Neuer Threat Report analysiert die Rolle von ERP-Kompromittierung bei Ransomware

Eine neue Studie von Flashpoint zusammen mit Onapsis hat ergeben, dass geschäftskritische SAP-Anwendungen zunehmend ins Visier von Cyberkriminellen geraten. Der Bericht zeigt, dass eine steigende Anzahl von Bedrohungsakteuren gezielt nach SAP-Schwachstellen sucht und liefert Unternehmen wertvolle Informationen, um ihre geschäftskritischen SAP-Anwendungen vor diesen Bedrohungen zu schützen.

Schwache SAP-Cybersecurity-Governance wird gnadenlos ausgenutzt

Im Jahr 2023 erreichten Cyberangriffe auf SAP-Anwendungen einen neuen Höchststand, begleitet von einem starken Interesse etablierter Bedrohungsakteure und staatlich gesponserter Cyberspionage-Gruppen. Obwohl SAP alle bekannten Schwachstellen bereits vor Jahren behoben hat und Sicherheitshinweise an Kunden weitergegeben wurden, zeigt die weiterhin hohe Cyberaktivität, dass Bedrohungsakteure Unternehmen mit schwacher SAP-Cybersecurity ins Visier nehmen. Besonders nutzen sie bekannte, jedoch ungepatchte SAP-Schwachstellen aus. Die Situation wird durch die zunehmende Migration von SAP-Anwendungen in die Cloud noch verschärft, da diese damit einer höheren Bedrohung ausgesetzt sind.

Der Report der Onapsis Research Labs in Zusammenarbeit mit Flashpoint beleuchtet die Entwicklung der SAP-Bedrohungslandschaft der letzten vier Jahre und verdeutlicht die wachsende Reife dieses cyberkriminellen Marktes sowie die damit einhergehenden Herausforderungen für Verteidiger.

Untersuchungen von Onapsis und Flashpoint zeigen, dass etablierte Bedrohungsakteure und staatlich gesponserte Gruppen immer aggressiver SAP-Anwendungen ins Visier nehmen, um Spionage, Sabotage oder finanzielle Gewinne zu erzielen. Seit 2021 verzeichneten die Untersuchungen einen 400-prozentigen Anstieg der Ransomware-Vorfälle, bei denen SAP-Systeme und -Daten in den betroffenen Unternehmen kompromittiert wurden. Ransomware-Gruppen haben ihre Malware kontinuierlich weiterentwickelt, um SAP-Anwendungen noch besser zu identifizieren und gezielt Daten zu sammeln oder zu verschlüsseln.

In Deep- und Dark-Web wächst das Interesse an SAP-Exploitation

Zwischen 2021 und 2023 hat sich das Gespräch und der Austausch über SAP-Schwachstellen im Deep und Dark Web fast verfünffacht, mit einem Anstieg um 490 Prozent. Das Interesse an SAP-Schwachstellen in cyberkriminellen Foren nimmt deutlich zu, wobei diskutierte Themen unter anderem Informationen darüber umfassen, wie man SAP-Schwachstellen ausnutzen kann, konkrete Anleitungen zur Ausführung bestimmter SAP-Exploits und Diskussionen über SAP-Kompromittierungen.

Ebenfalls zwischen 2021 und 2023 haben Diskussionen in cyberkriminellen Foren über SAP-spezifische Cloud- und Webservices deutlich zugenommen und sich mehr als verdoppelt (220 Prozent). Dies bedeutet, dass kritische SAP-Anwendungen einem breiteren Publikum von kriminellen Bedrohungsakteuren leichter zugänglich sind.

Viele große Unternehmen verwenden ERP-Anwendungen von führenden Anbietern wie SAP und Oracle, darunter Lösungen wie SAP Business Suite, SAP S/4HANA und Oracle E-Business Suite/Financials. Diese Anwendungen sind entscheidend für eine Vielzahl von Geschäftsprozessen, einschließlich Gehaltsabrechnung, Finanzwesen, Bestandsverwaltung, Fertigung, Finanzplanung, Vertrieb, Logistik und mehr. Zudem sind sie wichtig für die Verwaltung und das Hosting sensibler Daten wie Finanzergebnisse, Fertigungsformeln, Preisstrategien, geistiges Eigentum sowie Kreditkartendaten und personenbezogene Daten von Mitarbeitern, Kunden und Lieferanten.

Proaktive Gegenmaßnahmen und Warnungen

Einige Unternehmen haben Schwierigkeiten mit der ERP-Cybersicherheit, da dieser Bereich oft als komplex und undurchsichtig wahrgenommen wird und Informationssicherheitsteams häufig nicht genügend Informationen über Bedrohungsakteure haben. SAP und Onapsis warnen seit Jahren vor dem steigenden Risiko bösartiger Cyberaktivitäten und Ransomware-Angriffe, die speziell auf SAP-Anwendungen abzielen. Es ist entscheidend, dass Unternehmen aktiv werden, um sich zu schützen.

„Bedrohungsakteure entwickeln ständig neue Taktiken, um ihren Profit zu maximieren. Angesichts der sensiblen Daten in ERP-Anwendungen überrascht es nicht, dass wir klare Beweise für zunehmende Aktivitäten in Online-Foren und -Kanälen sehen. Das sollte ein Weckruf für die gesamte Cybersicherheitsbranche sein“, sagte Christian Rencken, Senior Strategic Advisor bei Flashpoint.

Den vollständigen Report gibt es hier. Weitere Informationen zum Thema Ransomware bietet der Fachartikel „Reality-Check Ransomware – Status Quo zu Trends und Abwehr von Cyber-Erpressung“ unserer Schwesterzeitschrift <kes>.