Ausfallzeiten und Ransomware in der SAP-Bedrohungslandschaft

23. April 2025

Es ist genau ein Jahr her, seit wir unseren ersten Bericht über Bedrohungsakteure veröffentlicht haben, die sich mit SAP befassen. In Zusammenarbeit mit Flashpoint wurden in diesem Bericht Trends in der SAP-Bedrohungslandschaft aufgezeigt. CISA, SAP und Onapsis warnen Unternehmen seit Jahren, Patches zu installieren und für Sicherheit zu sorgen, sowie Best Practices wie die Überwachung und das Pentesting ihrer Landschaften zu befolgen. Wir haben aufgrund der Bedrohungen für Unternehmen, die anfällige SAP-Systeme betreiben, gewarnt. Diese Daten aus dem Untergrund bestätigen, was wir schon seit langem sagen. Die wichtigsten Erkenntnisse sind, dass Führungskräfte und Praktiker mehr denn je für umsetzbare Bedrohungsinformationen und ein tiefes Verständnis ihrer tatsächlichen SAP-Sicherheitsabdeckung offen sind.

Ein Jahr nach dieser Untersuchung möchten wir unsere wichtigsten Erkenntnisse zusammenfassen:

Die Branche ist hungrig nach diesen Informationen

Man weiß nicht, was man nicht weiß. Und obwohl wir die Öffentlichkeit bereits über diese Bedrohungen informiert hatten, fanden wir erst mit dem CH4TTER-Bericht einen Ton, der bei den Unternehmen Anklang fand. Vielleicht war es „gerade rechtzeitig“ oder „genau der richtige Zeitpunkt“, dass die Botschaft in dieser Form von den willigen und fähigen Führungskräften und Praktikern aufgenommen wurde.

Wir haben durchweg Feedback erhalten, dass unsere Studie für unsere Kunden äußerst hilfreich war, um nicht nur die Risiken für ihre SAP-Anwendungen zu verstehen, sondern diese Risiken auch gegenüber ihrem Vorstand für Investitionszwecke zu artikulieren. Besonders hervorzuheben sind die Diagramme zum Anstieg von Ransomware sowie die Einblicke in die Anatomie des C2-Botnet-Angriffs. Generell war die Bestätigung, dass auch SAP-Systeme als Angriffsvektoren ausgenutzt werden, laut unseren Kunden hilfreich für ihre Gespräche mit ihrer Geschäftsleitung und ihrem Vorstand.

Die Informationen, die die Praktiker als am besten umsetzbar empfanden, waren die Möglichkeit, ihre Landschaften zu überprüfen und sicherzustellen, dass sie über eine angemessene Überwachung für Angriffe verfügen. Die folgende Tabelle stammt aus der ursprünglichen CH4TTER-Analyse:

Der Zweck dieser Tabelle ist es, zu verdeutlichen, dass CISA die Bedeutung einer umfassenden Sensibilisierung für diese SAP-Schwachstellen anerkennt. Wir möchten vermeiden, dass der Eindruck entsteht, dass Sie sicher sind, wenn Sie alle in der obigen Tabelle aufgeführten Schwachstellen beheben. Leider ist es nicht so einfach. Bedrohungen für SAP-Anwendungen sind aktiv und dynamisch, und Verteidiger müssen wachsam bleiben und aktuelle und neue Bedrohungen sofort erkennen. Im nächsten Abschnitt gehen wir näher auf ein solches Beispiel ein und ergänzen diese Liste um aktuelle und aktive Angriffe auf SAP.

Angreifer nutzen weiterhin SAP-Schwachstellen aus

Seit der Erstellung des Katalogs bekannter ausgenutzter Schwachstellen (KEV) wurden regelmäßig mehrere Schwachstellen hinzugefügt, die SAP betreffen. Dieser Bereich der Sicherheit rückt weiterhin in den Fokus. Kürzlich wurde CVE-2017-12637 im März 2025 in den KEV der CISA aufgenommen. Dies bestätigt die oben dargestellte Bedrohungsübersicht, dass selbst ältere SAP-Schwachstellen auch heute noch von Angreifern ausgenutzt werden.

Das Verständnis von Angriffen auf SAP-Anwendungen hilft Unternehmen, sich zu verteidigen

Im vergangenen Jahr veröffentlichte Onapsis Research Labs die Studie „Anatomy of an Attack Research“, die Aufschluss darüber gibt, wie Bedrohungsakteure Schwachstellen ausnutzen, und Unternehmen dabei helfen kann, ihre SAP-Anwendungen besser zu schützen. Wir haben vor traditionellen Zielen wie Finanzen und personenbezogenen Daten gewarnt. In diesem Szenario missbrauchten die Angreifer den SAP-Hostserver, um Angriffe auf andere Unternehmen zu starten. Auf diese Weise können sich die Angreifer während des Angriffs vor ihrem Ziel verstecken und stattdessen einem legitimen Unternehmen die Schuld geben.

Ausfallzeiten und Ransomware beeinträchtigen SAP-Anwendungen und wirken sich auf Unternehmen aus

Die Auswirkungen von Ausfallzeiten von SAP-Anwendungen oder, schlimmer noch, von Ransomware-Angriffen auf Ihre SAP-Systeme tauchen immer häufiger in unseren Nachrichten auf. Ein aktuelles Beispiel ist ein Unternehmen, das Insolvenz angemeldet hat und einen Ransomware-Angriff auf seine SAP-Anwendungen als Mitursache angibt. Als erfahrene Forscher, Incident Responder und Pentester sind wir uns der Auswirkungen auf Unternehmen bewusst, wenn ihre SAP-Systeme kompromittiert werden. Im vergangenen Jahr haben wir einen der größten öffentlichen Vorfälle im Zusammenhang mit einem kompromittierten SAP-System erlebt: die Insolvenz von Stoli.

Was können wir dagegen tun?

Hilfe für Pentesting anfordern

Nachdem wir in den letzten Jahren viele Unternehmen unterstützt haben, haben wir festgestellt, dass es eine große Diskrepanz zwischen dem Sicherheitsbewusstsein von Unternehmen und ihrer tatsächlichen SAP-Sicherheitslage gibt.

Interessante Daten liefern Penetrationstests (Pentests), da wir einige anonymisierte Erkenntnisse aus den Pentests, die wir in den letzten Jahren durchgeführt haben, weitergeben können. Hier sind einige Punkte, die Sie bei Ihrer SAP-Sicherheitsstrategie berücksichtigen sollten:

Onapsis Research Labs sind in der Lage, bei fast jedem Unternehmen beim ersten Versuch eine vollständige Kompromittierung zu erreichen.
Führungskräfte sind nach der Präsentation der Pentest-Ergebnisse überrascht über den Grad der Gefährdung und Schwachstellen ihrer SAP-Landschaft.
Je zielgerichteter Unternehmen ihre SAP-Landschaft sichern, desto besser ist die Landschaft des Kunden geschützt. Das bedeutet, dass in die Cybersicherheit von SAP investiert werden muss.
Jährliche Pentests sind wie eine jährliche Vorsorgeuntersuchung – eine Untersuchung kann nie schaden, sondern nur helfen.

Cybersicherheit für SAP von SAP Press

Während der SAPinsider haben wir das erste Buch vorgestellt, das sich ausschließlich mit Cybersicherheit für SAP befasst: Cybersicherheit für SAP. Wir haben noch nie so viele positive Gespräche mit Kunden und Branchenführern geführt, die darauf hinwiesen, dass hier seit langem eine Lücke besteht. Dieses Buch ist die definitive Antwort auf Ihre Fragen zur Cybersicherheit für SAP und enthält Erkenntnisse von den Branchenführern JP Perez-Etchegoyen und Gaurav Singh. Wenn Sie neugierig geworden sind, können Sie hier ein kostenloses Exemplar gewinnen.

Da Unternehmen täglich neuen Bedrohungen ausgesetzt sind, setzen wir unsere Forschungsarbeit fort, um die Abwehrmechanismen von SAP-Anwendungen zu verbessern und damit einen Beitrag zur globalen Wirtschaft zu leisten.