Foto: Nerza - shutterstock.com
Die Anzahl der Ransomware-Angriffe im Zusammenhang mit SAP-Schwachstellen hat sich verfünffacht, so eines der zentralen Ergebnisse einer gemeinsamen Untersuchung der IT-Security-Anbieter Flashpoint und Onapsis. Demnach haben 2023 Angriffe auf SAP-Anwendungen - so wie eigentlich alle Arten von Angriffen - einen neuen Höchststand erreicht. Dem Bericht zufolge hat sich die Zahl der durch Ransomware-Vorfälle kompromittierten Systeme seit 2021 verfünffacht.
Das bemerkenswerte daran: Alle ausgenutzten Schwachstellen waren vor dem erfolgreichen Angriff bereits von den jeweiligen Anbietern gepatcht worden. Das deutet den Autoren des Berichts zufolge darauf hin, dass Angreifer verstärkt Unternehmen mit einer schwachen Cybersicherheits-Governance für SAP-Anwendungen ins Visier nehmen.
Es geht um Geld und Know-how
SAP-Systeme sind in der Regel geschäftskritisch, daher lohnen sich Angriffe darauf für die Kriminellen besonders, meint Paul Laudanski, Director of Security Research bei Onapsis. Neben der finanziellen Motivation gebe es aber auch staatlich unterstützte Akteure, die sich den Zugriff auf die wertvollen SAP-Daten zunutze machen. "Ein Beispiel für Bedrohungsakteure, die es auf SAP-Anwendungen abgesehen haben, ist APT10. Die Gruppe wird vom chinesischen Staat unterstützt", erklärt Juan Pablo Perez-Etchegoyen, CTO bei Onapsis.
Einen Indikator für zunehmendes Interesse der Kriminellen an SAP-Schwachstellen und SAP-Exploits sieht Onapsis an der Anzahl der Gespräche im Dark Web zu diesen Themen. Sie hätten zwischen 2021 und 2023 versechsfacht. Die Gespräche konzentrierten sich in erster Linie darauf, wie die Schwachstellen ausgenutzt werden können, drehten sich um Anleitungen für die Ausführung von Exploits für bestimmte Opfer und auf die Monetarisierung von kompromittierten SAP-System.
Florierender Markt für SAP-Schwachstellen
Zudem stellten die Sicherheitsforscher fest, dass sich der Preis für Remote-Code-Execution-Angriffe (RCE) auf SAP-Anwendungen von 2020 bis 2023 verfünffacht hat. So sei für eine Remote Code Execution (RCE) in SAP NetWeaver 12 etwa eine Prämie von bis zu 50.000 Dollar angeboten worden. Davon betroffen ist ", heißt es in dem Bericht. CrowdFense, ein Aufkäufer von Zero-Day-Lücken, hat Anfang April eine aktualisierte Preisliste veröffentlicht, in der für SAP-RCE-Exploits sogar bis zu 250.000 Dollar ausgelobt werden.
Wenn bisher nicht geschehen, ist es für Unternehmen also höchste Zeit, ihre SAP-Landschaft in das Schwachstellenmanagement, die Sicherheitsüberwachung sowie die Erkennung von Bedrohungen und die Bedrohungsanalyse einzubeziehen.
Mehr zu SAP
Der Wandel bei SAP betrifft auch die Partner
Widerstand gegen Umbaupläne bei SAP