Mit mehr als 400.000 Kunden weltweit, darunter 99 der 100 größten Unternehmen der Welt, ist SAP eine grundlegende Technologie für die digitale Wirtschaft der Welt. Tatsächlich sind SAP-Kunden für 87 % des gesamten weltweiten Handelsvolumens verantwortlich, das sich auf 46 Billionen US-Dollar beläuft. Da diese Anwendungen einen enormen Wert haben – sowohl in Bezug auf ihre Daten als auch auf kritische Geschäftsprozesse – haben es Cyberkriminelle zunehmend auf die Ausnutzung von Schwachstellen abgesehen.
Wir haben soeben eine neue Studie veröffentlicht, die von Onapsis Research Labs in Zusammenarbeit mit Flashpoint durchgeführt wurde und besorgniserregende Trends aufgedeckt hat: eine 400-prozentige Zunahme von Ransomware-Vorfällen, bei denen SAP-Systeme und -Daten in den Unternehmen der Opfer kompromittiert wurden, eine 490-prozentige Zunahme von Gesprächen in cyberkriminellen Foren über SAP-Schwachstellen und -Exploits, eine 400-prozentige Zunahme des Preises, den Broker bereit sind, für Exploits zu zahlen, die SAP kompromittieren, und mehr. Die Fakten sind eindeutig: Ungeschützte Cloud-, Hybrid- und On-Premise-SAP-Anwendungen werden von böswilligen Bedrohungsakteuren für Datendiebstahl, Finanzbetrug und – in zunehmendem Maße – Ransomware angegriffen.
In vielen Gesprächen, die ich in der Branche geführt habe, sehen sich die Verantwortlichen gezwungen, erst zu handeln, wenn ein Vorfall eingetreten ist. Hier die gute Nachricht: Der Kreislauf kann durchbrochen werden. Im Folgenden finden Sie einige Fragen, die Sie oder die Führungskräfte in Ihrem Team in die Lage versetzen können, die Verantwortung für Ihre SAP-Cyber-Resilienz zu übernehmen und Ihre Anwendungen gegen Bedrohungen zu schützen:
Wer hat es auf SAP abgesehen?
Bekannte Gruppen von Bedrohungsakteuren wie FIN13, Cobalt Spider, APT10 und FIN7 nutzen aktiv SAP-Schwachstellen aus, kompromittieren ungeschützte Systeme und schließen deren Daten in Ransomware-Angriffe ein. Obwohl SAP und Onapsis seit Jahren proaktiv vor dem erhöhten Risiko von bösartigen Aktivitäten und Ransomware-Angriffen auf SAP-Anwendungen warnen, haben einige Unternehmen ihre Sicherheitsvorkehrungen noch immer nicht entsprechend verbessert.
Diese Untersuchung zeigt, dass die Bedrohung real ist und eskaliert.
Wie wird SAP ins Visier genommen?
Da Unternehmen SAP-Anwendungen im Rahmen der digitalen Transformation in die Cloud verlagern, um den Geschäftswert zu steigern, besteht der bedauerliche Nebeneffekt darin, dass sie verstärkt böswilligen Parteien ausgesetzt sind. Es hat sich gezeigt, dass Bedrohungsakteure ihre Fähigkeiten weiterentwickelt haben, um ungeschützte SAP-Systeme zu kompromittieren, indem sie Lücken auf Anwendungsebene ausnutzen, z. B. Fehlkonfigurationen und fehlende Sicherheits-Patches, und dabei sowohl auf Cloud- als auch auf On-Premise-Umgebungen abzielen.
SAP hat bereits vor Jahren sichere Konfigurationen und Patches für die beobachteten Schwachstellen veröffentlicht, die von Angreifern ausgenutzt werden. Die neuen Erkenntnisse deuten jedoch darauf hin, dass Angreifer Lücken in der Governance und die unsachgemäße Absicherung von Cloud- und On-Premise-SAP-Anwendungen ausnutzen, um Datendiebstahl, Finanzbetrug und störende Angriffe wie Ransomware durchzuführen.
Ransomware und doppelte Erpressungsfälle (d. h. Bedrohungsakteure verschlüsseln und exfiltrieren die Daten der Opfer), die SAP-Anwendungen betreffen, sowie die Beobachtung von CISA und Onapsis, dass Bedrohungsakteure ungepatchte Sicherheitslücken auf SAP-Anwendungsebene in Ransomware-Kampagnen ausnutzen, sind von besonderer Bedeutung. Für zahlreiche große Unternehmen, bei denen SAP ein geschäftskritisches Gut und eines der Kronjuwelen“ ihrer Organisation ist, hätte ein erfolgreicher SAP-Ransomware-Angriff betriebliche und finanzielle Auswirkungen in Höhe von mehreren Millionen Dollar pro Stunde oder Tag.
Darüber hinaus würde ein SAP-Ransomware-Angriff aufgrund der neuen Cybersicherheitsvorschriften der US-Börsenaufsichtsbehörde (SEC), die im Dezember 2023 in Kraft treten, höchstwahrscheinlich einen „wesentlichen“ Cybersicherheitsvorfall darstellen, der innerhalb von vier Tagen nach Feststellung der Wesentlichkeit per SEC-Formular 8-K veröffentlicht werden muss. Die Vorbeugung, schnelle Erkennung und Eindämmung von SAP-Kompromittierungen zur Vermeidung wesentlicher Auswirkungen war noch nie so wichtig wie heute.
Wie kann ich mich schützen?
Angesichts dieses perfekten Cybersecurity-Sturms, der sich auf SAP-Anwendungen auswirkt, haben die meisten Unternehmen damit begonnen, ihre Cybersecurity- und Compliance-Programme weiterzuentwickeln und SAP-Systeme in das Schwachstellenmanagement, die kontinuierliche Überwachung von Bedrohungen und DevSecOps einzubeziehen. Es war noch nie so wichtig, dies zu verstehen und richtig zu machen.
Wo fangen Sie an? Alles beginnt damit, den aktuellen Reifegrad Ihres Unternehmens in diesem Bereich zu verstehen. Im Folgenden finden Sie einige Fragen, die Sie Ihren SAP- und Informationssicherheitsteams stellen sollten:
- Wie hoch sind die Kosten eines SAP-Ransomware-Angriffs für unser Unternehmen? Für viele Unternehmen können diese Kosten oft Millionen von Dollar pro Stunde oder Tag betragen.
- Wie schützen wir SAP-Anwendungen über die Zugriffskontrollen (Benutzerrollen und -berechtigungen) hinaus?
- Haben wir im Security Operations Center einen vollständigen Überblick über unsere SAP-Landschaft?
- Wie stellen wir effiziente SAP-Patching-Prozesse sicher? Wie sieht unser SLA aus? Verpassen wir kritische SAP-Patches, die vor Jahren veröffentlicht wurden?
- Wie können wir unsere Teams mit SAP-spezifischen Bedrohungsdaten versorgen?
- Verfügen wir über einen Zero-Day-Schutz vor SAP-Patches?
Wenn Sie feststellen, dass der Schutz der SAP-Kronjuwelen nicht mit Ihren Cybersicherheits- und Compliance-Programmen übereinstimmt, sollten Sie unbedingt Maßnahmen ergreifen und mit der Abdeckung der Grundlagen beginnen. Unser Expertenteam kann Sie bei diesem Prozess unterstützen.
Wie kann ich mehr erfahren?
Laden Sie den Bericht herunter, um die vollständigen Bedrohungsdaten und die wichtigsten Empfehlungen von Onapsis zu lesen, wie Sie sicherstellen können, dass Ihr Unternehmen vorbereitet ist und dem Schutz von SAP-Anwendungen Priorität einräumt.
Autor: Mariano Nunez
Source: Onapsis-Blog
Sie haben Fragen? Ihr Ansprechpartner für D/A/CH
Do you have any questions? Your contact person for D/A/CH