Threat Report von Onapsis und Flashpoint: Seit 2021 gibt es einen 400-prozentigen Anstieg der Ransomware-Vorfälle, bei denen SAP-Systeme und -Daten in den Opferunternehmen kompromittiert wurden. ITWELT.at sah sich die Studie genauer an. [...]
Die akutelle Studie von Flashpoint und Onapsis kam zu dem Schluss, dass geschäftskritische SAP-Anwendungen zunehmend in den Fokus von Cyberkriminellen rücken. 2023 haben Cyberangriffe auf SAP-Anwendungen einen neuen Höchststand erreicht. Gleichzeitig hat das Interesse von etablierten Bedrohungsakteuren und staatlich gesponserten Cyberspionage-Gruppen deutlich zugenommen.
Jedoch wurden alle im Bericht deokumentierten SAP-Schwachstellen von SAP bereits vor mehreren Jahren gepatcht. Außerdem hat das ERP-Unternehmen seinen Kunden die entsprechenden Sicherheitshinweise umgehend zur Verfügung gestellt. Die dennoch hohe Cyberaktivität deutet darauf hin, dass Bedrohungsakteure nach wie vor Unternehmen mit schwacher SAP-Cybersecurity-Governance ins Visier nehmen. Dabei nutzen sie meist bekannte, jedoch ungepatchte SAP-Schwachstellen und Fehlkonfigurationen aus. Die Problematik verschärft sich weiter, weil immer mehr Kunden SAP-Anwendungen in die Cloud migrieren. Dadurch sind sie der Bedrohung noch stärker ausgesetzt, so die Studie.
Zwischen 2021 und 2023 haben auch die Diskussionen in cyberkriminellen Foren über SAP-spezifische Cloud- und Webservices deutlich zugenommen und sich mehr als verdoppelt. So werden kritische SAP-Anwendungen einem breiteren Publikum von kriminellen Bedrohungsakteuren leichter zugänglich.
Für Unternehmen, in denen SAP für den täglichen Geschäftsbetrieb absolut entscheidend ist, hätte jeder Fall, in dem SAP-Systeme offline genommen und/oder verschlüsselt werden, erhebliche finanzielle und betriebliche Auswirkungen. Nicht wenige Firmen beziffern dieses Risiko in der Größenordnung von mehreren Millionen Dollar pro Stunde, wenn man ungeplante Ausfallzeiten und unterbrochene geschäftskritische Prozesse in den Bereichen Fertigung, Versand, Lieferkette, Vertrieb, Lohnbuchhaltung, Finanzberichterstattung und mehr berücksichtigt.
Die Akteure
Die Studie Onapsis und Flashpoint zeigt auch die Entwicklungslinien der Bedrohungen in diesem Bereich. Ransomware ist keine neue Angriffsart. Einer der ersten dokumentierten Angriffe der PC Cyborg-Trojaner, der sich über Disketten verbreitete. Das Lösegeld betrug ganze 189 US-Dollar. Heute jedoch liegt das Ausmaß von Ransomware-Angriffen im zweistelligen Millionen-Dollar-Bereich.
Onapsis Research Labs hat die Vorfälle isoliert, die direkt die Kompromittierung von SAP-basierten Daten beinhalten. So war die Ransomware-Gang PYSA war 2021 in mehrere Vorfälle verwickelt, bei denen die Daten, die im entsprechenden Forum durchsickerten, Informationen und Dateien mit Bezug zu SAP-Projekten oder -Anwendungen enthielten. Einer der bekanntesten Vorfälle wurde von der Ransomware-Gruppe DoppelPaymer ausgelöst, die Automobilunternehmen in den USA kompromittierte und Informationen über SAP-Anwendungen veröffentlichte.
Schon 2020 gab das FBI eine Warnung bezüglich DoppelPaymer heraus. Es handelt sich um eine Ransomware-Familie, die 2019 zum ersten Mal mit Angriffen auf Unternehmen in kritischen Branchen auffiel. Dem FBI zufolge griff DoppelPaymer in erster Linie Unternehmen im Gesundheitswesen, Rettungsdienste und im Bildungswesen an, etwa die Uniklinik Düsseldorf.
Im Jahr 2022 gab es laut Onapsis drei bestätigte Ransomware-Vorfälle, bei denen SAP-Informationen Teil der veröffentlichten gestohlenen Daten waren. Die SAP-bezogenen Informationen reichten von Dateien im Zusammenhang mit SAP-Projekten und SAP-Anmeldedaten bis hin zu vollständigen SAP-Datenbank-Backups. Drei verschiedene Ransomware-Gruppen waren für diese gezielten Angriffe verantwortlich: Conti, Quantum und Lockbit.
Im Jahr 2023 entdeckte Onapsis Aktivität von vier verschiedenen Ransomware-Gruppen: BlackBasta, BianLian, Trigona und BlackCat. „Das Jahr 2023 stellt aus verschiedenen Gründen einen Wendepunkt in Bezug auf Ransomware dar, die SAP betrifft. Erstens wissen jetzt mehr Ransomware-Banden als je zuvor, dass SAP sowohl eine Quelle kritischer Daten als auch eine kritische Anwendung ist, die für Angriffe genutzt werden kann. Zweitens werden SAP-Anwendungen und -Daten aufgrund ihrer Bedeutung immer häufiger verschlüsselt, um das Opfer in der Anfangsphase einer Ransomware-Attacke noch stärker unter Druck zu setzen, das Lösegeld zu zahlen“, so die Studie.
SAP-Anwendungen und -Technologie sind für Bedrohungsakteure nicht länger eine „Blackbox“. Angesichts der Entwicklung moderner SAP-Umgebungen und der leichten Verfügbarkeit von Online-Tools und -Ressourcen, der allgegenwärtigen Präsenz von SAP in den größten Unternehmen der Welt und der allgemeinen Beschleunigung der digitalen Transformation und von Cloud-Projekten solle dies keine Überraschung sein, so die Studie. SAP stellte, ähnlich wie andere kritische Anwendungen, schon immer die „Kronjuwelen“ eines Unternehmens dar und war über die Jahre das Ziel vieler Cyberkrimineller. „Jetzt ist es für Bedrohungsakteure einfach viel einfacher, an sie heranzukommen.“
Der Bericht, der auch eine Handlungsanweisung enthält, wie sich Unternehmen besser schützen können, lässt sich hier herunterladen.
Be the first to comment