Hacker zielen vermehrt auf SAP und Oracle

Martin Schindler,

Die EBusiness-Suite, JD Edwards von Oracle und auch SAP HANA rücken immer mehr in das Visier von Cyberkriminellen. Diese profitieren vor allem von Konfigurationsfehlern.

SAP HANA, Oracle Ebusiness sowie JD Edwards werden immer häufiger das Ziel von Angriffen, warnt der auf ERP-Sicherheit spezialisierte Anbieter Onapsis. Doch beschränken sich die Angriffe nicht auf die genannten Lösungen. Immer mehr geschäftskritische oder zumindest wichtige Anwendungen werden von Cyberkriminellen angegriffen.

In der jüngsten Zeit, so die Onapsis Research Labs, die in Echtzeit die Bedrohungslage bei Kunden ermitteln, stürzen sich die Hacker auf fehlerhaft konfigurierte SAP HANA-Installationen. Ein weiteres beliebtes Ziel seien demnach die Web-Applikationen der Oracle-EBusiness-Suite sowie Schwachstellen der JD Edwards-Protokolle (JDE). Über diese Schlupflöcher ergattern Angreifer unberechtigten Zugriff auf die Systeme und natürlich auch auf die darin gespeicherten und verarbeiteten Daten.

Der Aufbau und die Komponenten der Onapsis Security Plattform. (Bild: Onapsis)
Der Aufbau und die Komponenten der Onapsis Security Plattform. (Bild: Onapsis)

“Wir beobachten einen klaren Trend: Die Zahl der vom Anbieter selbst oder von externen Forschern entdeckten Schwachstellen in allen ERP-Umgebungen steigt”, so Juan Pablo Perez-Etchegoyen, Chief Technology Officer von Onapsis. “Auch SAP HANA schafft hier keine Abhilfe. Die Echtzeit-Plattform SAP HANA verschlimmert die Situation sogar noch. Die Zahl neuer Sicherheitspatches, die speziell diese neue Plattform betreffen, hat 2014 im Vergleich zum Vorjahr um 450 Prozent zugenommen. Hinzu kommt, dass SAP HANA als Kernkomponente im Zentrum des SAP-Ökosystems platziert ist. Wenn die Kunden mit dem Einspielen der Patches nicht nachkommen, nimmt das Risiko für ihre geschäftsrelevanten Applikationen zu.”

Die Experten von Onapsis warnen auch, dass in vielen Fällen für diese Angriffe auch kein Expertenwissen nötig ist. Spielen Anwender vom Hersteller verteilte Sicherheitsupdates nicht auf, oder werden Lösungen fehlerhaft konfiguriert, dann lasse sich auch mit Grundkenntnissen bei IT-Sicherheit und Netzwerktechnologie auf ein Unternehmenssystem zugreifen. Auf diese Weise können Angreifer ohne Benutzername und Passwort auf die Systeme zugreifen.

Im Fall von SAP- und SAP HANA-Systemen würden laut den Sicherheitsexperten die meisten Schwachstellen durch fehlerhafte Konfigurations- und Autorisierungseinstellungen sowie nicht eingespielte Sicherheits-Patches entstehen. “Hacker setzen dabei meist an Systemen mit schwachen Sicherheitseinstellungen an, zum Beispiel Qualitätssicherungs- oder Entwicklungssysteme. Einmal in diese Systeme eingedrungen, hangeln sie sich durch Pivoting zu den Produktivinstanzen vor”, heißt es von Onapsis. Durch SAP HANA öffne sich laut Onapsis für die Angreifer ein weiterer Angriffsvektor.

Die derzeit sehr verbreiteten Angriffe auf die Web-Applikationen der Oracle EBusiness Suite haben ihren Ursprung ebenfalls häufig durch unsichere Konfigurationen. Über diese Web-Erweiterungen werden Partner, Kunden und Mitarbeiter an das System angebunden und dabei sind diese Schnittstellen häufig nicht ausreichend geschützt oder mit aktuellen Sicherheitsupdates gepflegt, warnen die Sicherheitsexperten. Somit können Hacker über die Verwendung von Accounts mit Default-Autorisierungen Zugang zum Kernsystem bekommen und schließlich auf geschäftsrelevante Informationen zugreifen.

Ein weiteres Beispiel seien ans Internet angebundene Systeme, die über offene Programmierschnittstellen mit JDE kommunizieren. Hacker können Schwachstellen in den proprietären Protokollen ausnutzen und so ohne Authentifizierung das gesamte System kompromittieren, Informationen auslesen oder manipulieren.

Das Center for Strategic and International Studies (CSIS) schätzt, dass 2014 allein der Schaden, der weltweit durch Industriespionage, Betrug und Sabotage entsteht, sich auf rund 445 Milliarden US-Dollar summieren werde. Auch in Deutschland ist die Gefahr von Angriffen durchaus real, wie die Studie “Cybergeddon”-Studie von Corporate & Trust zeigt. Diese Untersuchung beziffert den finanziellen Schaden durch Industriespionage in Deutschland auf 11,8 Milliarden Euro. 77,5 Prozent der betroffenen Unternehmen hatten durch die Spionageangriffe finanziellen Schaden zu verzeichnen. Bei einem Großteil der Firmen lag der Schaden zwischen 10.000 und 100.000 Euro. Weiter zeigt die Studie, dass nur etwa 3,6 Prozent der deutschen Unternehmen über eine spezielle Versicherung abgeschlossen haben, die Schäden durch Cyber-Attacken abdecken.