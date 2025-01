Ein Rückblick auf Bedrohungsdaten aus den zurückliegenden vier Jahren macht deutlich, dass immer mehr Cyberkriminelle SAP-Systeme ins Visier nehmen. Das berichtete Yvan Genuer, leitender Sicherheitsforscher bei Onapsis auf der Black Hat Europe, die vom 9. bis 12. Dezember 2024 in London stattfand. Demzufolge habe das Interesse von Hackern, in Enterprise-Ressource-Planning-Systeme (ERPERP) von SAPSAP einzudringen, seit 2020 deutlich zugenommen.

Das liegt sicher auch an der weiten Verbreitung von SAP-Anwendungen. Nach Angaben des deutschen Softwarekonzerns verwendet die überwiegende Mehrheit (87 Prozent) der Unternehmen aus der Forbes Global-2000-Liste SAP. Über die ERP-Systeme der Walldorfer würden weltweit mehr als drei Viertel des gesamten Transaktionsumsatzes abgewickelt.

Der auf ERP spezialisierte Cybersicherheitsanbieter Onapsis und sein Forschungspartner Flashpoint haben Aktivitäten in kriminellen Foren sowie Daten aus Ransomware-Vorfällen, auf Chat-Sites und auf Websites von Ransomware-Gruppen analysiert. Den so gewonnenen Informationen zufolge würden verschiedene Gruppen, darunter FIN13 "Elephant Beetle", die russische Cybercrime-Gruppe FIN7 und Cobalt Spider, sowie Cyber-Spionage-Banden wie Chinas APT10 aktiv auf SAP-bezogene Schwachstellen abzielen. Die riesigen Datenschätze, die in SAP-basierten Systemen liegen, machen die Anwendungen zu einem lukrativen Ziel für HackerHacker.

SAP-Exploits werden von kriminellen Gruppen verkauft

Die Schwachstellen CVE-2020-6287 (RECON) und CVE-2020-6207 (fehlende Authentifizierung im SAP Solution Manager) haben zuletzt Anlass zu Diskussionen über die Sicherheit von SAP-Systemen gegeben. Onapsis führte auf der Black Hat ein Beispiel an, bei dem im August 2020 ein angeblicher Exploit für SAP Secure Storage für 25.000 Dollar zum Verkauf angeboten wurde. Im September 2020 offerierten Interessenten in Darknet-Foren, 50.000 Dollar für Exploits zur Remotecode-Ausführung vor der Authentifizierung oder zur Umgehung der Authentifizierung von SAP NetWeaver zu zahlen. In weiteren Posts wurden bis zu 250.000 Dollar für funktionierende Exploits gegen SAP-Systeme geboten.

Der Umfang an aktiven Diskussionen in Cybercrime-Foren über SAP-spezifische Themen und Dienste ist nach Angaben von Onapsis von 2021 bis 2023 um 220 Prozent gestiegen. Cyberkriminelle besuchten diese Foren häufig, um Einzelheiten zur Ausnutzung von SAP-Schwachstellen zu diskutieren sowie Tipps und Tricks zum Monetarisieren von SAP-Kompromittierungen und zur Durchführung von Angriffen auf potenzielle Opfer auszutauschen.

Darüber hinaus habe man seit 2021 beobachtet, dass sich die Zahl der Ransomware-Vorfälle im Zusammenhang mit SAP-Systemen um den Faktor fünf erhöht habe, berichtete Onapsis-Experte Genuer. Auch ungepatchte SAP-Schwachstellen würden zunehmend ausgenutzt und für Ransomware-Kampagnen verwendet. Öffentlich bekannte kritische Exploits verlieren an Wirksamkeit, weshalb Bedrohungsakteure laut Onapsis vor allem darauf aus seien, "frische" Waffen in die Hände zu bekommen. Öffentlich bekannt gewordene Schwachstellen in SAP-Anwendungen wie CVE-2021-38163 und CVE-2022-22536 stehen ebenfalls im Visier der Hacker.

Hacker nutzen bekannte, aber ungepatchte Schwachstellen in SAP-Systemen aus

Die Nachfrage nach SAP-Zero-Days (ungepatchte Schwachstellen) von Seiten verschiedener Hacker-Gruppen wächst, weil sie laut Onapsis eine potenziell hohe Kapitalrendite versprechen. "SAP ist keine Blackbox mehr - betrachten Sie SAP-Anwendungen als Ziel", warnte Genuer und fügte hinzu, dass nicht nur Internet-exponierte Systeme gehackt würden.

Nach Einschätzung der Onapsis-Experten bringt die Komplexität von SAP-Systemen und ihre Integration in umfassendere Geschäftsprozesse auch besondere Sicherheitsherausforderungen mit sich. Unternehmen müssten regelmäßiges Patch-Management, Schwachstellenanalysen und die Einführung fortschrittlicher Bedrohungsaufklärungsmethoden priorisieren, um potenziellen Bedrohungen immer einen Schritt voraus zu sein, riet Genuer den SAP-Anwenderunternehmen.

Auch andere Experten beobachten einen Trend, dass SAP-basierte Systeme zunehmend in den Fokus von Angreifern geraten. "SAP-Systeme sind aufgrund ihrer kritischen Rolle bei der Steuerung von Kernprozessen großer Unternehmen sowie der Speicherung vertraulicher Daten wie Finanztransaktionen, geistigem Eigentum und persönlicher Informationen bevorzugte Ziele von Hackern", sagt Chris Morgan, leitender Cyber ??Threat Intelligence Analyst bei ReliaQuest. "Die Entwicklung eines Exploits, der Speicher entschlüsseln und die laterale Bewegung innerhalb von SAP-Systemen ermöglichen kann, erfordert ein hohes Maß an technischem Know-how und Aufwand und rechtfertigt somit einen hohen Preis."

SAP-Exploit für 25.000 Dollar

So entdeckte ReliaQuest beispielsweise einen Exploit, der auf SAP-Systeme abzielte und in einem bekannten Forum für Cyberkriminelle für fast 25.000 Dollar (zahlbar in Bitcoin) beworben und erstmals im August 2020 gelistet wurde. Der Exploit soll die laterale Bewegung innerhalb der Zielsysteme erleichtern, hieß es. "Im Beitrag wurde behauptet, dass der Exploit SAP Secure Storage nutzen kann, um Anmeldeinformationen aufzudecken, Berechtigungslevel zu erhöhen und schließlich über das ursprüngliche Ziel hinaus weitere SAP-Systeme zu kompromittieren", so die Experten von ReliaQuest.

SAP Secure Storage ist unverzichtbar für die Verwaltung vertraulicher Daten und Anmeldeinformationen innerhalb einer SAP-Umgebung. Das macht jeden Exploit an dieser Stelle für jeden, der unbefugten Zugriff oder erhöhte Berechtigungen für SAP-Systeme ergaunern will, äußerst wertvoll.