ERP-Systeme in Gefahr SAP-Anwender im Visier von Hackern

Foto: TippaPatt – shutterstock.com

SAP-Schwachstellen geraten zunehmend in den Fokus von Cyberkriminellen. Im Jahr 2023 haben Angriffe auf SAP-Anwendungen einen neuen Höchststand erreicht. Dabei hat sich die Zahl der durch Ransomware-Vorfälle kompromittierten Systeme seit 2021 verfünffacht. So lautet das Kernergebnis einer gemeinsamen Analyse der beiden IT-Security-Anbieter Flashpoint und Onapsis.

Der Bericht hebt hervor, dass alle ausgenutzten Schwachstellen bereits von den jeweiligen Anbietern gepatcht wurden. Das deutete darauf hin, dass Angreifer weiterhin Unternehmen mit einer schwachen Cybersicherheits-Governance für SAP-Anwendungen ins Visier nehmen.

Exploits waren finanziell motiviert

Unter den vielen Angriffsarten im Zusammenhang mit SAP-Schwachstellen wurde Ransomware am häufigsten eingesetzt, was auf eine starke finanzielle Motivation hinweist. “Bedrohungsakteure haben unterschiedliche Motivationen, aber die meisten von ihnen wollen aus ihren Kompromittierungen Profit schlagen”, betont Paul Laudanski, Director of Security Research bei Onapsis. “Sie tun dies, indem sie sensible Daten wie Jahresabschlüsse exfiltrieren oder Finanzbetrug begehen.”

Außerdem würden Ransomware-Angreifer davon profitieren, dass sie Lösegeld verlangen, ergänzt Laudanski. “Oder sie versteigern die exfiltrierten Daten sogar an den Höchstbietenden, indem sie sie zum Beispiel an Konkurrenten weitergeben.”

Sie seien damit erfolgreich, weil die gestohlenen Daten in der Regel geschäftskritisch sind und in einigen Fällen die Abläufe der Unternehmen beeinträchtigen, so der Onapsis-Research-Director. Zu den führenden Ransomware-Gruppen, die an solchen Angriffen beteiligt waren, gehören Conti, Quantum, LockBit, Blackcat, HIVE, REvil und Netwalker.

Darüber hinaus wurde festgestellt, dass einige der Angriffe auf die Daten von SAP-Systemen Teil einer staatlich gesponserten Kampagne waren. “Ein Beispiel für Bedrohungsakteure, die es auf SAP-Anwendungen abgesehen haben, ist APT10. Die Gruppe wird vom chinesischen Staat unterstützt”, fügt Perez-Etchegoyen, CTO bei Onapsis hinzu.

Verstärktes Chatten im Dark Web

Der Analyse zufolge haben die Gespräche über SAP-Schwachstellen und -Exploits im Dark Web zwischen 2021 und 2023 um 490 Prozent zugenommen. Die Gespräche konzentrierten sich in erster Linie darauf, wie die Schwachstellen ausgenutzt werden können, auf Anleitungen für die Ausführung von Exploits für bestimmte Opfer und auf die Monetarisierung von SAP-Kompromittierungen.

Zudem stellten die Analysten fest, dass der Preis für Remote-Code-Execution-Angriffe (RCE) für SAP-Anwendungen von 2020 bis 2023 um 400 Prozent gestiegen ist. “Wir sehen ein erhöhtes Interesse an Exploits, die auf SAP-Anwendungen abzielen, da die Website (Exploit-Broker) ein Kopfgeld von bis zu 50.000 Dollar für eine Remote Code Execution (RCE) anbietet. Davon betroffen sind SAP NetWeaver Systems 12”, heißt es in dem Bericht. “In ähnlicher Weise hat CrowdFence am 8. April 2024 eine aktualisierte Preisliste veröffentlicht, in der SAP-RCE-Exploits mit bis zu 250.000 Dollar ausgelobt werden.”

Zu den Schwachstellen mit hohem Schweregrad (>9/10 CVSS), die zur Kompromittierung von SAP-Systemen ausgenutzt wurden, zählen CVE-2010-5326, CVE-2016-2386, CVE-2020-6207, CVE-2020-6287, CVE-2021-38163, CVE-2021-33690, CVE-2022-22536, CVE-2022-6287 und CVE-2022-6207.

Um die damit verbundenen Risiken zu minimieren, empfehlen die Security-Spezialisten folgende Maßnahmen:

• Unternehmen sollten geschäftskritische Prozesse und Daten, die von SAP unterstützt werden, identifizieren und absichern,

• alle in der Liste aufgeführten Schwachstellen beseitigen,

• die Transparenz des SOC in Bezug auf SAP-Kompromittierungsindikatoren (Indicators of Compromise, IoCs) sicherstellen, sowie

• die SAP-Landschaft in das Schwachstellenmanagement, die Sicherheitsüberwachung und die Erkennung von Bedrohungen, den sicheren Entwicklungslebenszyklus und die Bedrohungsanalyse integrieren.

Lesetipp: Mangelhafte ERP-Sicherheit – eine Gefahr für Unternehmen