sich auf ERP-, SAP- und Cloud-Sicherheit fokussiert und zahlreiche Zero-Day-Schwachstellen in geschäftskritischen Anwendungen gefunden. Er ist Mitautor des ersten Buchs über sichere ABAP-Programmierung und war weltweit auf über 50 sicherheitsbezogenen Konferenzen wie RSA und Troopers mit Fachvorträgen vertreten.
