Schutz der SAP Netzwerke

Blochain information encryption. Cyber security, crypto currency.

Ein Hauptgrund für den Erfolg der Ransomware-Raubzüge ist die Tatsache, das die oft auf ungeschützte Netzwerke treffen. Das müssen nicht die Netzwerke kleiner oder mittlerer Firmen sein Denn auch große Firmen haben diese „One Size Fits All“-Netzwerke, in denen zwischen dem Client und dem Server kein Schutz mehr besteht, weder eine Firewall noch andere Maßnahmen.

Diese – auch juristisch – grobe Fahrlässigkeit ist dann genau die Lücke, die den Entfaltungsraum für gefährliche Trojaner und ihre Steuerung durch Command&Control-Server überhaupt ermöglicht.

Wenn dies in einem Pen-Test aufgezeigt wird, ist die Reaktion meistens dieselbe:

Ja, wir haben ein Projekt, das dauert aber zwei bis drei Jahre, das ist zu teuer, zu komplex.. die Ausreden sind so zahlreich wie sie vorhersehbar sind.

Ablauf eines Angriffs auf das SAP Netzwerk

Aber wie läuft so eine Aktion ab? Der Angriff beginnt in der Regel damit, dass sich der Angreifer Zugang zum Netzwerk des Unternehmens verschafft, häufig über eine Phishing-E-Mail oder eine Schwachstelle in einer Webanwendung. Sobald der Angreifer Zugang zum Netzwerk hat, bewegt er sich seitlich, um Zugang zu den Servern zu erhalten, auf denen die Daten des Unternehmens gespeichert sind.

Sobald der Angreifer Zugang zu den Servern hat, verwendet er Malware oder andere Tools, um die auf diesen Servern gespeicherten Daten zu verschlüsseln. Die Verschlüsselung erfolgt in der Regel mit fortschrittlichen Algorithmen, die es extrem schwierig, wenn nicht gar unmöglich machen, die Daten ohne den Entschlüsselungscode zu entschlüsseln.

Genau eben die bereits geschilderten schwach geschützten Netzwerke sind einer der Hauptgründe für Ransomware-Angriffe, da sie Angreifern einen einfachen Einstiegspunkt bieten. APT’s gehen nach einem ökonomischen Prinzip vor und suchen sich immer die leichteste Beute für das schnelle Geld. Schwachstellen in den Sicherheitskontrollen eines Netzwerks können es Angreifern ermöglichen, sich unbefugt Zugang zu den Systemen und Netzwerken eines Unternehmens zu verschaffen und sich dann seitlich im Netzwerk zu bewegen, um Zugriff auf Server zu erhalten, auf denen die Daten des Unternehmens gespeichert sind.

Beispiele für Schwachstellen

Einige Beispiele für Schwachstellen, die ein Netzwerk anfällig für Ransomware-Angriffe machen können, sind:

  • Schwache oder leicht zu erratende Passwörter: Angreifer können Brute-Force-Angriffe oder andere Methoden einsetzen, um mit leicht zu erratenden oder schwachen Passwörtern Zugang zu Systemen und Netzwerken zu erhalten.
  • Veraltete Software: Angreifer können Schwachstellen in veralteter Software ausnutzen, um sich Zugang zu Systemen und Netzwerken zu verschaffen.
  • Nicht gepatchte Systeme: Systeme und Netzwerke, die nicht mit Sicherheits-Patches auf dem neuesten Stand gehalten werden, können für Angriffe anfällig sein, die bekannte Schwachstellen ausnutzen.
  • Fehlender Endpunktschutz: Systeme und Netzwerke ohne Endpunktschutz, wie z. B. Antivirensoftware, können für Malware und andere Arten von Angriffen anfällig sein.
  • Fehlende Netzwerksegmentierung: Netzwerke, die nicht segmentiert sind, können es Angreifern erleichtern, sich seitlich im Netzwerk zu bewegen und Zugang zu sensiblen Systemen und Daten zu erhalten.

Sobald sich ein Angreifer Zugang zu den Systemen und Netzwerken eines Unternehmens verschafft hat, kann er sich seitlich bewegen, um Zugang zu Servern zu erhalten, auf denen die Daten des Unternehmens gespeichert sind. Dies kann es den Angreifern erleichtern, die auf diesen Servern gespeicherten Daten zu verschlüsseln und Lösegeld für den Entschlüsselungsschlüssel zu verlangen.

Forensik der Ereignisse

Wir sehen aus der praktischen Forensik für SAP-Systeme, dass 80% aller Angriffe auf SAP-Systeme durch diese Ransomware-Raubzüge erfolgen. SAP ist der Kollateralschaden, denn es ist meist einer der vielen Server, die in schwach geschützten, nicht segmentierten Netzwerken mit verschlüsselt werden. Neuerdings wird, je nach Gelegenheit, gleich die Datenbank mit abgezogen, um diese im Darknet zu verkaufen.

Es hilft nichts, sich juristisch heraus zu reden – den Hacker interessieren keine BSI-Anforderungen, den Hacker interessiert es nicht, ob es KRITIS ist oder nicht – ein ungeschütztes Netzwerk ist und bleibt eine grobe Fahrlässigkeit..

Netzwerke zu schützen ist bei der Vielzahl an Technologien, die es auch spezifisch für SAP-Systeme gibt, kein unüberwindbares Hindernis. Technisch ist es sogar oft einfach zu erledigen. Es erfordert Zeit, Ressourcen und ein Projekt, so einfach ist es.

Wenn die APT-Gruppen nur 10% ihrer Einnahmen in Fortentwicklung stecken, sind das pro gruppe 5-10 Millionen EUR pro Jahr. Da sollten sich die entsprechenden Schutzmaßnahmen orientieren.