Eine neue Studie von Flashpoint und Onapsis zeigt: Immer mehr Cyberkriminelle wollen in SAP-Anwendungen eindringen. Der Report zeigt, wer hinter diesen Angriffen steckt und wie man sich schützen kann.
2023 gab es viele Angriffe auf SAP-Anwendungen. Aber SAP hat seine Sicherheitslücken schon vor Jahren geschlossen. Ausserdem hat das Unternehmen seine Kunden sofort informiert. Trotzdem gibt es viele Angriffe. Die Angreifer wollen Unternehmen mit schwachen Sicherheitsvorkehrungen für SAP-Software angreifen. Sie nutzen bekannte, aber nicht gepatchte Schwachstellen und Fehler in der Software. Die Lage wird noch schlimmer, weil immer mehr Kunden ihre SAP-Anwendungen in die Cloud verlegen. Dadurch sind sie noch stärker gefährdet. Der Report zeigt, wie sich die SAP-Bedrohungslandschaft in den letzten vier Jahren entwickelt hat. Es wird deutlich, dass dieser Markt für Cyberkriminelle immer reifer wird. Die Verteidiger müssen sich deshalb immer neuen Herausforderungen stellen.
Bedrohungen und Angriffe durch Ransomware nehmen zu
Die Untersuchungen von Onapsis und Flashpoint zeigen, dass etablierte, professionelle Bedrohungsakteure und staatlich gesponserte Gruppen SAP-Anwendungen immer aggressiver ins Visier nehmen. Deren Ziel ist dabei Spionage, Sabotage oder die Generierung finanzieller Gewinne. Seit 2021 gab es 400 Prozent mehr Vorfälle, bei denen Ransomware SAP-Systeme und -Daten in Unternehmen kompromittiert hat. Die Onapsis Research Labs und die CISA, die US-amerikanische Bundesbehörde für Cyber- und Infrastruktur-Sicherheit, haben herausgefunden, dass bei Ransomware-Angriffen auch ungepatchte SAP-Schwachstellen ausgenutzt werden. Ransomware-Gruppen haben ihre Malware-Software in den letzten Jahren immer wieder verändert, damit sie SAP-Anwendungen besser erkennen und gezielt Daten sammeln oder verschlüsseln können.
Deep und Dark Web Interesse an SAP-Exploitation stark gestiegen
Im Zeitraum zwischen 2021 und 2023 haben sich die Unterhaltungen und der Austausch über SAP-Schwachstellen im Deep und Dark Web fast verfünffacht (ein Anstieg um 490 %). Das Interesse an SAP-Schwachstellen in cyberkriminellen Foren nimmt deutlich zu. Die diskutierten Themen und Inhalten waren unter anderem:
- Informationen darüber, wie man SAP-Schwachstellen ausnutzen kann
- Konkrete Anleitungen zum Ausführen bestimmter SAP-Exploits
- Akteure, die SAP-Kompromittierungen diskutieren
Threat Community tauscht sich aus
In den Jahren 2021 bis 2023 haben sich die Diskussionen in kriminellen Foren über SAP-Dienste im Internet mehr als verdoppelt. Dadurch werden kritische SAP-Anwendungen für Kriminelle leichter zugänglich. Viele grosse Unternehmen nutzen ERP-Anwendungen von bekannten Anbietern wie SAP und Oracle. Dazu gehören zum Beispiel SAP Business Suite, SAP S/4HANA und Oracle E-Business Suite/Financials. Diese Anwendungen sind wichtig für viele Geschäftsprozesse, zum Beispiel Gehaltsabrechnung, Finanzwesen, Bestandsverwaltung, Fertigung, Finanzplanung, Vertrieb, Logistik und mehr. Sie sind auch wichtig für die Verwaltung und das Hosting von Daten, die nicht jeder sehen darf. Dazu gehören zum Beispiel Finanzergebnisse, Fertigungsformeln, Preisstrategien, wichtiges geistiges Eigentum, aber auch Kreditkartendaten und personenbezogene Daten von Mitarbeitenden, Kunden und Lieferanten.
Proaktive Gegenmassnahmen und Warnungen
Einige Firmen hinken bei der ERP-Cybersicherheit hinterher. Oft fehlt es an Informationen über die Bedrohungsakteure in diesem Bereich, der von vielen Informationssicherheitsteams als komplex und undurchsichtig wahrgenommen wird. Aus diesem Grund warnen SAP und Onapsis seit Jahren proaktiv vor dem erhöhten Risiko bösartiger Cyberaktivitäten und Ransomware-Bedrohungen, die speziell auf SAP-Anwendungen abzielen. Unternehmen müssen handeln und sich schützen. „Bedrohungsakteure entwickeln ihre Taktiken und Ziele ständig weiter, um ihren Profit zu maximieren. Bei der Art von Daten, die ERP-Anwendungen enthalten, überrascht es nicht, dass wir eindeutige Beweise und Trends zur zunehmenden Dynamik in Online-Foren und -Kanälen aufgedeckt haben. Dies sollte ein Weckruf für uns alle sein, und das nicht nur im Bereich der Bedrohungsanalyse, sondern im Bereich der Cybersicherheit insgesamt“, so Christian Rencken, Senior Strategic Advisor bei Flashpoint.