Cyber-Angriffe auf ERP Anwendungen

29.10.2015

SAP HANA, Oracle EBusiness und JD Edwards im Fokus von Cyber-Kriminellen

Ungeschützte Schwachstellen ermöglichen Zugriff auf vertrauliche Informationen und geschäftswichtige Unternehmensprozesse, Betrug und Sabotage

München/Boston, 28.10.2015 – Onapsis, global agierender Experte für die Sicherheit von geschäftswichtigen Unternehmens-Applikationen und führender Anbieter von Cyber-Security-Lösungen, warnt: Ein immer breiteres Spektrum von geschäftsrelevanten Applikationen wird Ziel von Cyber-Angriffen. Die Onapsis Research Labs ermitteln durch Beobachtung der allgemeinen Bedrohungslage in Echtzeit die häufigsten Methoden, die Hacker für Cyber-Angriffe auf geschäftsrelevante ERP-Anwendungen einsetzen.  Fehlerhafte Konfigurationen insbesondere beim Einsatz von SAP-HANA, Web-Applikationen der Oracle-EBusiness-Suite oder auch Schwachstellen der JD Edwards-Protokolle (JDE) ermöglichen unberechtigte Zugriffe auf Systeme. Solche Angriffe können dabei nicht nur von SAP-Experten durchgeführt werden.

Das Risiko ist enorm. Laut den im Kundenauftrag von Onapsis durchgeführten Black-Box-Penetration-Tests sind rund 95 Prozent der SAP-Systeme potenziell durch Cyber-Attacken gefährdet. Grund hierfür sind überwiegend Fehlkonfigurationen von Anwendern, wie etwa nicht installierte Patches. Hacker können sich daher – ohne Benutzernamen und Passwörter zu kennen – Zugriff auf zentrale Prozesse sowie geschäftswichtige Daten und Informationen verschaffen. Viele dieser Angriffe sind dabei nicht mehr nur allein eine Sache von SAP-Experten. Angriffe auf den Transaktions-Layer von SAP Hana kann jeder durchführen, der über Grundkenntnisse in Sachen IT-Sicherheit und Netzwerke verfügt.

Die drei meistbenutzten Angriffsmethoden

Die Angreifer verwenden nach den Untersuchungen der Experten des Onapsis Research Labs am häufigsten folgende Methoden für Angriffe auf:

SAP- und SAP HANA-Systeme: Schwachstellen entstehen durch fehlerhafte Konfigurations- und Autorisierungseinstellungen und nicht eingespielte Sicherheits-Patches. Hacker setzen dabei meist an Systemen mit schwachen Sicherheitseinstellungen an, zum Beispiel Qualitätssicherungs- oder Entwicklungssysteme. Einmal in diese Systeme eingedrungen, hangeln sie sich durch Pivoting zu den Produktivinstanzen vor. Auch SAP HANA beseitigt nicht die Sicherheitsprobleme. Der Hersteller spielt daher regelmäßig Patches für SAP HANA-Systeme ein, wie etwa aktuell zum Schutz gegen Buffer-Overflow-Angriffe: Die dadurch geschlossenen Lücken erlauben ungepatcht das Einspielen von Schadcode und eine Denial-of-Service-Attacke auf SAP Hana-Services;

Web-Applikationen der Oracle EBusiness Suite: Über diese Anwendungen sind Partner, Kunden und Mitarbeiter in verschiedene Unternehmensprozesse eingebunden. Viele dieser Anbindungen an das Internet  sind dabei nur unzureichend geschützt. Durch den Missbrauch unsicherer Konfigurationen und fehlender Patches verschaffen sich Hacker etwa über die Verwendung von Accounts mit Default-Autorisierungen Zugang zum Kernsystem und kompromittieren geschäftsrelevante Informationen;

JD Edwards-Protokolle (JDE): Viele ans Internet angebundene Systeme kommunizieren über offene Programmierschnittstellen mit JDE. Hacker können Schwachstellen in den proprietären Protokollen ausnutzen und so ohne Authentifizierung das gesamte System kompromittieren,  Informationen auslesen oder manipulieren.

Großes Schadenpotential

Ein Cyber-Angriff auf die  ERP-, CRM-, Human Capital Management (HCM)-, BI- und SCM-Schaltzentralen des Geschäftsbetriebs kann die Existenz eines  Unternehmens gefährden. Der Schaden ist enorm. Die Experten des Center for Strategic and International Studies (CSIS) schätzten 2014 allein den Schaden, der weltweit durch Industriespionage, Betrug und Sabotage entsteht, auf rund 445 Milliarden US-Dollar. Dass die Gefahr von Cyber-Attacken in Deutschland real ist, zeigt die „Cybergeddon“-Studie von Corporate & Trust: Demnach belief sich der jährliche finanzielle Schaden durch Industriespionage 2014 in Deutschland auf 11,8 Milliarden Euro. 77,5 Prozent der betroffenen Unternehmen hatten durch die Spionageangriffe einen finanziellen Schaden zu verzeichnen. Bei einem Großteil der Firmen lag der Schaden zwischen 10.000 und 100.000 Euro. Brisant dabei: Nur 3,6 Prozent der deutschen Unternehmen verfügen über eine spezielle Versicherung, die im Fall einer Cyber-Attacke greift.

 „Wir beobachten einen klaren Trend: Die Zahl der vom Anbieter selbst oder von externen Forschern entdeckten Schwachstellen in allen ERP-Umgebungen steigt“, sagt Juan Pablo Perez-Etchegoyen, Chief Technology Officer von Onapsis. „Auch SAP HANA schafft hier keine Abhilfe. Die Echtzeit-Plattform SAP HANA verschlimmert die Situation sogar noch. Die Zahl neuer Sicherheitspatches, die speziell diese neue Plattform betreffen, hat 2014 im Vergleich zum Vorjahr um 450 Prozent zugenommen. Hinzu kommt, dass SAP HANA als Kernkomponente im Zentrum des SAP-Ökosystems platziert ist. Wenn die Kunden mit dem Einspielen der Patches nicht nachkommen, nimmt das Risiko für ihre geschäftsrelevanten Applikationen zu.“

„Onapsis arbeitet eng mit SAP und Oracle zusammen, um Schwachstellen zu identifizieren und geeignete Gegenmaßnahmen zu entwickeln“, sagt Mariano Nunez, Mitgründer und CEO von Onapsis. „Um gegen Angriffe auf ihre Kronjuwelen gerüstet zu sein, sollten Unternehmen die verfügbaren Sicherheits-Patches sofort einspielen, die Konfigurationen ihrer Systeme regelmäßig auf fehlerhafte Einstellungen untersuchen und eine Vorrichtung implementieren, die ihre Geschäftsapplikationen kontinuierlich überwacht. So können sie Bedrohungen frühzeitig erkennen und proaktiv darauf reagieren.“

Über Onapsis

Onapsis liefert die vollständigste Security-Lösung für die Sicherheit von geschäftswichtigen Applikationen. Als führender Experte für SAP Cyber-Security gibt Onapsis IT-Sicherheits- und Audit-Teams leistungsfähige Instrumente an die Hand, mit denen sie eine verlässliche Visibility und Kontrolle über komplexe Bedrohungen, Cyber-Risiken und Compliance-Lücken erlangen, die ihre Unternehmensanwendungen bedrohen.

Onapsis hat seine Hauptniederlassung in Boston, Massachuchettes (USA) und unterstützt mit seinen Lösungen 160 Global-2000-Kunden, darunter 10 führende Handelsunternehmen, 20 führende Energiekonzerne und 20 führende Hersteller. Onapsis Lösungen sind darüber hinaus der De-facto-Standard für führende Beratungs- und Audit-Firmen wie Accenture, IBM, Deloite, Ernest & Young, KPMG und PwC.

Zu den Lösungen von Onapsis zählt die Onapsis Security Platform – die meistgenutzte SAP-zertifizierte Cyber-Security-Lösung im Markt. Anders als generische Sicherheitsprodukte ermöglichen Onapsis kontextbewusste Lösungen sowohl präventive Kontrollen für das Überwachen von Schwachstellen und Compliance-Anforderungen als auch Funktionen für das Erkennen und sofortige Reagieren auf ungewöhnliche Ereignisse. Onapsis Produkte können Risiken reduzieren, die möglicherweise Auswirkungen auf geschäftswichtige Prozesse und Daten haben.

Über offene Schnittstellen lässt sich die Plattform mit SIEM-, GRC- und Netzwerksicherheitsprodukten kombinieren. Dies ermöglicht eine nahtlose Integration von SAP-Applikationen in bestehende Schwachstellen-, Risiko- und Reaktions-Managementprogramme.

Die Lösungen greifen auf das Onapsis Research Labs zurück, das mit intelligenten Analyseverfahren kontinuierlich Sicherheitsbedrohungen aufdeckt, die SAP-Systeme betreffen. Die Experten des Onapsis Research Labs waren die ersten, die über SAP betreffende Cyber-Attacken berichtet haben. Sie haben mittlerweile hunderte Sicherheitslücken aufgedeckt und Unternehmen dabei unterstützt, diese zu beheben. Die Schwachstellen betreffen die SAP Business Suite, SAP HANA und SAP Mobile-Installationen.