{"id":1242,"date":"2024-12-16T10:44:48","date_gmt":"2024-12-16T10:44:48","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=1242"},"modified":"2024-12-16T10:44:48","modified_gmt":"2024-12-16T10:44:48","slug":"sap-systeme-geraten-zunehmend-ins-visier-von-cyber-angreifern","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=1242","title":{"rendered":"SAP-Systeme geraten zunehmend ins Visier von Cyber-Angreifern"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
width=”5000″ height=”2813″ sizes=”(max-width: 5000px) 100vw, 5000px”>Angriffe auf SAP-Systeme versprechen Hackern fette Beute.\n

Shutterstock<\/p>\n<\/div>\n

Ein R\u00fcckblick auf Bedrohungsdaten aus den zur\u00fcckliegenden vier Jahren macht deutlich, dass immer mehr Cyberkriminelle SAP-Systeme ins Visier nehmen<\/a>. Das berichtete Yvan Genuer, leitender Sicherheitsforscher bei Onapsis auf der Black Hat Europe<\/a>, die vom 9. bis 12. Dezember 2024 in London stattfand. Demzufolge habe das Interesse von Hackern, in Enterprise-Ressource-Planning-Systeme (ERP) von SAP einzudringen, seit 2020 deutlich zugenommen.<\/p>\n

Das liegt sicher auch an der weiten Verbreitung von SAP-Anwendungen. Nach Angaben des deutschen Softwarekonzerns verwendet die \u00fcberwiegende Mehrheit (87 Prozent) der Unternehmen aus der Forbes Global-2000-Liste SAP. \u00dcber die ERP-Systeme der Walldorfer w\u00fcrden weltweit mehr als drei Viertel des gesamten Transaktionsumsatzes abgewickelt.<\/p>\n

ERP-Systeme in Gefahr: SAP-Anwender im Visier von Hackern<\/a><\/strong><\/p>\n

Der auf ERP spezialisierte Cybersicherheitsanbieter Onapsis und sein Forschungspartner Flashpoint haben Aktivit\u00e4ten in kriminellen Foren sowie Daten aus Ransomware-Vorf\u00e4llen, auf Chat-Sites und auf Websites von Ransomware-Gruppen analysiert. Den so gewonnenen Informationen zufolge w\u00fcrden verschiedene Gruppen, darunter FIN13 \u201eElephant Beetle\u201c, die russische Cybercrime-Gruppe FIN7 und Cobalt Spider, sowie Cyber-Spionage-Banden wie Chinas APT10 aktiv auf SAP-bezogene Schwachstellen abzielen. Die riesigen Datensch\u00e4tze, die in SAP-basierten Systemen liegen, machen die Anwendungen zu einem lukrativen Ziel f\u00fcr Hacker.<\/p>\n

SAP-Exploits werden von kriminellen Gruppen verkauft<\/h2>\n

Die Schwachstellen CVE-2020-6287<\/a> (RECON) und CVE-2020-6207<\/a> (fehlende Authentifizierung im SAP Solution Manager) haben zuletzt Anlass zu Diskussionen \u00fcber die Sicherheit von SAP-Systemen gegeben. Onapsis f\u00fchrte auf der Black Hat ein Beispiel an, bei dem im August 2020 ein angeblicher Exploit f\u00fcr SAP Secure Storage f\u00fcr 25.000 Dollar zum Verkauf angeboten wurde. Im September 2020 offerierten Interessenten in Darknet-Foren, 50.000 Dollar f\u00fcr Exploits zur Remotecode-Ausf\u00fchrung vor der Authentifizierung oder zur Umgehung der Authentifizierung von SAP NetWeaver zu zahlen. In weiteren Posts wurden bis zu 250.000 Dollar f\u00fcr funktionierende Exploits gegen SAP-Systeme geboten.<\/p>\n

Anwendungssicherheit: Diese SAP-Schwachstellen nutzen Cybergangster<\/a><\/strong><\/p>\n

Der Umfang an aktiven Diskussionen in Cybercrime-Foren \u00fcber SAP-spezifische Themen und Dienste ist nach Angaben von Onapsis von 2021 bis 2023 um 220 Prozent gestiegen. Cyberkriminelle besuchten diese Foren h\u00e4ufig, um Einzelheiten zur Ausnutzung von SAP-Schwachstellen zu diskutieren sowie Tipps und Tricks zum Monetarisieren von SAP-Kompromittierungen und zur Durchf\u00fchrung von Angriffen auf potenzielle Opfer auszutauschen.<\/p>\n

Dar\u00fcber hinaus habe man seit 2021 beobachtet, dass sich die Zahl der Ransomware-Vorf\u00e4lle im Zusammenhang mit SAP-Systemen um den Faktor f\u00fcnf erh\u00f6ht<\/a> habe, berichtete Onapsis-Experte Genuer. Auch ungepatchte SAP-Schwachstellen w\u00fcrden zunehmend ausgenutzt<\/a> und f\u00fcr Ransomware-Kampagnen verwendet. \u00d6ffentlich bekannte kritische Exploits verlieren an Wirksamkeit, weshalb Bedrohungsakteure laut Onapsis vor allem darauf aus seien, \u201efrische\u201c Waffen in die H\u00e4nde zu bekommen. \u00d6ffentlich bekannt gewordene Schwachstellen in SAP-Anwendungen wie CVE-2021-38163<\/a> und CVE-2022-22536<\/a> stehen ebenfalls im Visier der Hacker.<\/p>\n

Hacker nutzen bekannte, aber ungepatchte Schwachstellen in SAP-Systemen aus<\/h2>\n

Die Nachfrage nach SAP-Zero-Days (ungepatchte Schwachstellen) von Seiten verschiedener Hacker-Gruppen w\u00e4chst, weil sie laut Onapsis eine potenziell hohe Kapitalrendite versprechen. \u201eSAP ist keine Blackbox mehr \u2013 betrachten Sie SAP-Anwendungen als Ziel\u201c, warnte Genuer und f\u00fcgte hinzu, dass nicht nur Internet-exponierte Systeme gehackt w\u00fcrden.<\/p>\n

Nach Einsch\u00e4tzung der Onapsis-Experten bringt die Komplexit\u00e4t von SAP-Systemen und ihre Integration in umfassendere Gesch\u00e4ftsprozesse auch besondere Sicherheitsherausforderungen mit sich. Unternehmen m\u00fcssten regelm\u00e4\u00dfiges Patch-Management, Schwachstellenanalysen und die Einf\u00fchrung fortschrittlicher Bedrohungsaufkl\u00e4rungsmethoden priorisieren, um potenziellen Bedrohungen immer einen Schritt voraus zu sein, riet Genuer den SAP-Anwenderunternehmen.<\/p>\n

SAP Security & SIEM: Schwachstelle ERP-System<\/a><\/strong><\/p>\n

Auch andere Experten beobachten einen Trend, dass SAP-basierte Systeme zunehmend in den Fokus von Angreifern geraten. \u201eSAP-Systeme sind aufgrund ihrer kritischen Rolle bei der Steuerung von Kernprozessen gro\u00dfer Unternehmen sowie der Speicherung vertraulicher Daten wie Finanztransaktionen, geistigem Eigentum und pers\u00f6nlicher Informationen bevorzugte Ziele von Hackern\u201c, sagt Chris Morgan, leitender Cyber \u200b\u200bThreat Intelligence Analyst bei ReliaQuest. \u201eDie Entwicklung eines Exploits, der Speicher entschl\u00fcsseln und die laterale Bewegung innerhalb von SAP-Systemen erm\u00f6glichen kann, erfordert ein hohes Ma\u00df an technischem Know-how und Aufwand und rechtfertigt somit einen hohen Preis.\u201c<\/p>\n

SAP-Exploit f\u00fcr 25.000 Dollar<\/h2>\n

So entdeckte ReliaQuest beispielsweise einen Exploit, der auf SAP-Systeme abzielte und in einem bekannten Forum f\u00fcr Cyberkriminelle f\u00fcr fast 25.000 Dollar (zahlbar in Bitcoin) beworben und erstmals im August 2020 gelistet wurde. Der Exploit soll die laterale Bewegung innerhalb der Zielsysteme erleichtern, hie\u00df es. \u201eIm Beitrag wurde behauptet, dass der Exploit SAP Secure Storage nutzen kann, um Anmeldeinformationen aufzudecken, Berechtigungslevel zu erh\u00f6hen und schlie\u00dflich \u00fcber das urspr\u00fcngliche Ziel hinaus weitere SAP-Systeme zu kompromittieren\u201c, so die Experten von ReliaQuest.<\/p>\n

SAP Secure Storage ist unverzichtbar f\u00fcr die Verwaltung vertraulicher Daten und Anmeldeinformationen innerhalb einer SAP-Umgebung. Das macht jeden Exploit an dieser Stelle f\u00fcr jeden, der unbefugten Zugriff oder erh\u00f6hte Berechtigungen f\u00fcr SAP-Systeme ergaunern will, \u00e4u\u00dferst wertvoll.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

width=”5000″ height=”2813″ sizes=”(max-width: 5000px) 100vw, 5000px”>Angriffe auf SAP-Systeme versprechen Hackern fette Beute. Shutterstock Ein R\u00fcckblick auf Bedrohungsdaten aus den zur\u00fcckliegenden vier Jahren macht deutlich, dass immer mehr Cyberkriminelle SAP-Systeme ins Visier nehmen. Das berichtete Yvan Genuer, leitender Sicherheitsforscher bei Onapsis auf der Black Hat Europe, die vom 9. bis 12. Dezember 2024 in London stattfand. […]<\/p>\n","protected":false},"author":0,"featured_media":1243,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-1242","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1242"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1242"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1242\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1243"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1242"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1242"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1242"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}