Kritische Schwachstellen machen SAP-Systeme angreifbar

28. Juli 2023 / Amir Salkic, Head of CyberSecurity Consulting Austria bei SEC Consult

Die Digitalisierung schreitet mit schnellem Schritt voran und betrifft mittlerweile nicht mehr nur multinationale Großkonzerne, sondern hat auch schon längst Klein- und Mittelunternehmen voll erfasst. Ein großer Trend im Bereich der Automatisierung ist die Steuerung zentraler Geschäftsprozesse mittels Enterprise-Resource-Planning (ERP). Führender Anbieter dafür mit einem weltweiten Marktanteil von aktuell 87% ist SAP.

Ob es für die Lagerstands-, die Personalverwaltung oder zahlreiche weitere Bereiche eingesetzt wird – mittels SAP werden tagtäglich unzählige sensible Geschäftsdaten verarbeitet. Während dies eine große Arbeitserleichterung für viele Firmen darstellt, bedeutet es jedoch auch, dass Cyberkriminelle die Software genau im Blick haben, um an den kostbaren Datenschatz zu gelangen. Bereits eine kleine Sicherheitslücke kann fatale Folgen haben.

Remote-Function-Call(RFC)-Protokoll unsicher

Obwohl SAP grundsätzlich ausgezeichnet abgesichert ist, hat unser SEC Consult eigenes Vulnerability Lab bereits vor längerer Zeit gleich mehrere massive Schwachstellen beim häufig verwendeten RFC-Protokoll aufgedeckt. Diese erlauben es Hackern, die Authentifizierung auf Serverseite zu umgehen und so in das IT-System einzubrechen und dieses unter ihre Kontrolle zu bringen. In weiterer Folge könnten sensible Daten gestohlen werden oder diese mittels Schadsoftware wie Ransomware verschlüsselt werden, um Geld von den betroffenen Unternehmen zu erpressen. Datenschutzverletzungen sind ebenso möglich wie klassische Industriespionage.

Zu den betroffenen SAP-Systemen zählen Business-Anwendungen wie SAP S/4HANA, SAP ERP Central Component (ECC), das SAP Business Warehouse (BW) und der SAP Solutions Manager (SolMan), SAP Supplier Relations Management (SRM), SAP Human Capital Management (HCM) und SAP Employee Central Payroll (ECP), aber auch zahlreiche Branchenlösungen zum Beispiel SAP for Oil & Gas (IS Oil&Gas) und SAP for Utilities (IS-U).

Dringender Handlungsbedarf: Schwachstellen professionell beseitigen

Mittlerweile sind die Schwachstellen gepatcht, jedoch sind noch immer viele Unternehmen säumig, diese Patches einzuspielen. Zudem reicht es nicht, die Patches zu installieren – eine Rekonfiguration des Systems ist notwendig, um die Sicherheit wiederherzustellen. Es besteht akuter Handlungsbedarf! Details zu den Schwachstellen und wie diese professionell geschlossen werden können, sind im kürzlich veröffentlichten Whitepaper des Vulnerability Labs nachzulesen.

Cyberresilienz benötigt strategisches Vorgehen

Grundsätzlich gilt: Kein IT-System ist vollständig sicher und die volatile Bedrohungslage erlaubt es nicht, alle Schwachstellen zu antizipieren. Aus diesem Grund sollte jedes IT-System über eine mehrdimensionale Zero-Trust-Systemarchitektur verfügen und regelmäßige Back-ups sowie Testangriffe mittels Pentests müssen Standard sein, um größtmögliche Sicherheit zu garantieren. Für den Ernstfall sollte rund um die Uhr ein Defence-Partner zur Verfügung stehen. Letztendlich benötigt es eine individuell auf die Bedürfnisse des jeweiligen Unternehmens zugeschnittene Strategie, die durch diese und ähnliche Maßnahmen verhindert, dass ein Angriff schweren Schaden anrichtet. Sollten Sie dabei Unterstützung benötigen, beraten Sie die Profis von SEC Consult gerne, welche Strategie zu Ihrem Unternehmen passt. Nähere Informationen dazu finden Sie hier.