Studie von Flashpoint und Onapsis

Ransomware-Attacken auf ungepatchte SAP-Systeme nehmen zu

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Ungepatchte Software ist ein beliebtes Einfallstor für Angreifer. Schließlich sind die Schwachstellen öffentlich und gut dokumentiert. Patch-Management ist daher ein probates Mittel, um die Sicherheit zu erhöhen. Schwer wird es allerdings, wenn man zum Beispiel SAP-Systeme nicht oder nur mit starkem Verzug patchen kann.
Flashpoint und Onapsis warnen in einem atuellen Bericht vor einer starken Zunahme von Ransomware-Angriiffen auf ungepatchte SAP-Systeme.
Flashpoint und Onapsis warnen in einem atuellen Bericht vor einer starken Zunahme von Ransomware-Angriiffen auf ungepatchte SAP-Systeme.
Foto: Nerza - shutterstock.com

Die Anzahl der Ransomware-Angriffe im Zusammenhang mit SAP-Schwachstellen hat sich verfünffacht, so eines der zentralen Ergebnisse einer gemeinsamen Untersuchung der IT-Security-Anbieter Flashpoint und Onapsis. Demnach haben 2023 Angriffe auf SAP-Anwendungen - so wie eigentlich alle Arten von Angriffen - einen neuen Höchststand erreicht. Dem Bericht zufolge hat sich die Zahl der durch Ransomware-Vorfälle kompromittierten Systeme seit 2021 verfünffacht.

Das bemerkenswerte daran: Alle ausgenutzten Schwachstellen waren vor dem erfolgreichen Angriff bereits von den jeweiligen Anbietern gepatcht worden. Das deutet den Autoren des Berichts zufolge darauf hin, dass Angreifer verstärkt Unternehmen mit einer schwachen Cybersicherheits-Governance für SAP-Anwendungen ins Visier nehmen.

Es geht um Geld und Know-how

SAP-Systeme sind in der Regel geschäftskritisch, daher lohnen sich Angriffe darauf für die Kriminellen besonders, meint Paul Laudanski, Director of Security Research bei Onapsis. Neben der finanziellen Motivation gebe es aber auch staatlich unterstützte Akteure, die sich den Zugriff auf die wertvollen SAP-Daten zunutze machen. "Ein Beispiel für Bedrohungsakteure, die es auf SAP-Anwendungen abgesehen haben, ist APT10. Die Gruppe wird vom chinesischen Staat unterstützt", erklärt Juan Pablo Perez-Etchegoyen, CTO bei Onapsis.

Einen Indikator für zunehmendes Interesse der Kriminellen an SAP-Schwachstellen und SAP-Exploits sieht Onapsis an der Anzahl der Gespräche im Dark Web zu diesen Themen. Sie hätten zwischen 2021 und 2023 versechsfacht. Die Gespräche konzentrierten sich in erster Linie darauf, wie die Schwachstellen ausgenutzt werden können, drehten sich um Anleitungen für die Ausführung von Exploits für bestimmte Opfer und auf die Monetarisierung von kompromittierten SAP-System.

Florierender Markt für SAP-Schwachstellen

Zudem stellten die Sicherheitsforscher fest, dass sich der Preis für Remote-Code-Execution-Angriffe (RCE) auf SAP-Anwendungen von 2020 bis 2023 verfünffacht hat. So sei für eine Remote Code Execution (RCE) in SAP NetWeaver 12 etwa eine Prämie von bis zu 50.000 Dollar angeboten worden. Davon betroffen ist ", heißt es in dem Bericht. CrowdFense, ein Aufkäufer von Zero-Day-Lücken, hat Anfang April eine aktualisierte Preisliste veröffentlicht, in der für SAP-RCE-Exploits sogar bis zu 250.000 Dollar ausgelobt werden.

Wenn bisher nicht geschehen, ist es für Unternehmen also höchste Zeit, ihre SAP-Landschaft in das Schwachstellenmanagement, die Sicherheitsüberwachung sowie die Erkennung von Bedrohungen und die Bedrohungsanalyse einzubeziehen.

Mehr zu SAP

Der Wandel bei SAP betrifft auch die Partner

Widerstand gegen Umbaupläne bei SAP

SAP-Chef steckt 2 Milliarden in Großumbau

Christian Mehrtens wechselt von SAP zu Sage

Zur Startseite