In einem gemeinsamen Bericht der Security-Unternehmen Digital Shadows und Onapsis wird auf ein zunehmendes Sicherheitsrisiko bei ERP-Systemen hingewiesen. Der Bericht hat inzwischen dazu geführt, dass das Ministerium für Innere Sicherheit der Vereinigten Staaten (englisch: United States Department of Homeland Security), auch als Heimatschutzministerium bekannt, eine weitreichende Sicherheitswarnung für alle ERP-Anwendungen von SAP und Oracle innerhalb der US-Regierung herausgegeben hat.
Bei den Sicherheitsrisiken handelt es sich um eine völlig neue Bedrohungslage, denn bislang waren diese Enterprise-Applikationen nicht das Hauptziel von Hackern. Die Untersuchungen der Sicherheitsfirmen zeigen jedoch, dass das Interesse an der Ausnutzung von Schwachstellen in diesen Softwarepaketen stark zunimmt. Damit verlassen die Hacker den bisher schwerpunktmäßig attackieren Systembereich und fokussieren sich jetzt verstärkt auf die Anwendungsebene.
Die Security-Experten beider Firmen sehen bereits eine neue Gefahrendimension am Horizont heraufziehen. „Diese Sicherheitslücken und die neuen Angriffe gehen über den potenziellen Schaden eines einzelnen Unternehmens weit hinaus. Denn wenn man sich anschaut, welche Großkonzerne auf ihre ERP-Systeme angewiesen sind, könnte ein Totalausfall ganze Volkswirtschaften in Mitleidenschaft ziehen“, sagt Onapsis CEO Mariano Nunez.
Heterogene Hacker-Gruppierungen
Dem Report zufolge sind weltweit rund 17.000 SAP- und Oracle-Installationen bei rund 3.000 Firmen und anderen Organisationen davon betroffen. Die Autoren weisen darauf hin, dass die neuen Angriffe einerseits eine Folge der zunehmenden Sicherheit bei Betriebssystemen und Netzwerken sind, und andererseits die ERP-Anwendungen relativ schlecht geschützt sind. Letzteres resultiert vor allem daraus, dass es in Vergangenheit kaum Angriffe auf ERP-Module gab.
Laut Onapsis und Digital Shadows sind ERP-Systeme aufgrund ihrer geschäftskritischen Bedeutung für verschiedene Hackergruppen von höchstem Interesse. So gibt es finanzmotivierte Hacker, die versuchen, sensible Daten aus den ERP-Systemen zu stehlen, während politische Hacktivisten versuchen, die Systeme zu zerstören oder zumindest zeitlich begrenzt lahmzulegen. Neuerdings gibt es auch Nationen, die sich mit gezielten Angriffen Zugang verschaffen, um damit Spionage oder Sabotage zu betreiben.
Geringes Sicherheitsbewusstsein
Der Bericht der beiden Firmen gehört zum gemeinsamen Forschungsprojekt ERP Applications Under Fire: How cyberattackers target the crown jewels. Das Projekt befasst sich in erster Linie mit SAP-Systemen und der Oracle E-Business Suite. Es setzt hierfür Recherchen im allgemein zugänglichen Web als auch im Darknet ein. Hinzu kommen die Auswertungen von ERP-Vorfällen, die von Onapsis registriert werden, sowie Forensikanalysen.
Wenn man sich anschaut, welche Großkonzerne auf ihre ERP-Systeme angewiesen sind, könnte ein Totalausfall ganze Volkswirtschaften in Mitleidenschaft ziehen.
Mariano NunezOnapsis
Demzufolge gab es verschiedene Angriffe auf ERP-Systeme, die öffentlich bekannt wurden. Diese Angriffe nutzten zumeist eine SAP-Schwachstelle, die seit fünf Jahren bekannt ist und auf die das US-Heimatschutzministerium im Mai 2016 hingewiesen hat. Das sei nach Angaben der beiden Security-Anbieter ein klarer Hinweis darauf, dass es bei vielen weltweit führenden Organisationen an einem entsprechenden Sicherheitsbewusstsein für ERP-Systeme mangelt. Verschärft wird die Bedrohungslage noch durch das zunehmende Deployment von ERP in der Cloud und die damit einhergehende Nutzung auf häufig ungesicherte Mobilgeräte.
Schlampiges Sicherheits-Management
Zu den typischen Fehlern bei der ERP-Sicherheit gehört ein katastrophales Passwort-Management. Häufig werden Unternehmensdaten und sogar Konfigurationsdateien in einer öffentlichen Umgebung und in Internet Cafés verwendet. In den USA wurden über 3.000 ERP-Services entdeckt, die im Internet ungeschützt abgerufen werden können.
Der Bericht verweist auch auf eine starke Zunahme der Hacker-Intelligenz beim Knacken von ERP-Systemen. Vor allem im Zusammenhang mit SAP- und SAP-HANA-Systemen gibt es regelrechte Trainingsforen, in denen Tricks und Schwachstellen didaktisch erklärt werden. Diese Informationen werden auch in die Praxis umgesetzt.
Im März 2017 gab es zum Beispiel eine Anfrage auf der Darknet-Website Hidden Answers, wie man am besten ein SAP-System knacken kann. Dazu gab es eine Flut an Antworten, inklusive Videos und Penetrationstest-Tools. Die Forscher haben außerdem Malware entdeckt, die hinter der ERP-Firewall arbeitet, sowie Online-Banking-Trojaner, die so abgeändert wurden, dass sie ERP-Logins erkennen und stehlen.
Derzeit konzentrieren sich die ERP-Hacker aber noch weitgehend auf das Ausnutzen von bekannten Sicherheitslücken. Die Autoren fanden 50 Lücken in SAP-Systemen und 30 im Oracle EBS-Paket, die üblicherweise online verfügbar sind. Das entspricht einer Zunahme in den letzten zehn Jahren um den Faktor fünf bei SAP- und um den Faktor drei bei Oracle-Systemen.
Crypto Mining und Crypto Jacking
Inzwischen sind ERP-Attacken so professionell, dass sie über den Datendiebstahl hinausgehen. Zum Beispiel gehören auch Crypto Mining und Crypto Jacking zu den Methoden der Hacker, mit denen sie vor allem bei kompromittierten SAP-Servern erfolgreich sind.
In dem Bericht von Onapsis und Digital Shadows heißt es: „Herkömmliche Kontrollen der ERP-Sicherheit, wie das Managen der User-IDs und die Trennung von Verantwortungen sind völlig unwirksam, um damit die bislang beobachteten Taktiken, Techniken und Prozeduren (TTPs) der Angreifer zu erkennen und zu verhindern.“
Während viele IT-Führungskräfte eine ERP-Implementierung hinter der Firewall für sicher halten, gibt es deutliche Hinweise auf Malware-Aktivitäten, die auf Umgebungen abzielen, in denen gar kein direkter Internetzugang vorhanden ist. „Darüber hinaus gibt es eine erstaunliche große Anzahl von unsicheren ERP-Anwendungen, auf die direkt online zugegriffen werden kann – und zwar sowohl On-Premises als auch in der Public Cloud“, heißt es in dem Report.
Oracle und SAP haben mittlerweile an ihre Kunden appelliert, alle verfügbaren Security-Patches zu installieren und dies auch in Zukunft so zu handhaben.
Folgen Sie SearchEnterpriseSoftware.de auch auf Twitter, Google+, Xing und Facebook!
Nächste Schritte
Die Zuständigkeit für SAP-Sicherheit befindet sich oft im Niemandsland.
Sicherheitslücke in SAP-Systemen – Update häufig nicht installiert.
Wie Sie sich gegen SAP-ERP-Schwachstellen schützen.
Erfahren Sie mehr über Enterprise Resource Planning (ERP)
