ERP Threat Report: Anstieg von Ransomware durch ERP-Kompromittierung um 400 Prozent
Eine aktuelle Studie von Flashpoint und Onapsis fand heraus, dass geschäftskritische SAP-Anwendungen zunehmend in den Fokus von Cyberkriminellen rücken. Der Report zeigt eine deutlich zunehmende Zahl an Bedrohungsakteuren, die es auf SAP-Schwachstellen abgesehen haben, und liefert Unternehmen wertvolle Informationen, um ihre geschäftskritischen SAP-Anwendungen vor diesen Bedrohungen zu schützen. Der Report der Onapsis Research Labs beleuchtet die Entwicklung der SAP-Bedrohungslandschaft in den vergangenen vier Jahren. Er zeigt die wachsende Reife dieses cyberkriminellen Marktes und die Herausforderungen, vor denen die Verteidigerseite steht.
2023 war ein kritischer Punkt: Cyberangriffe auf SAP-Anwendungen haben einen neuen Höchststand erreicht und das Interesse von etablierten Bedrohungsakteuren und staatlich gesponserten Cyberspionage-Gruppen hat deutlich zugenommen. Jedoch wurden alle im Bericht beobachteten SAP-Schwachstellen von SAP bereits vor mehreren Jahren gepatcht. Außerdem hat das ERP-Unternehmen seinen Kunden die entsprechenden Sicherheitshinweise umgehend zur Verfügung gestellt. Die dennoch hohe Cyberaktivität deutet darauf hin, dass Bedrohungsakteure nach wie vor Unternehmen mit schwacher SAP-Cybersecurity-Governance ins Visier nehmen. Die Problematik verschärft sich weiter, weil immer mehr Kunden SAP-Anwendungen in die Cloud migrieren. Dadurch sind sie der Bedrohung noch stärker ausgesetzt. Die Untersuchungen von Onapsis und Flashpoint zeigen, dass etablierte professionelle Bedrohungsakteure und staatlich gesponserte Gruppen SAP-Anwendungen immer aggressiver ins Visier nehmen. Deren Ziel ist dabei Spionage, Sabotage oder die Generierung finanzieller Gewinne. So zeigen die Untersuchungen seit 2021 einen 400-prozentigen Anstieg der Ransomware-Vorfälle, bei denen SAP-Systeme und -Daten in den Opferunternehmen kompromittiert wurden. Wie die Onapsis Research Labs und die CISA, die US-amerikanische Bundesbehörde für Cyber- und Infrastructure Security, belegen, werden bei den Ransomware-Kampagnen unter anderem ungepatchte SAP-Schwachstellen ausgenutzt.
Cyberkriminalität nimmt stark zu
Ransomware-Gruppen haben ihre Malware-Software in den vergangenen Jahren immer wieder modifiziert, um SAP-Anwendungen noch besser zu identifizieren und gezielt Daten zu sammeln oder zu verschlüsseln. Im Zeitraum zwischen 2021 und 2023 haben sich die Unterhaltungen und der Austausch über SAP-Schwachstellen im Deep und Dark Web fast verfünffacht (ein Anstieg um 490 Prozent). Das Interesse an SAP-Schwachstellen in cyberkriminellen Foren nimmt deutlich zu. Zwischen 2021 und 2023 haben auch die Diskussionen in cyberkriminellen Foren über SAP-spezifische Cloud- und Webservices deutlich zugenommen und sich mehr als verdoppelt (220 Prozent). So werden kritische SAP-Anwendungen einem breiteren Publikum von kriminellen Bedrohungsakteuren leichter zugänglich.
Einige Unternehmen geraten ins Hintertreffen, wenn es um die ERP-Cybersicherheit geht. Vielfach fehlt es in diesem Bereich, der von vielen Informationssicherheitsteams als komplex und undurchsichtig wahrgenommen wird, an den nötigen Informationen über die Bedrohungsakteure. Deshalb warnen SAP und Onapsis seit Jahren proaktiv vor dem erhöhten Risiko von bösartigen Cyberaktivitäten und Ransomware-Bedrohungen, die speziell auf SAP-Anwendungen abzielen. Unternehmen müssen handeln und sich schützen.
„Bedrohungsakteure entwickeln ihre Taktiken und Ziele ständig weiter, um ihren Profit zu maximieren. Bei der Art von Daten, die ERP-Anwendungen enthalten, überrascht es nicht, dass wir eindeutige Beweise und Trends zur zunehmenden Dynamik in Onlineforen und -kanälen aufgedeckt haben. Dies sollte ein Weckruf für uns alle sein, und das nicht nur im Bereich der Bedrohungsanalyse, sondern im Bereich der Cybersicherheit insgesamt“, so Christian Rencken, Senior Strategic Advisor bei Flashpoint.
„Die Zusammenarbeit mit Flashpoint liefert eine Fülle von Bedrohungsdaten, die sowohl für Sicherheits- als auch für SAP-Teams wichtig sind“, so Juan Pablo Perez-Etchegoyen, CTO bei Onapsis. „Indem wir zeigen, wie diese Anwendungen ins Visier genommen und wie häufig sie angegriffen werden, hoffen wir, CIOs, CISOs und ihren Teams dabei zu helfen, das Risiko von groß angelegten Angriffen zu bewältigen.“