Hacker attackieren SAP - Hackers attack SAP - Security Storage und Channel Germany

Laut einer Studie von Flashpoint und Onapsis stürzen sich Ransomware-Erpresser zunehmend auf geschäftskritische SAP-Anwendungen mit unzureichendem Patching.	Ransomware extortionists are increasingly targeting business-critical SAP applications with inadequate patching, according to a study by Flashpoint and Onapsis.
Eine neue Studie von Flashpoint, einem führenden Anbieter von Threat Data und Intelligence, und Onapsis, einem führenden Anbieter von ERP-Cybersecurity und -Compliance, fand heraus, dass geschäftskritische SAP-Anwendungen zunehmend in den Fokus von Cyberkriminellen rücken. Der Report zeigt eine deutlich zunehmende Zahl an Bedrohungsakteuren, die es auf SAP-Schwachstellen abgesehen haben und liefert Unternehmen wertvolle Informationen, um ihre geschäftskritischen SAP-Anwendungen vor diesen Bedrohungen zu schützen. SAP ist der weltweit größte Anbieter von Unternehmenssoftware und bietet eine breite Palette an Software für Enterprise Resource Management-Anwendungen, Vertriebs- und Lieferkettenmanagement, Beschaffung, Rechnungswesen, Personalwesen und vieles mehr. Mit mehr als 400.000 Kunden weltweit, darunter 99 der 100 größten Unternehmen der Welt, ist SAP eine Schlüsseltechnologie für die digitale Wirtschaft der Welt: SAP-Kunden sind für 87 % des gesamten Welthandelsvolumens (46 Billionen US-Dollar) verantwortlich. Angetrieben durch moderne Geschäftsanforderungen haben viele Unternehmen in den letzten Jahren ihre SAP-Anwendungen zunehmend in die Cloud verlagert. Diese digitale Transformation bringt zwar erhebliche geschäftliche Vorteile mit sich, birgt aber auch neue Risiken, da geschäftskritische Anwendungen für Angreifer über das Internet immer leichter zugänglich werden. Infolgedessen haben wir im gleichen Zeitraum einen Zustrom neuer Akteure in die SAP-Bedrohungslandschaft erlebt. Unabhängig davon, ob ihre Motivation rein finanzieller, politischer oder störender Natur ist, haben diese hoch entwickelten Bedrohungsakteure erkannt, dass SAP-Anwendungen ein unglaublich lukratives Ziel darstellen, da sie für die größten Unternehmen der Welt geschäftskritisch sind. Die Daten zeigen, dass diese Gemeinschaft wächst, der Markt expandiert und die SAP-Bedrohungsaktivitäten einen neuen Höchststand erreichen. Bedrohungsakteure nutzen SAP-Schwachstellen aktiv aus, kompromittieren anfällige Systeme und nutzen Daten für Ransomware-Angriffe. SAP und Onapsis warnen Unternehmen seit Jahren proaktiv vor dem erhöhten Risiko von bösartigen Aktivitäten und Ransomware-Angriffen auf SAP-Anwendungen. Besonders besorgniserregend ist die beobachtete Zunahme von Ransomware- und Double-Extortion-Vorfällen (d.h. Bedrohungsakteure verschlüsseln und exfiltrieren die Daten der Opfer), die SAP-Anwendungen betreffen, sowie die Tatsache, dass Bedrohungsakteure ungepatchte Sicherheitslücken auf SAP-Anwendungsebene für Ransomware-Kampagnen ausnutzen. Für viele große Unternehmen, für die SAP eine geschäftskritische Ressource und eines der „Kronjuwelen“ ihrer Organisation ist, hätte ein erfolgreicher SAP-Ransomware-Angriff operative und finanzielle Auswirkungen in Millionenhöhe. Darüber hinaus würde ein solcher Angriff nach den neuen Cybersicherheitsregeln der US Securities and Exchange Commission (SEC), die im Dezember 2023 in Kraft treten, höchstwahrscheinlich einen „signifikanten“ Cybersicherheitsvorfall darstellen, der innerhalb von vier Tagen nach Feststellung der Signifikanz mittels SEC Form 8-K veröffentlicht werden müsste. Es war noch nie so wichtig wie heute, SAP-Verletzungen zu verhindern, schnell zu erkennen und einzudämmen, um wesentliche Auswirkungen zu vermeiden. Unternehmen mit schwacher SAP-Cybersecurity-Governance unter Beschuss 2023 war ein kritischer Punkt: Cyberangriffe auf SAP-Anwendungen haben einen neuen Höchststand erreicht, und das Interesse von etablierten Bedrohungsakteuren und staatlich gesponserten Cyberspionage-Gruppen hat deutlich zugenommen. Jedoch wurden alle im Bericht beobachteten SAP-Schwachstellen von SAP bereits vor mehreren Jahren gepatcht. Außerdem hat das ERP-Unternehmen seinen Kunden die entsprechenden Sicherheitshinweise umgehend zur Verfügung gestellt. Die dennoch hohe Cyberaktivität deutet darauf hin, dass Bedrohungsakteure nach wie vor Unternehmen mit schwacher SAP-Cybersecurity-Governance ins Visier nehmen. Dabei nutzen sie meist bekannte, jedoch ungepatchte SAP-Schwachstellen und Fehlkonfigurationen aus. Die Problematik verschärft sich weiter, weil immer mehr Kunden SAP-Anwendungen in die Cloud migrieren. Dadurch sind sie der Bedrohung noch stärker ausgesetzt. Der Report der Onapsis Research Labs in Zusammenarbeit mit Flashpoint beleuchtet die Entwicklung der SAP-Bedrohungslandschaft in den letzten vier Jahren. Er zeigt die wachsende Reife dieses cyberkriminellen Marktes und die Herausforderungen, vor denen die Verteidigerseite steht. Zunehmende Bedrohungen und Ransomware-Angriffe auf SAP-Anwendungen Die Untersuchungen von Onapsis und Flashpoint zeigen, dass etablierte, professionelle Bedrohungsakteure und staatlich gesponserte Gruppen SAP-Anwendungen immer aggressiver ins Visier nehmen. Deren Ziel ist dabei Spionage, Sabotage oder die Generierung finanzieller Gewinne. So zeigen die Untersuchungen seit 2021 einen 400-prozentigen Anstieg der Ransomware-Vorfälle, bei denen SAP-Systeme und -Daten in den Opferunternehmen kompromittiert wurden. Wie die Onapsis Research Labs und die CISA, die US-amerikanische Bundesbehörde für Cyber- und Infrastructure Security, belegen, werden bei den Ransomware-Kampagnen unter anderem ungepatchte SAP-Schwachstellen ausgenutzt. Ransomware-Gruppen haben ihre Malware-Software in den letzten Jahren immer wieder modifiziert und um SAP-Anwendungen noch besser zu identifizieren und gezielt Daten zu sammeln oder zu verschlüsseln. Deep und Dark Web: Interesse an SAP-Exploitation wächst deutlich Im Zeitraum zwischen 2021 und 2023 haben sich die Unterhaltungen und der Austausch über SAP-Schwachstellen im Deep und Dark Web fast verfünffacht (ein Anstieg um 490 %). Das Interesse an SAP-Schwachstellen in cyberkriminellen Foren nimmt deutlich zu. Die diskutierten Themen und Inhalten waren unter anderem: Informationen darüber, wie man SAP-Schwachstellen ausnutzen kann Konkrete Anleitungen zum Ausführen bestimmter SAP-Exploits Akteure, die SAP-Kompromittierungen diskutieren Threat Community tauscht sich zu SAP Cloud und Webservices aus Zwischen 2021 und 2023 haben auch die Diskussionen in cyberkriminellen Foren über SAP-spezifische Cloud- und Webservices deutlich zugenommen und sich mehr als verdoppelt (220 %). So werden kritische SAP-Anwendungen einem breiteren Publikum von kriminellen Bedrohungsakteuren leichter zugänglich. Die Mehrheit der großen Unternehmen nutzt ERP-Anwendungen von führenden Anbietern wie SAP und Oracle, darunter Lösungen wie SAP Business Suite, SAP S/4HANA und Oracle E-Business Suite/Financials. Diese Anwendungen sind von entscheidender Bedeutung für die Unterstützung einer vieler Geschäftsprozesse, einschließlich Gehaltsabrechnung, Finanzwesen, Bestandsverwaltung, Fertigung, Finanzplanung, Vertrieb, Logistik und mehr. Sie sind auch wichtig für die Verwaltung und das Hosting sensibler Daten, wie Finanzergebnisse, Fertigungsformeln, Preisstrategien, wichtiges geistiges Eigentum, aber auch Kreditkartendaten und personenbezogene Daten von Mitarbeitenden, Kunden und Lieferanten. Proaktive Gegenmaßnahmen und Warnungen Einige Unternehmen geraten ins Hintertreffen, wenn es um die ERP-Cybersicherheit geht. Vielfach fehlt es in diesem Bereich, der von vielen Informationssicherheitsteams als komplex und undurchsichtig wahrgenommen wird, an den nötigen Informationen über die Bedrohungsakteure. Deshalb warnen SAP und Onapsis seit Jahren proaktiv vor dem erhöhten Risiko von bösartigen Cyber-Aktivitäten und Ransomware-Bedrohungen, die speziell auf SAP-Anwendungen abzielen. Unternehmen müssen handeln und sich schützen. „Bedrohungsakteure entwickeln ihre Taktiken und Ziele ständig weiter, um ihren Profit zu maximieren. Bei der Art von Daten, die ERP-Anwendungen enthalten, überrascht es nicht, dass wir eindeutige Beweise und Trends zur zunehmenden Dynamik in Online-Foren und -Kanälen aufgedeckt haben. Dies sollte ein Weckruf für uns alle sein, und das nicht nur im Bereich der Bedrohungsanalyse, sondern im Bereich der Cybersicherheit insgesamt“, so Christian Rencken, Senior Strategic Advisor bei Flashpoint. „Die Zusammenarbeit mit Flashpoint liefert eine Fülle von Bedrohungsdaten, die sowohl für Sicherheits- als auch für SAP-Teams wichtig sind“, so Juan Pablo (JP) Perez-Etchegoyen, CTO bei Onapsis. „Indem wir zeigen, wie diese Anwendungen ins Visier genommen und wie häufig sie angegriffen werden, hoffen wir, CIOs, CISOs und ihren Teams dabei zu helfen, das Risiko von groß angelegten Angriffen zu bewältigen.“ Basierend auf diesen Bedrohungsdaten und -erkenntnissen empfiehlt Onapsis SAP-Kunden dringend, sofortige Maßnahmen zu ergreifen, um ihre geschäftskritischen SAP-Anwendungen vor den beobachteten Bedrohungen zu schützen. Hier sind die drei wichtigsten Maßnahmen, die Sie und Ihre Teams heute ergreifen können, um das Risiko für Ihr Unternehmen zu minimieren: 1) Bewerten Sie das gesamte Geschäftsrisiko, indem Sie zunächst den Wert und die Kritikalität der SAP-Ressourcen in Ihrem Unternehmen ermitteln. Bitten Sie Ihr SAP-Anwendungsteam um eine Liste der wichtigsten Geschäftsprozesse und Daten, die in Ihrem Unternehmen von SAP unterstützt werden. Auf diese Weise können Sie die finanziellen und betrieblichen Auswirkungen eines Vorfalls mit SAP Ransomware oder einer Datenpanne quantifizieren. Anschließend ist es entscheidend, das potenzielle regulatorische Risiko zu verstehen, wenn SAP regulierte Daten enthält, die der Offenlegung unterliegen (z. B. GDPR, CCPA usw.), und wenn eine anhaltende Unterbrechung wahrscheinlich als „wesentlicher Vorfall“ gemäß den neuen SEC-Vorschriften eingestuft wird. 2) Stellen Sie parallel dazu sicher, dass alle im Anhang aufgeführten Schwachstellen und Fehlkonfigurationen in Ihren geschäftskritischen Systemen behoben wurden (oder dass entsprechende Kontrollen vorhanden sind). Wie bereits erwähnt, hat SAP bereits vor Jahren entsprechende Sicherheitspatches veröffentlicht. Sie sollten zwar mit den kritischen und produktiven Systemen beginnen, aber bedenken Sie, dass SAP-Systeme stark über Schnittstellen (z.B. RFC) miteinander verbunden sind, so dass die Bewertung und Behebung von Schwachstellen in technischen (z.B. SAP Solution Manager) und nicht produktiven Systemen ebenso wichtig ist, um Kreuzverflechtungen und Eskalationen zu vermeiden. 3) Stellen Sie sicher, dass Ihre SOC- und Cyber-Fusion-Teams einen vollständigen Überblick über SAP-Kompromittierungsindikatoren, die Ausnutzung von Schwachstellen auf SAP-Anwendungsebene und anormale SAP-Benutzeraktivitäten haben. Wenn das SOC nicht über SAP-spezifische Erkennungsfunktionen verfügt und/oder nur Telemetriedaten auf Endpunktebene oder unverarbeitete SAP-Protokolle ohne Kontext empfängt, ist es für die Verteidiger unmöglich, diese Bedrohungen zu erkennen und darauf zu reagieren. In vielen Fällen kann eine angemessene Überwachung auch als ausgleichende Kontrolle dienen, da es schwierig ist, geschäftskritische SAP-Anwendungen zu patchen.	A new study by Flashpoint, a leading provider of threat data and intelligence, and Onapsis, a leading provider of ERP cybersecurity and compliance, found that business-critical SAP applications are increasingly becoming the focus of cybercriminals. The report shows a significant increase in the number of threat actors targeting SAP vulnerabilities and provides organizations with valuable information to protect their business-critical SAP applications from these threats. SAP is the world’s largest provider of enterprise application software, offering a wide range of software to enable enterprise resource management applications, sales and supply chain management, procurement, accounting, human resources, and more. With over 400,000 customers globally, including 99 of the 100 largest companies in the world, SAP is a foundational technology of the world’s digital economy: SAP customers are responsible for 87% of total global commerce ($46 trillion). Driven by modern business requirements, many organizations are more actively moving their SAP applications to the cloud over the past few years. While these digital transformations deliver significant business value, they also introduce new risks as business-critical applications become more easily accessible to threat actors over the Internet. Consequently, over the same period of time, we’ve seen an influx of new participants enter the SAP threat landscape. Whether the motivation is purely financial, political or disruptive, these highly sophisticated threat actor groups recognize that SAP applications are an incredibly lucrative target, given their business-critical nature to the world’s largest organizations. The data demonstrates that this community is growing, the market is expanding, and SAP threat activity is hitting new highs. Threat actors are actively exploiting SAP vulnerabilities, compromising vulnerable systems, and including its data as part of ransomware attacks. SAP and Onapsis have been proactively warning organizations of the increased risk of malicious activity and ransomware threats targeting SAP applications for years. Of particular concern is the observed increase in ransomware and double-extortion incidents (i.e., threat actors both encrypting and exfiltrating victims’ data) affecting SAP applications, and the evidence of threat actors leveraging unpatched SAP application-level vulnerabilities in ransomware campaigns. For numerous large organizations where SAP is a business-critical asset and one of their organizational “crown jewels,” a successful SAP ransomware attack would have an operational and financial impact of millions of dollars. Additionally, according to the new US Securities and Exchange Commission (SEC) cybersecurity rules that went into effect in December 2023, it would most likely represent a “material’ cybersecurity incident subject to disclosure via SEC Form 8-K within four days of determination of materiality. Preventing, rapidly detecting, and containing SAP compromises to avoid material impact has never been more important. Companies with weak SAP cybersecurity governance are under attack 2023 was a critical point: cyberattacks on SAP applications have reached a new high, and interest from established threat actors and state-sponsored cyberespionage groups has increased significantly. However, all of the SAP vulnerabilities identified in the report were patched by SAP several years ago. In addition, the ERP company immediately issued security advisories to its customers. Nevertheless, the high level of cyber activity indicates that threat actors are still targeting companies with weak SAP cybersecurity governance. They are mostly exploiting known but unpatched SAP vulnerabilities and misconfigurations. The problem is exacerbated as more customers migrate SAP applications to the cloud. This increases their exposure to the threat. The report, conducted by Onapsis Research Labs in partnership with Flashpoint, highlights the evolution of the SAP threat landscape over the past four years. It reveals the growing maturity of this cybercriminal market and the challenges faced by defenders. Increasing threats and ransomware attacks against SAP applications Onapsis and Flashpoint research shows that established, professional threat actors and state-sponsored groups are targeting SAP applications more aggressively. Their goal is espionage, sabotage, or financial gain. Since 2021, research has shown a 400% increase in ransomware incidents compromising SAP systems and data at victim companies. According to Onapsis Research Labs and CISA, the US Federal Cybersecurity and Infrastructure Security Agency, ransomware campaigns exploit unpatched SAP vulnerabilities. In recent years, ransomware groups have repeatedly modified their malware to better identify SAP applications and specifically collect or encrypt data. Deep and dark web: Interest in SAP Exploitation Grows Significantly Between 2021 and 2023, conversations and exchanges about SAP vulnerabilities on the deep and dark web will increase nearly fivefold (a 490% increase). Interest in SAP vulnerabilities in cybercriminal forums is increasing significantly. Topics and content discussed include Information on how to exploit SAP vulnerabilities Specific instructions on how to run specific SAP exploits Stakeholders discussing SAP vulnerabilities Threat community discusses SAP cloud and web services Between 2021 and 2023, discussions in cybercriminal forums about SAP-specific cloud and web services also increased significantly, more than doubling (220%). This will make critical SAP applications more accessible to a wider audience of criminal threat actors. The majority of large enterprises use ERP applications from leading vendors such as SAP and Oracle, including solutions such as SAP Business Suite, SAP S/4HANA, and Oracle E-Business Suite/Financials. These applications are critical for supporting a wide range of business processes, including payroll, financials, inventory management, manufacturing, financial planning, sales, logistics, and more. They are also critical for managing and hosting sensitive data, such as financial results, manufacturing formulas, pricing strategies, critical intellectual property, and credit card and personal information of employees, customers, and suppliers. Proactive countermeasures and alerts Some companies fall behind when it comes to ERP cybersecurity. There is often a lack of information about threat actors in this area, which many information security teams perceive as complex and opaque. That’s why SAP and Onapsis have been proactively warning about the increased risk of malicious cyber activity and ransomware threats specifically targeting SAP applications for years. Organizations need to act and protect themselves. „Threat actors are constantly evolving their tactics and targets to maximize their profits. With the type of data that ERP applications contain, it is no surprise that we have uncovered clear evidence and trends of increasing momentum in online forums and channels. This should be a wake-up call for all of us, not just in the threat intelligence space, but in cybersecurity as a whole,“ said Christian Rencken, Senior Strategic Advisor at Flashpoint. „Working with Flashpoint provides a wealth of threat intelligence that is important to both security and SAP teams,“ said Juan Pablo (JP) Perez-Etchegoyen, CTO at Onapsis. „By showing how these applications are being targeted and how often they are being attacked, we hope to help CIOs, CISOs and their teams manage the risk of large-scale attacks.“ Based on this threat intelligence and findings, Onapsis strongly recommends SAP customers to take immediate actions to protect their business-critical SAP applications from the observed threats. These are the three most important actions you and your teams can take today to minimize risk in your organization: Assess overall business risk by first understanding the value and criticality of SAP assets in your business. Ask your SAP Applications team for a list of the most critical business processes and data supported by SAP at your organization. This will help you quantify the financial and operational impact of an SAP ransomware or data breach incident. Following this, it is critical to understand potential regulatory risk if SAP contains regulated data that would be subject to disclosure (i.e. GDPR, CCPA, etc), and if a sustained disruption would likely qualify as a “material incident” per the new SEC rules. In parallel, ensure that all vulnerabilities and misconfigurations outlined in the Appendix have been mitigated (or have compensating controls in place) across your business-critical systems. As noted before, SAP has released the relevant security patches years ago. While you should start with critical and production systems, keep in mind that SAP systems are highly interconnected through interfaces (i.e., through RFC), which makes assessing and remediating vulnerabilities in technical (e.g., SAP Solution Manager) and non-production systems equally important to avoid lateral movement and escalation. Ensure your SOC and cyber fusion teams have full visibility into SAP indicators of compromise, SAP application-level vulnerability exploitation and anomalous SAP user activity. If the SOC does not have SAP-specific detection capabilities and/or is only receiving endpoint-level telemetry or raw SAP logs without context, it will be impossible for defenders to detect and respond to these threats. In many cases, proper monitoring can also serve as compensating controls given the difficulty in patching mission-critical SAP applications.

Laut einer Studie von Flashpoint und Onapsis stürzen sich Ransomware-Erpresser zunehmend auf geschäftskritische SAP-Anwendungen mit unzureichendem Patching.

Ransomware extortionists are increasingly targeting business-critical SAP applications with inadequate patching, according to a study by Flashpoint and Onapsis.

Eine neue Studie von Flashpoint, einem führenden Anbieter von Threat Data und Intelligence, und Onapsis, einem führenden Anbieter von ERP-Cybersecurity und -Compliance, fand heraus, dass geschäftskritische SAP-Anwendungen zunehmend in den Fokus von Cyberkriminellen rücken. Der Report zeigt eine deutlich zunehmende Zahl an Bedrohungsakteuren, die es auf SAP-Schwachstellen abgesehen haben und liefert Unternehmen wertvolle Informationen, um ihre geschäftskritischen SAP-Anwendungen vor diesen Bedrohungen zu schützen.

SAP ist der weltweit größte Anbieter von Unternehmenssoftware und bietet eine breite Palette an Software für Enterprise Resource Management-Anwendungen, Vertriebs- und Lieferkettenmanagement, Beschaffung, Rechnungswesen, Personalwesen und vieles mehr. Mit mehr als 400.000 Kunden weltweit, darunter 99 der 100 größten Unternehmen der Welt, ist SAP eine Schlüsseltechnologie für die digitale Wirtschaft der Welt: SAP-Kunden sind für 87 % des gesamten Welthandelsvolumens (46 Billionen US-Dollar) verantwortlich.

Angetrieben durch moderne Geschäftsanforderungen haben viele Unternehmen in den letzten Jahren ihre SAP-Anwendungen zunehmend in die Cloud verlagert. Diese digitale Transformation bringt zwar erhebliche geschäftliche Vorteile mit sich, birgt aber auch neue Risiken, da geschäftskritische Anwendungen für Angreifer über das Internet immer leichter zugänglich werden. Infolgedessen haben wir im gleichen Zeitraum einen Zustrom neuer Akteure in die SAP-Bedrohungslandschaft erlebt.

Unabhängig davon, ob ihre Motivation rein finanzieller, politischer oder störender Natur ist, haben diese hoch entwickelten Bedrohungsakteure erkannt, dass SAP-Anwendungen ein unglaublich lukratives Ziel darstellen, da sie für die größten Unternehmen der Welt geschäftskritisch sind. Die Daten zeigen, dass diese Gemeinschaft wächst, der Markt expandiert und die SAP-Bedrohungsaktivitäten einen neuen Höchststand erreichen. Bedrohungsakteure nutzen SAP-Schwachstellen aktiv aus, kompromittieren anfällige Systeme und nutzen Daten für Ransomware-Angriffe. SAP und Onapsis warnen Unternehmen seit Jahren proaktiv vor dem erhöhten Risiko von bösartigen Aktivitäten und Ransomware-Angriffen auf SAP-Anwendungen.

Besonders besorgniserregend ist die beobachtete Zunahme von Ransomware- und Double-Extortion-Vorfällen (d.h. Bedrohungsakteure verschlüsseln und exfiltrieren die Daten der Opfer), die SAP-Anwendungen betreffen, sowie die Tatsache, dass Bedrohungsakteure ungepatchte Sicherheitslücken auf SAP-Anwendungsebene für Ransomware-Kampagnen ausnutzen. Für viele große Unternehmen, für die SAP eine geschäftskritische Ressource und eines der „Kronjuwelen“ ihrer Organisation ist, hätte ein erfolgreicher SAP-Ransomware-Angriff operative und finanzielle Auswirkungen in Millionenhöhe.

Darüber hinaus würde ein solcher Angriff nach den neuen Cybersicherheitsregeln der US Securities and Exchange Commission (SEC), die im Dezember 2023 in Kraft treten, höchstwahrscheinlich einen „signifikanten“ Cybersicherheitsvorfall darstellen, der innerhalb von vier Tagen nach Feststellung der Signifikanz mittels SEC Form 8-K veröffentlicht werden müsste. Es war noch nie so wichtig wie heute, SAP-Verletzungen zu verhindern, schnell zu erkennen und einzudämmen, um wesentliche Auswirkungen zu vermeiden.

Unternehmen mit schwacher SAP-Cybersecurity-Governance unter Beschuss

2023 war ein kritischer Punkt: Cyberangriffe auf SAP-Anwendungen haben einen neuen Höchststand erreicht, und das Interesse von etablierten Bedrohungsakteuren und staatlich gesponserten Cyberspionage-Gruppen hat deutlich zugenommen. Jedoch wurden alle im Bericht beobachteten SAP-Schwachstellen von SAP bereits vor mehreren Jahren gepatcht. Außerdem hat das ERP-Unternehmen seinen Kunden die entsprechenden Sicherheitshinweise umgehend zur Verfügung gestellt. Die dennoch hohe Cyberaktivität deutet darauf hin, dass Bedrohungsakteure nach wie vor Unternehmen mit schwacher SAP-Cybersecurity-Governance ins Visier nehmen. Dabei nutzen sie meist bekannte, jedoch ungepatchte SAP-Schwachstellen und Fehlkonfigurationen aus. Die Problematik verschärft sich weiter, weil immer mehr Kunden SAP-Anwendungen in die Cloud migrieren. Dadurch sind sie der Bedrohung noch stärker ausgesetzt.

Der Report der Onapsis Research Labs in Zusammenarbeit mit Flashpoint beleuchtet die Entwicklung der SAP-Bedrohungslandschaft in den letzten vier Jahren. Er zeigt die wachsende Reife dieses cyberkriminellen Marktes und die Herausforderungen, vor denen die Verteidigerseite steht.

Zunehmende Bedrohungen und Ransomware-Angriffe auf SAP-Anwendungen

Die Untersuchungen von Onapsis und Flashpoint zeigen, dass etablierte, professionelle Bedrohungsakteure und staatlich gesponserte Gruppen SAP-Anwendungen immer aggressiver ins Visier nehmen. Deren Ziel ist dabei Spionage, Sabotage oder die Generierung finanzieller Gewinne. So zeigen die Untersuchungen seit 2021 einen 400-prozentigen Anstieg der Ransomware-Vorfälle, bei denen SAP-Systeme und -Daten in den Opferunternehmen kompromittiert wurden.

Wie die Onapsis Research Labs und die CISA, die US-amerikanische Bundesbehörde für Cyber- und Infrastructure Security, belegen, werden bei den Ransomware-Kampagnen unter anderem ungepatchte SAP-Schwachstellen ausgenutzt. Ransomware-Gruppen haben ihre Malware-Software in den letzten Jahren immer wieder modifiziert und um SAP-Anwendungen noch besser zu identifizieren und gezielt Daten zu sammeln oder zu verschlüsseln.

Deep und Dark Web: Interesse an SAP-Exploitation wächst deutlich

Im Zeitraum zwischen 2021 und 2023 haben sich die Unterhaltungen und der Austausch über SAP-Schwachstellen im Deep und Dark Web fast verfünffacht (ein Anstieg um 490 %). Das Interesse an SAP-Schwachstellen in cyberkriminellen Foren nimmt deutlich zu. Die diskutierten Themen und Inhalten waren unter anderem:

Informationen darüber, wie man SAP-Schwachstellen ausnutzen kann
Konkrete Anleitungen zum Ausführen bestimmter SAP-Exploits
Akteure, die SAP-Kompromittierungen diskutieren

Threat Community tauscht sich zu SAP Cloud und Webservices aus

Zwischen 2021 und 2023 haben auch die Diskussionen in cyberkriminellen Foren über SAP-spezifische Cloud- und Webservices deutlich zugenommen und sich mehr als verdoppelt (220 %). So werden kritische SAP-Anwendungen einem breiteren Publikum von kriminellen Bedrohungsakteuren leichter zugänglich.

Die Mehrheit der großen Unternehmen nutzt ERP-Anwendungen von führenden Anbietern wie SAP und Oracle, darunter Lösungen wie SAP Business Suite, SAP S/4HANA und Oracle E-Business Suite/Financials. Diese Anwendungen sind von entscheidender Bedeutung für die Unterstützung einer vieler Geschäftsprozesse, einschließlich Gehaltsabrechnung, Finanzwesen, Bestandsverwaltung, Fertigung, Finanzplanung, Vertrieb, Logistik und mehr. Sie sind auch wichtig für die Verwaltung und das Hosting sensibler Daten, wie Finanzergebnisse, Fertigungsformeln, Preisstrategien, wichtiges geistiges Eigentum, aber auch Kreditkartendaten und personenbezogene Daten von Mitarbeitenden, Kunden und Lieferanten.

Proaktive Gegenmaßnahmen und Warnungen

Einige Unternehmen geraten ins Hintertreffen, wenn es um die ERP-Cybersicherheit geht. Vielfach fehlt es in diesem Bereich, der von vielen Informationssicherheitsteams als komplex und undurchsichtig wahrgenommen wird, an den nötigen Informationen über die Bedrohungsakteure. Deshalb warnen SAP und Onapsis seit Jahren proaktiv vor dem erhöhten Risiko von bösartigen Cyber-Aktivitäten und Ransomware-Bedrohungen, die speziell auf SAP-Anwendungen abzielen. Unternehmen müssen handeln und sich schützen.

„Bedrohungsakteure entwickeln ihre Taktiken und Ziele ständig weiter, um ihren Profit zu maximieren. Bei der Art von Daten, die ERP-Anwendungen enthalten, überrascht es nicht, dass wir eindeutige Beweise und Trends zur zunehmenden Dynamik in Online-Foren und -Kanälen aufgedeckt haben. Dies sollte ein Weckruf für uns alle sein, und das nicht nur im Bereich der Bedrohungsanalyse, sondern im Bereich der Cybersicherheit insgesamt“, so Christian Rencken, Senior Strategic Advisor bei Flashpoint.

„Die Zusammenarbeit mit Flashpoint liefert eine Fülle von Bedrohungsdaten, die sowohl für Sicherheits- als auch für SAP-Teams wichtig sind“, so Juan Pablo (JP) Perez-Etchegoyen, CTO bei Onapsis. „Indem wir zeigen, wie diese Anwendungen ins Visier genommen und wie häufig sie angegriffen werden, hoffen wir, CIOs, CISOs und ihren Teams dabei zu helfen, das Risiko von groß angelegten Angriffen zu bewältigen.“

Basierend auf diesen Bedrohungsdaten und -erkenntnissen empfiehlt Onapsis SAP-Kunden dringend, sofortige Maßnahmen zu ergreifen, um ihre geschäftskritischen SAP-Anwendungen vor den beobachteten Bedrohungen zu schützen. Hier sind die drei wichtigsten Maßnahmen, die Sie und Ihre Teams heute ergreifen können, um das Risiko für Ihr Unternehmen zu minimieren:

1) Bewerten Sie das gesamte Geschäftsrisiko, indem Sie zunächst den Wert und die Kritikalität der SAP-Ressourcen in Ihrem Unternehmen ermitteln. Bitten Sie Ihr SAP-Anwendungsteam um eine Liste der wichtigsten Geschäftsprozesse und Daten, die in Ihrem Unternehmen von SAP unterstützt werden. Auf diese Weise können Sie die finanziellen und betrieblichen Auswirkungen eines Vorfalls mit SAP Ransomware oder einer Datenpanne quantifizieren. Anschließend ist es entscheidend, das potenzielle regulatorische Risiko zu verstehen, wenn SAP regulierte Daten enthält, die der Offenlegung unterliegen (z. B. GDPR, CCPA usw.), und wenn eine anhaltende Unterbrechung wahrscheinlich als „wesentlicher Vorfall“ gemäß den neuen SEC-Vorschriften eingestuft wird.

2) Stellen Sie parallel dazu sicher, dass alle im Anhang aufgeführten Schwachstellen und Fehlkonfigurationen in Ihren geschäftskritischen Systemen behoben wurden (oder dass entsprechende Kontrollen vorhanden sind). Wie bereits erwähnt, hat SAP bereits vor Jahren entsprechende Sicherheitspatches veröffentlicht. Sie sollten zwar mit den kritischen und produktiven Systemen beginnen, aber bedenken Sie, dass SAP-Systeme stark über Schnittstellen (z.B. RFC) miteinander verbunden sind, so dass die Bewertung und Behebung von Schwachstellen in technischen (z.B. SAP Solution Manager) und nicht produktiven Systemen ebenso wichtig ist, um Kreuzverflechtungen und Eskalationen zu vermeiden.

3) Stellen Sie sicher, dass Ihre SOC- und Cyber-Fusion-Teams einen vollständigen Überblick über SAP-Kompromittierungsindikatoren, die Ausnutzung von Schwachstellen auf SAP-Anwendungsebene und anormale SAP-Benutzeraktivitäten haben. Wenn das SOC nicht über SAP-spezifische Erkennungsfunktionen verfügt und/oder nur Telemetriedaten auf Endpunktebene oder unverarbeitete SAP-Protokolle ohne Kontext empfängt, ist es für die Verteidiger unmöglich, diese Bedrohungen zu erkennen und darauf zu reagieren. In vielen Fällen kann eine angemessene Überwachung auch als ausgleichende Kontrolle dienen, da es schwierig ist, geschäftskritische SAP-Anwendungen zu patchen.

A new study by Flashpoint, a leading provider of threat data and intelligence, and Onapsis, a leading provider of ERP cybersecurity and compliance, found that business-critical SAP applications are increasingly becoming the focus of cybercriminals. The report shows a significant increase in the number of threat actors targeting SAP vulnerabilities and provides organizations with valuable information to protect their business-critical SAP applications from these threats.

SAP is the world’s largest provider of enterprise application software, offering a wide range of software to enable enterprise resource management applications, sales and supply chain management, procurement, accounting, human resources, and more. With over 400,000 customers globally, including 99 of the 100 largest companies in the world, SAP is a foundational technology of the world’s digital economy: SAP customers are responsible for 87% of total global commerce ($46 trillion).

Driven by modern business requirements, many organizations are more actively moving their SAP applications to the cloud over the past few years. While these digital transformations deliver significant business value, they also introduce new risks as business-critical applications become more easily accessible to threat actors over the Internet. Consequently, over the same period of time, we’ve seen an influx of new participants enter the SAP threat landscape.

Whether the motivation is purely financial, political or disruptive, these highly sophisticated threat actor groups recognize that SAP applications are an incredibly lucrative target, given their business-critical nature to the world’s largest organizations. The data demonstrates that this community is growing, the market is expanding, and SAP threat activity is hitting new highs. Threat actors are actively exploiting SAP vulnerabilities, compromising vulnerable systems, and including its data as part of ransomware attacks. SAP and Onapsis have been proactively warning organizations of the increased risk of malicious activity and ransomware threats targeting SAP applications for years.

Of particular concern is the observed increase in ransomware and double-extortion incidents (i.e., threat actors both encrypting and exfiltrating victims’ data) affecting SAP applications, and the evidence of threat actors leveraging unpatched SAP application-level vulnerabilities in ransomware campaigns. For numerous large organizations where SAP is a business-critical asset and one of their organizational “crown jewels,” a successful SAP ransomware attack would have an operational and financial impact of millions of dollars. Additionally, according to the new US Securities and Exchange Commission (SEC) cybersecurity rules that went into effect in December 2023, it would most likely represent a “material’ cybersecurity incident subject to disclosure via SEC Form 8-K within four days of determination of materiality. Preventing, rapidly detecting, and containing SAP compromises to avoid material impact has never been more important.

Companies with weak SAP cybersecurity governance are under attack

2023 was a critical point: cyberattacks on SAP applications have reached a new high, and interest from established threat actors and state-sponsored cyberespionage groups has increased significantly. However, all of the SAP vulnerabilities identified in the report were patched by SAP several years ago. In addition, the ERP company immediately issued security advisories to its customers. Nevertheless, the high level of cyber activity indicates that threat actors are still targeting companies with weak SAP cybersecurity governance. They are mostly exploiting known but unpatched SAP vulnerabilities and misconfigurations. The problem is exacerbated as more customers migrate SAP applications to the cloud. This increases their exposure to the threat.

The report, conducted by Onapsis Research Labs in partnership with Flashpoint, highlights the evolution of the SAP threat landscape over the past four years. It reveals the growing maturity of this cybercriminal market and the challenges faced by defenders.

Increasing threats and ransomware attacks against SAP applications

Onapsis and Flashpoint research shows that established, professional threat actors and state-sponsored groups are targeting SAP applications more aggressively. Their goal is espionage, sabotage, or financial gain. Since 2021, research has shown a 400% increase in ransomware incidents compromising SAP systems and data at victim companies.

According to Onapsis Research Labs and CISA, the US Federal Cybersecurity and Infrastructure Security Agency, ransomware campaigns exploit unpatched SAP vulnerabilities. In recent years, ransomware groups have repeatedly modified their malware to better identify SAP applications and specifically collect or encrypt data.

Deep and dark web: Interest in SAP Exploitation Grows Significantly

Between 2021 and 2023, conversations and exchanges about SAP vulnerabilities on the deep and dark web will increase nearly fivefold (a 490% increase). Interest in SAP vulnerabilities in cybercriminal forums is increasing significantly. Topics and content discussed include

Information on how to exploit SAP vulnerabilities

Specific instructions on how to run specific SAP exploits

Stakeholders discussing SAP vulnerabilities

Threat community discusses SAP cloud and web services

Between 2021 and 2023, discussions in cybercriminal forums about SAP-specific cloud and web services also increased significantly, more than doubling (220%). This will make critical SAP applications more accessible to a wider audience of criminal threat actors.

The majority of large enterprises use ERP applications from leading vendors such as SAP and Oracle, including solutions such as SAP Business Suite, SAP S/4HANA, and Oracle E-Business Suite/Financials. These applications are critical for supporting a wide range of business processes, including payroll, financials, inventory management, manufacturing, financial planning, sales, logistics, and more. They are also critical for managing and hosting sensitive data, such as financial results, manufacturing formulas, pricing strategies, critical intellectual property, and credit card and personal information of employees, customers, and suppliers.

Proactive countermeasures and alerts

Some companies fall behind when it comes to ERP cybersecurity. There is often a lack of information about threat actors in this area, which many information security teams perceive as complex and opaque. That’s why SAP and Onapsis have been proactively warning about the increased risk of malicious cyber activity and ransomware threats specifically targeting SAP applications for years. Organizations need to act and protect themselves.

„Threat actors are constantly evolving their tactics and targets to maximize their profits. With the type of data that ERP applications contain, it is no surprise that we have uncovered clear evidence and trends of increasing momentum in online forums and channels. This should be a wake-up call for all of us, not just in the threat intelligence space, but in cybersecurity as a whole,“ said Christian Rencken, Senior Strategic Advisor at Flashpoint.

„Working with Flashpoint provides a wealth of threat intelligence that is important to both security and SAP teams,“ said Juan Pablo (JP) Perez-Etchegoyen, CTO at Onapsis. „By showing how these applications are being targeted and how often they are being attacked, we hope to help CIOs, CISOs and their teams manage the risk of large-scale attacks.“

Based on this threat intelligence and findings, Onapsis strongly recommends SAP customers to take immediate actions to protect their business-critical SAP applications from the observed threats. These are the three most important actions you and your teams can take today to minimize risk in your organization:

Assess overall business risk by first understanding the value and criticality of SAP assets in your business. Ask your SAP Applications team for a list of the most critical business processes and data supported by SAP at your organization. This will help you quantify the financial and operational impact of an SAP ransomware or data breach incident. Following this, it is critical to understand potential regulatory risk if SAP contains regulated data that would be subject to disclosure (i.e. GDPR, CCPA, etc), and if a sustained disruption would likely qualify as a “material incident” per the new SEC rules.
In parallel, ensure that all vulnerabilities and misconfigurations outlined in the Appendix have been mitigated (or have compensating controls in place) across your business-critical systems. As noted before, SAP has released the relevant security patches years ago. While you should start with critical and production systems, keep in mind that SAP systems are highly interconnected through interfaces (i.e., through RFC), which makes assessing and remediating vulnerabilities in technical (e.g., SAP Solution Manager) and non-production systems equally important to avoid lateral movement and escalation.
Ensure your SOC and cyber fusion teams have full visibility into SAP indicators of compromise, SAP application-level vulnerability exploitation and anomalous SAP user activity. If the SOC does not have SAP-specific detection capabilities and/or is only receiving endpoint-level telemetry or raw SAP logs without context, it will be impossible for defenders to detect and respond to these threats. In many cases, proper monitoring can also serve as compensating controls given the difficulty in patching mission-critical SAP applications.

Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.

Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.

Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Hacker attackieren SAP – Hackers attack SAP

VonJakob Jung

Von Jakob Jung

Ähnliche Beiträge

Onapsis sichert SAP BTP – Onapsis Secures SAP BTP

Palo Alto Networks Prisma SASE 3.0

Logpoint erweitert Director – Logpoint improves Director

Schreibe einen Kommentar Antworten abbrechen

Versäumt

Onapsis sichert SAP BTP – Onapsis Secures SAP BTP

Palo Alto Networks Prisma SASE 3.0

QNAP QTS 5.2 Beta

Oracle Database 23ai