Die drei meistbenutzten Angriffsvektoren auf SAP-Systeme

Eine Studie hat die drei häufigsten Vorgehensweisen bei Cyber-Attacken auf SAP-Anwendungen ermittelt. Diese Angriffsvektoren setzen geistiges Eigentum, Finanz-, Kreditkarten-, Kunden-und Lieferantendaten sowie in Datenbanken gespeicherte Informationen der weltweit größten Unternehmen einem hohen Risiko aus. Für seine Studie untersuchte das Onapsis Research Labs hunderte von SAP-Installationen. 95 Prozent dieser SAP-Systeme wiesen Schwachstellen auf, über die Hacker vollständigen Zugriff auf die Geschäftsdaten und -prozesse der betroffenen Unternehmen erlangen können.

Darüber hinaus ergab die Studie, dass es bei den meisten Unternehmen 18 Monate oder länger dauert, bis Patches für gefundene Schwachstellen implementiert werden. Allein im Jahr 2014 hat SAP 391 Sicherheitspatches veröffentlicht – im Durchschnitt also mehr als 30 pro Monat! Nahezu 50 Prozent dieser Patches hat SAP mit einer hohen Priorität eingestuft.

Weltweit setzen über 250.000 Unternehmen SAP-Lösungen ein – darunter 87 Prozent der Global 2000-Konzerne und 98 Prozent der weltweit wertvollsten Marken. SAP-Systeme speichern die wertvollsten und sensibelsten Unternehmensinformationen – und werden von herkömmlichen IT-Sicherheitsansätzen nicht geschützt.

»Das Thema SAP-Cyber-Security wird von vielen Unternehmen nicht ernsthaft genug verfolgt, da nicht geklärt ist, wer dafür zuständig ist – das SAP-Betriebsteam oder das IT-Sicherheitsteam. Dies hat uns wirklich überrascht«, sagt Mariano Nunez, CEO und Gründer von Onapsis. »Die meisten eingespielten Patches sind nicht sicherheitsrelevant, kommen verspätet oder öffnen neue Schwachstellen für den Betrieb des SAP-Systems. Jeden Tag werden neue Datenlecks bekannt, ohne dass CISOs davon erfahren – weil ihnen die Visibility für ihre SAP-Anwendungen fehlt. Onapsis untersucht fortlaufend die Angriffe, denen die Industrie ausgesetzt ist. Wir arbeiten direkt mit unseren Kunden, dem Markt und Regierungsbehörden zusammen, um Angriffen proaktiv vorzubeugen und geeignet darauf zu reagieren, wenn sie erfolgen.«

»CEOs nehmen irrtümlicherweise an, dass ihre wichtigsten Geschäftsprozesse und -daten vor Cyber-Attacken geschützt sind. Doch die heutige Definition von Anwendungssicherheit muss auf die Anwendungsebene von SAP-Unternehmensapplikationen erweitert werden. Dies muss auf Ebene der Geschäftsführung diskutiert werden. Ein Datenleck in einem SAP-System kann ein Unternehmen dutzende von Millionen Dollar kosten – pro Minute«, sagt Renee Guttman, Vice President, Office of the CISO, Accuvant und früherer CISO von Coca-Cola.

Die drei meistbenutzten Angriffsmethoden für Attacken auf SAP-Systeme

Onapsis Research Labs hat tausende von Schwachstellen untersucht, um die drei am häufigsten verwendeten Ansätze und für das Hacken von geschäftswichtigen, in SAP gespeichert Daten und für das Unterbrechen von zentralen Geschäftsprozessen zu ermitteln:

  1. Bedrohungen von Kunden-und Kreditkarteninformationen, die den Austausch zwischen SAP-Systemen ausnutzen: Die Angriffe setzen an einem System mit niedrigen Sicherheitseinstellungen an und hangeln sich zu einem geschäftswichtigen System vor, indem sie fernsteuerbare Funktionsmodule im Zielsystem ausführen.
  2. Attacken auf Kunden-und Lieferantenportale: Dazu werden Backdoor-Anwender im SAP-J2EE-Benutzermanagement-Modul erzeugt. Durch das Ausnutzen einer Schwachstelle können die Hacker Zugriff auf SAP-Portale und Prozessintegrations-Plattformen sowie die damit verbundenen, internen Systeme erlangen.
  3. Angriffe auf Datenbanken über proprietäre SAP-Protokolle: Für diese Attacke werden Betriebssystembefehle mit den Rechten bestimmter Benutzer ausgeführt und Schwachstellen im SAP-RFC-Gateway ausgenutzt. Der Hacker erhält Zugriff auf jede in der SAP-Datenbank gespeicherte Information und kann diese verändern.

»Die Echtzeit-Plattform SAP HANA verschlimmert die Situation sogar noch. Die Zahl neuer Sicherheitspatches, die speziell diese neue Plattform betreffen, hat um 450 Prozent zugenommen. Hinzu kommt, dass SAP HANA als Kernkomponente im Zentrum des SAP-Ökosystems platziert ist. Daten, die in den SAP-Plattformen gespeichert werden, müssen nun sowohl in der Cloud als auch im Unternehmen geschützt werden«, führt Nunez aus. »Onapsis Research Labs ist das führende Unternehmen für SAP-Cyber-Security, das SAP hilft, SAP HANA-betreffende Sicherheitsschwachstellen zu identifizieren und zu beheben.«

Aktionsplan für CISO

Handelsunternehmen, Energieversorger, Hersteller, Pharmakonzerne und andere Global 2000-Organisationen, die geschäftswichtige Prozesse über Lösungen der SAP Business Suite betreiben, sollten unbedingt die neusten SAP-Sicherheitshinweise befolgen. Sie sollten zudem sicherstellen, dass ihre Systeme korrekt konfiguriert sind, um geltende Compliance-Anforderungen zu erfüllen und das Sicherheitsniveau zu erhöhen. Diese Aktivitäten sollten einem Aktionsplan folgen, der SAP-Cyber-Security als Teil der Unternehmensstrategie und -Roadmap etabliert:

  • Visibility in SAP-basiert Komponenten realisieren, um gefährdete Werte zu identifizieren.
  • Vorsorge vor Sicherheits-und Compliance-Probleme durch kontinuierliche Überwachung treffen.
  • Neue Bedrohungen, Angriffe und anomales Benutzerverhalten als Gefährdungsindikatoren (Indicators of Compromise, IOC) erkennen und mit geeigneten Maßnahmen darauf reagieren.

grafik onapsis security platform architecture

Weitere Artikel zu