Schwachstellen in SAP-Systemen Ransomware bedroht auch SAP-Systeme

Von Christoph Nagy

Traditionelle Cybersicherheit reicht nicht aus, um Ransomware-Attacken auf SAP-Systeme erfolgreich abzuwehren. Denn bestehende SAP-Schwachstellen lassen sich leicht als Angriffsvektoren nutzen. Es gibt aber Abhilfe.

Anbieter zum Thema

Wenn Cyberkriminelle ungepatchte Schwachstellen finden, können sie mit Ransomware den SAP-Systemen vieler Unternehmen empfindlichen Schaden zufügen.
Wenn Cyberkriminelle ungepatchte Schwachstellen finden, können sie mit Ransomware den SAP-Systemen vieler Unternehmen empfindlichen Schaden zufügen.
(© yingyaipumi - stock.adobe.com)

Wenn die eigene Benutzerauthentifizierung auf einmal nicht funktioniert, dürfte jedem SAP-Anwender das Blut in den Adern gefrieren: Ist die Ursache unter Umständen eine Ransomware-Attacke? Ein Trojaner also, der alle Datenbanktabellen verschlüsselt und nur gegen hohes Lösegeld wieder freigibt? In jüngerer Vergangenheit zielen Cyberkriminelle bevorzugt auf den Kern der geschäftskritischen Schlüsselanwendungen eines Unternehmens. Den (SAP-)Produktionssystemen globaler Unternehmen können sie darüber empfindlichsten Schaden zufügen. Als jüngste Beispiele erst gingen 2021 die Lösegeldzahlung des Fleischverarbeiters JBS oder der Angriff der Hackergruppe REvil auf (u.a.) COOP durch die Presse.

Gang über die SAP Application Layer

Ransomware im Kontext von SAP umschwebt ein besonders unheilvoller Mythos. Entzaubern lässt er sich, wenn man das Angriffsszenario genauer betrachtet. Die meisten Ransomware-Varianten greifen auf (Windows-)Betriebssystemebene an, der SAP-Technologie-Stack ist aber nur dann betroffen, wenn die Hacker die Unix/AIX-Serverplattformen erreichen, auf denen SAP-Systeme bevorzugt laufen. Serverseitig drohte SAP bislang also kaum Gefahr. Aber auch ohne dies können Angreifer die SAP Application Layer nutzen, um bösartige Dateien auf den vermeintlich sicheren SAP Application Server Host hochzuladen und ihre Ransomware so im Netzwerk zu verbreiten. Der von SAP an Clients gesendete Netzwerkverkehr wird in der Regel nicht blockiert oder überprüft.

Ist nicht klar, wo diese Dateien herkommen (die vermeintlich sogar ausführbar sind), könnte SAP also als Repository für jeglichen Ransomware-Angriff dienen. Gescannte Rechnungen etwa werden aufgrund ihrer Größe nicht in die SAP-Datenbank geschrieben, sondern in einen externen SAP Content Server. Werden solche Dokumente keinem umfangreichen Virenscan unterzogen, ist das Trojanische Pferd eingeschleust – und entlädt seine Ladung womöglich erst viel später beim Öffnen der Datei. Dann verbreitet sich das Virus, entweder vom Client aus oder direkt auf dem SAP-Applikationsserver (nicht im NetWeaver Stack, der von Ransomware nicht angegriffen wird). Um der Implementierung eines Trojaners einen Riegel vorzuschieben, bedarf es daher eines Virenscanners sowohl am Client (dort wo der Upload stattfand) wie auch direkt am Content Server. Erst wenn dieser negativ ausfällt, sollte die Datei überhaupt im Content Server gespeichert werden.

Geschäftsmodelle der Hacker ändern sich

Dass es sich bei solchen Angriffsszenarien nicht um Phantasmen handelt, zeigen regelmäßig von SAP veröffentlichte Sicherheitsmitteilungen zu von Kunden/Partnern gemeldeten Schwachstellen – im August 2021 etwa Hinweis 3071984 zur „Unrestricted File Upload Vulnerability in SAP Business One“ und wie diese zu beheben sei. 2017 gründete sich in Berlin das Start-up Go Root. Geschäftsziel war die Entwicklung von Hacker-Software, die ausschließlich an Demokratien verkauft werden sollte. Geforscht wurde auch an einer strategischen Cyberwaffe zum Angriff auf SAP-Systeme, die damit hätten infiltriert, verschlüsselt und sogar gelöscht werden können.

Fertig entwickelt wurde diese Software nicht und selbst wenn, sei sie definitiv nicht vermarktet worden, wie die Firma betonte. Wo der bis zur Firmenschließung entwickelte Schadcode verblieben ist, bleibt unklar. Dennoch demonstriert der Fall das enorme Entwicklungspotential von Ransomware. Die Geschäftsmodelle ändern sich dabei ständig. Ging es gestern noch um Angriffe auf rein Windows-basierte Clients und Server, die Verschlüsselung von Office-Dateien und anschließenden Verkauf des Zugriffsschlüssels, so drohen Kriminelle inzwischen zusätzlich mit Datenzugriff und der Versteigerung von Geschäftsgeheimnissen. Ransomware von morgen greift dann außerdem auf Datenbanken zu und weitet ihre Attacken auf Clients und Server diverser Betriebssysteme aus. Begonnen hatte die Evolution von Ransomware damit, dass sie sich auf sog. Quick Wins konzentriert, d. h. einfach erreichbare Dateien auf Client-Seite. Mittlerweile werden Server-Plattformen und sogar -Dateien verschlüsselt – zunächst nur Windows-Server, zumindest momentan sind Angriffe auf Unix-Server noch äußerst rar.

Netzwerke müssen segmentiert werden

Leider investieren Unternehmen nach wie vor zu wenig in die Trennung von kritischer Infrastruktur und Client-Architektur. Um sich effektiv zu schützen, müssen Unternehmensnetzwerke unter Erwägung von Sicherheitsaspekten segmentiert werden. Das bedeutet, mindestens die SAP-Systeme in einem eigenen Netzwerksegment betreiben. Ein besonderer Stellenwert bekommt diese Erwägung in hybriden SAP-Cloud-Umgebungen. Tritt ein Ransomware- Angriff in einem solchen Netzwerksegment auf, verbleibt er auch dort, ohne sich im gesamten Netz zu verbreiten.

Newsletter

Ihre täglichen News aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Was braucht man also, um SAP-Anwendungen vor einem unvermeidlichen Ransomware-Angriff zu schützen? Traditionelle Sicherheitsmaßnahmen konzentrieren sich in der Regel auf Endpunkte, Netzwerke und Backups. All dies sind wichtige Sicherheitskomponenten, die aber nicht ausreichen, um erfolgreiche Angriffe zu verhindern.

SAP ist eine anspruchsvolle Umgebung, die ständige Patches erfordert und oft benutzerdefinierten Code enthält, für den es keine bekannten Patches gibt. Angreifer sind sich dessen nur allzu bewusst. Schwachstellen wie RECON (REmote COde on Netweaver systems) und PayDay ermöglichen es ihnen, über die Anwendungsschicht selbst die volle Kontrolle über die Anwendungen zu erlangen und – sind sie einmal eingedrungen – bis auf die Betriebssystemebene vorzurücken. Die Lösung für diese Herausforderung besteht zum einen in einem grundlegenden Schwachstellenmanagement sowie zeitnahen und effizienten Patching.

Robuste, präzise Echtzeit-Bedrohungsüberwachung

Vor allem müssen Unternehmen eine robuste, präzise Echtzeit-Bedrohungsüberwachung durchführen, die durch fortschrittliche Technologien wie die Anomalieerkennung unterstützt wird. So werden Anomalien – unabhängig davon, wie stark die Bedrohungsakteure ihre Angriffsvektoren ändern – erkannt und in Echtzeit gemeldet. Auch die Analysten von Gartner empfehlen dieses Vorgehen: „Unternehmen sollten einen risikobasierten Schwachstellen­management­prozess implementieren, der Bedrohungsdaten einschließt. Ransomware stützt sich oft auf ungepatchte Systeme, die eine Ausbreitung auf andere Systeme ermöglichen. Dies sollte ein kontinuierlicher Prozess sein. Das mit Schwachstellen verbundene Risiko ändert sich, wenn diese Schwachstellen von Angreifern ausgenutzt werden.“

So wehrt man Ransomware-Angriffe auf SAP-Systeme ab:

  • 1. Etablieren einer Echtzeit-Überwachung von Bedrohungen, so dass Angriffe erkannt und abgewehrt werden können, bevor sie Schaden anrichten.
  • 2. Verwertbare Informationen generieren: Ergebnisse, die „false-positive“ Ergebnisse liefern, sind frustrierend und kosten wertvolle Zeit.
  • 3. Effektive Absicherung geschäftskritischer Anwendungen und klare Regeln, wie und wo Patches eingesetzt werden sollen. SAP liefert regelmäßige Sicherheitsupdates über Support-Pakete und veröffentlicht Sicherheitshinweise mit den neuesten Sicherheitskorrekturen und Empfehlungen. Patching-Empfehlungen und Anleitung von Experten wie SecurityBridge, wie und wo gepatcht werden muss, sollten beachtet werden.
  • 4. Ein einheitlicher Plattform-Ansatz, bei dem benutzerdefinierter Code und Anwendungen gleichzeitig gescannt werden.
  • 5. Integration mit einem Security Information Event Management (SIEM), so dass das Sicherheitsteam außerhalb von SAP sofortigen Zugriff auf Hunderte von Anwendungsfällen hat.
  • 6. Schaffung einer Unternehmensverpflichtung zu Compliance und Governance bei der Sicherung unternehmenskritischer Anwendungen und Codes.

Fazit

Ransomware unterscheidet sich von den meisten Angriffen dadurch, dass sie äußerst lukrativ ist und es für ruchlose Akteure immer einfacher wird, ungestraft erfolgreich zu sein. Infolge von Remote-Work im Zuge der Covid-Beschränkungen sowie durch wachsende Komplexität von benutzerdefiniertem Code, Cloud-Betriebsmodellen und durch die Belastung der InfoSec-Ressourcen haben die Möglichkeiten für Angriffe erheblich zugenommen. Ransomware-Angriffe sind dadurch wahrscheinlicher geworden, müssen aber nicht zwangsläufig zum Erfolg führen – wenn sich Unternehmen in Echtzeit über das tatsächliche Ausmaß der Bedrohung informieren und so rechtzeitig Abhilfemaßnahmen ergriffen werden können.

Über den Autor: Christoph Nagy ist Geschäftsführer von SecurityBridge, Spezialist für SAP-Sicherheit mit Hauptsitz in Ingolstadt.

(ID:48044909)