Die Zahl der Cyber-Attacken auf Unternehmen wächst stetig. Laut einer Bitkom-Studie wurden in den letzten zwei Jahren sieben von zehn Industrieunternehmen Opfer von Hackern. Besonders schwer traf es dabei den Mittelstand, bei dem 73 Prozent der Unternehmen mit Datendiebstahl, Malware & Co. zu kämpfen hatten. Dabei zeigt sich: ERP-Systeme wie SAP entwickeln sich zum Lieblingsziel der Angreifer.

ERP-Systeme sind das digitale Herz von Unternehmen: Sie verarbeiten hochsensible Daten und bilden geschäftskritische Unternehmensprozesse ab – sowohl in globalen Konzernen als auch in kleinen und mittelständischen Unternehmen. 77 Prozent der weltweiten Transaktionsumsätze kommen mindestens einmal mit einem oder mehreren SAP-Systemen in Kontakt. Zwangsläufig rücken die Systeme so auch ins Visier von Cyber-Kriminellen.

Im Dark Web haben ERP-Angriffe Konjunktur. Nach einem Report von Digital Shadows und Onapsis ist die Anzahl der öffentlich gemachten Exploits von ERP-Anwendungen in den letzten drei Jahren um 100 Prozent gestiegen. Das Interesse an ERP-spezifischen Schwachstellen sowie damit verbundene Aktivitäten nahmen zwischen 2016 und 2017 sogar um 160 Prozent zu.

Stefan Bange, Country Manager Deutschland, Digital Shadows Quelle: Digital Shadows

Angriff am wunden Punkt

Umso erstaunlicher ist es daher, wie wenig die Anwendungen vor Hackerangriffen tatsächlich geschützt sind. Oft fehlt ein auf SAP-Anwendungen ausgerichtetes Vulnerability- und Patch-Management. Indes steigt die Zahl von sogenannten CVEs (Common Vulnerabilities and Exposures) und der indizierten Quellen seit Jahren stetig. Allein SAP weist derzeit insgesamt 4.000 bekannte Vulnerabilities auf. Cyber-Kriminelle nutzen diese Sicherheitslücken immer wieder, um sich ungehindert Zugang zum System zu verschaffen und Malware einzuschleusen.

Wer nicht regelmäßig Schwachstellen patcht, hat so gut wie verloren. SAP selbst verließ sich lange Zeit auf eine eigene Inventarisierung sowie auf Sicherheitshinweise, die nicht zwingend in die CVEs eingeflossen sind. Um potenzielle Sicherheitslücken eindeutig identifizieren und so den Informationsaustausch vereinfachen zu können, wurden kürzlich CVE-Nummern eingeführt, die sich speziell auf SAP-Schwachstellen beziehen.

Invoker Servlet Vulnerability

Trotz solcher Warnungen bleiben jedoch immer wieder Schwachstellen in SAP-Anwendungen ungepatcht – selbst wenn diese wie bei der Invoker Servlet Vulnerability seit Jahren bekannt sind. Die Schwachstelle der in SAP enthaltenen Java-Plattform wurde von SAP bereits 2010 mit einem Update standardmäßig deaktiviert, allerdings nicht in Releases älter als SAP NetWeaver 7.20. Bei älteren Versionen, zum Beispiel SAP Solution Manager 7.1 oder anderen Double-Stack-Systemen wie BI, PI und sogar ERP, gab es spezielle Sicherheitsmaßnahmen zu beachten.

Cyber-Kriminellen gelang es trotzdem, diese Schwachstelle auszunutzen: Insgesamt wurden Berichten zufolge über 36 führende Unternehmen weltweit über die Schwachstelle kompromittiert. Im Jahr 2016 veröffentlichte schließlich das U.S. Computer Emergency Readiness Team (US-CERT) mit dem Alert TA16-132A eine ausdrückliche Warnung zu Invoker Servlet – die erste von CERT ausgesprochene Warnung für SAP-Anwendungen überhaupt.

Der Exploit der Invoker Servlet Vulnerability ermöglichte die volle administrative Kontrolle über das SAP-System, um im weiteren Verlauf des Angriffs beispielsweise beliebige Betriebssystemkommandos mit hohen Rechten auszuführen (adm, SAP-Prozesskonto). Schritt für Schritt konnten die Angreifer so Zugriffsrechte ausweiten (Privilege Escalation), sich im Netzwerk ausbreiten (Network Lateral Movement) und dieses weiter ausspionieren (Network Reconnaisance).

In einem von Onapsis dokumentierten Fall gelang es den Angreifern, mit einer Kombination aus Systemwerkzeugen wie rar und ftp den Datensatz SAP Secure Storage (ABAP) des SAP NetWeaver Application Server zu exfiltrieren und damit Anmeldeinformationen für SAP-Anwendungen abzugreifen. Selbst die Verschlüsselung der Informationen über SAP Secure Storage konnte mit Hilfe von einfachen Tools übergangen werden. Da die SAP-Audit- und Sicherheitsprotokolle zudem nicht in allen Umgebungen korrekt konfiguriert waren, ließen sich die Aktivitäten des Angreifers auf der SAP-Anwendungsschicht und damit die Folgen der Sicherheitsverletzung nur schwer rekonstruieren.

Schwachstellen sind nicht der einzige Weg, um sich Zugriffe auf ERP-Systeme zu verschaffen. Eine unsichere Passwortvergabe oder die Nutzung ein und desselben Passworts für mehrere Anwendungen macht das Hacken von Unternehmenskonten für Angreifer zum Kinderspiel. SAP-Anwendungen sind hier keine Ausnahme – insbesondere, wenn diese im Unternehmen als Legacy-Plattformen mit schwachen und voreingestellten Passwörtern geführt werden.

Mit webbasierten SAP-Systemen hat sich zudem die Angriffsfläche auf die Cloud ausgeweitet. Im Open Web findet sich eine große Zahl unsicherer, falsch konfigurierter und damit frei zugänglicher Anwendungen. Die SAP-webbasierte Komponente namens SAP Internet Transaction Server zum Beispiel wird gemäß SAP-Hinweis 197746 10 nicht mehr gepflegt und erhält keine Patches. Um diese Komponente im Netz aufspüren zu können, können Angreifer auf Device/IoT-Suchmaschinen wie Shodan und Censys zurückgreifen oder über einfache Tools wie Google Dorks Suchabfragen starten.

Gezielter Schutz für SAP-Anwendungen

Die Gefahr für SAP-Anwendungen ist real – unabhängig davon, ob sie vor Ort oder in öffentlichen, privaten oder hybriden Cloud-Umgebungen eingesetzt werden. Bedrohungsakteure entwickeln ihre Taktiken, Techniken und Prozeduren (TTPS) ständig weiter und bieten spezialisierte Hackerdienste an, die sich gänzlich auf die Schwachstellen in SAP & Co. konzentrieren. Entsprechend sollten Unternehmen ihrerseits bewährte Maßnahmen und Kontrollfunktionen aus anderen Bereichen der IT-Sicherheit übernehmen, anpassen und weiterentwickeln.

Prinzipiell empfiehlt es sich, Software-Vulnerabilities auf der ERP-Anwendungsschicht in Übereinstimmung mit der Patching-Frequenz der Software-Anbieter zu überprüfen, wodurch sich auch unsichere Parameter und Einstellungen wie schwache Passwörter oder Standardpasswörter identifizieren lassen. Bei SAP erfolgt dies einmal im Monat. Auch sollten in regelmäßigen Abständen die Berechtigungen von Nutzern kontrolliert werden – sowohl für Administratorenrechte und Entwickler als auch für Zugriffsrechte, die im Rahmen von Batch-Jobs oder beim Einrichten von Schnittstellen zu anderen Anwendungen vergeben wurden. Wiederholbare und automatisierte Prozesse stellen schließlich sicher, dass Sicherheitslücken entsprechend ihrer vorab definierten „Security Baseline“ frühzeitig erkannt und geschlossen werden.

Internes wie externes Monitoring

Um gezielt ERP-Anwendungen überwachen zu können, lohnt es sich, nach auffälligem User-Verhalten von privilegierten und nicht privilegierten Nutzern sowie Business-Anwendern und technischen Benutzern zu scannen. Dabei helfen automatisierte Monitoring-Systeme, die Anzeichen eines Exploits und kompromittierter Daten schneller erkennen und so frühzeitig Alarm schlagen. Wiederholbare Prozesse für ERP-Anwendungen können hier in bestehende Monitoring- und Response-Systeme integriert werden.

Nicht zuletzt kann ein Blick über die Unternehmensgrenzen hinweg Aufschluss über potenzielle Risiken geben – angefangen bei kürzlich veröffentlichten Schwachstellen über geleakte Zugangsdaten im Dark Web bis hin zu versehentlich öffentlich gewordenen Systeminformationen. Eine übergreifende Threat Intelligence zeichnet ein genaues Bild der aktuellen und branchenspezifischen Bedrohungslage – für das Unternehmen im Allgemeinen und für SAP im Besonderen.