Hacker nutzen SAP-Exploit für Angriff auf US Investigations Services
Über externen Dienstleister Zugang zu geheimen Informationen des regierungsnahen Rechercheinstituts US Investigations Services (USIS) verschafft – Daten von tausenden Mitarbeitern und verdeckten Ermittlern betroffen – Verwendeter SAP-Exploit zählt zu den drei am häufigsten genutzten Angriffsvektoren auf SAP-Systeme.
München/Boston, 20. Mai 2015 – Mutmaßlich chinesische Hacker haben eine der drei am häufigsten verwendeten SAP-Schwachstellen ausgenutzt und sich Zugang zu geheimen Informationen des US-Rechercheinstitut US Investigations Services (USIS) verschafft. Das zeigen jüngste Veröffentlichungen des Magazins The Hill. SAP-Cyber-Security-Spezialist Onapsis hatte diese Exploits in einer umfangreichen Untersuchung identifiziert und davor gewarnt.
Brisant dabei: USIS ist der größte kommerzielle Anbieter von Hintergrundrecherchen für die US-Bundesregierung. Zwei der wichtigsten Auftraggeber sind das Ministerium für Heimatschutz (Department of Homeland Security, DHS) und das Büro für Personalmanagement (Office of Personnel Management, OPM). Es ist das erste Mal, dass detaillierte Informationen über einen SAP-Angriff auf einen Dienstleister für die nationale Sicherheit in den USA an die Öffentlichkeit gelangen.
Nach Monaten intensiver forensischer Analysen berichtete das von USIS beauftragte Unternehmen Stroz Friedberg, dass die Hacker eine Schwachstelle in einem Applikations-Server eines externen Dienstleisters ausgenutzt haben. Friedberg wertete für seine Analyse eine Vielzahl von Log-Daten von Firewalls, Sicherheitsereignissen, VPN- und SAP-Anwendungen aus.
Öffentlichen Berichten zufolge waren Datensätze von mindestens 27.000 Mitarbeitern des DHS und von verdeckten Ermittlern gefährdet, darunter Namen und Adressen, Sozialversicherungsnummern, Ausbildung und Führungszeugnisse, Geburts- und Familiendaten sowie Informationen über Verwandte und Freunde.
Gerhard Unger, VP Sales EMEA/APAC von SAP-Security-Spezialist Onapsis, kommentiert: „Cyber-Angriffe auf SAP-Systeme häufen sich. Der Vorfall am USIS ist der Beweis dafür, dass SAP-Schwachstellen bereits seit langem ausgenutzt werden. Die Aussage vieler SAP-Administratoren, dass SAP-Systeme nur über das interne Netzwerk zugänglich sind, offenbart eine große Unsicherheit – und sollte nicht länger als Argument dafür gelten, geschäftswichtige Anwendungen wie SAP nicht gründlich zu prüfen und nicht kontinuierlich zu überwachen.
Onapsis Research Labs hat die drei am häufigsten verwendeten Angriffsvektoren auf SAP-Systeme ermittelt und vor der davon ausgehenden Gefahr gewarnt. Wie sich jetzt zeigt, haben die ausländischen Hacker eine dieser Methoden, das Pivoting, tatsächlich ausgenutzt. Das Research Labs hat weitere Beispiele für diese häufig genutzten Angriffsmethoden in der realen Welt identifiziert und nachverfolgt. Die gewonnenen Erkenntnisse fasst Onapsis derzeit in einem Bericht zusammen, der zu einem späteren Zeitpunkt veröffentlicht wird.
Ein großes Anliegen von Onapsis ist es, das Bewusstsein dafür zu stärken, wie wichtig die Sicherheit geschäftswichtiger Applikationen für Unternehmen und Kunden, Behörden und Regierungsinstitutionen ist. Hacker verfügen heute über umfangreiches Wissen und enorme Ressourcen – darauf müssen Firmen und Regierungen vorbereitet sein.
Daher arbeitet Onapsis seit Jahren mit SAP und SAP-Kunden zusammen. Seit 2007 identifiziert und veröffentlicht Onapsis Research Labs SAP-Schwachstellen. Ziel ist es, SAP-Infrastrukturen sicherer gegen externe und interne Cyber-Angriffe zu machen.
Automatisches, kontinuierliches Monitoring und Echtzeit-Sicherheitsmaßnahmen sind ein wichtiger Schritt, diese immer komplexeren Bedrohungen in den Griff zu bekommen. Unternehmen und Regierungen sollten diesen Schritt für die Sicherheit ihrer geschäftswichtigen Applikationen jetzt machen.