IT-Onlinemagazin
Wenn man Angriffsversuche auf SAP-Systeme abwehren möchte, sollte man sich auch mit den möglichen Angreifern und ihren Motiven auseinandersetzen. Die Ziele und die Auswirkungen ihrer kriminellen Aktivitäten können höchst unterschiedlich sein.
Christoph Nagy, Geschäftsführer von SecurityBridge, einem Spezialisten für SAP-Sicherheit mit Hauptsitz in Ingolstadt, unterscheidet in seinem Gastbeitrag fünf wesentliche Angreifer-Typen.
Wer steckt hinter Angriffen auf SAP-Systeme?
Oktober 2012, griechisches Finanzministerium: Die Hackergruppe Anonymous leakt vertrauliche Dateien und Anmeldedaten der Behörde – einer der ersten bekannten Cyberangriffe auf SAP-Systeme. Drei Jahre später trifft es den amerikanischen Sicherheitsdienstleister US Investigation Services. Chinesische Hacker dringen in das Unternehmen über eine Softwarelücke des SAP-Systems ein, das dort für Prozesse wie die Personalverwaltung eingesetzt wird.
Solche Berichte über Cyber-Angriffe, die zu Datendiebstahl oder Ausfällen führen, sind in den Nachrichten mittlerweile an der Tagesordnung. Nicht immer ist klar, ob und in welchem Umfang SAP-Systeme betroffen waren. Kritisch jedoch ist, dass genau diese Systeme persönliche Daten wie Kreditkarten, Zahlungsinformationen und vieles mehr enthalten. Das macht sie zu einem bevorzugten Ziel von Cyber-Kriminellen. Sind daher SAP-Anwenderunternehmen das Ziel, kann man Sicherheit davon ausgehen: Die durchgesickerten Daten stammen aus der ERP-Anwendung.
Wie gelingen Cyberangriffe auf SAP-Systeme?
Wie sieht er nun aus, der typische SAP Cyber-Angreifer? Das Bild des böswilligen Programmierers, der sich Zugang zum Kernsystem seines Opfers zu verschaffen versucht, greift angesichts der komplexen Architektur von SAP-Systemen sicher zu kurz.
Cyber-Angreifer nutzen nicht nur Netzwerke und das Internet, sondern verwenden auch Methoden wie Social Engineering, Erpressung und Bestechung. Als Tactics, Techniques and Procedures (TTP) bezeichnet man das Set an Tools, welches sie einsetzen, um unbemerkt in SAP-Umgebungen einzudringen.
Je nach Motivation und Angriffsmethodik lassen sich folgende fünf Grundtypen unterscheiden:
Skript-Kiddies
Dies sind Amateure, die aus dem Internet lernen und von dort Tools verwenden, um ein System zu knacken. Als Anfänger mit geringen Kenntnissen sind sie vergleichsweise harmlos und richten keinen großen Schaden an – zumal SAP eine komplexe Umgebung ist, für die es nur wenige detaillierte Hilfeseiten gibt. Auch wenn immer häufiger sofort einsetzbare SAP-Exploits veröffentlicht werden, bleibt die Einstiegshürde hoch. Den Script-Kiddies geht es eher um die Herausforderung und den Nervenkitzel. Mit der Zeit können aber auch sie Erfahrungen sammeln und sogar zu professionellen Hackern werden. Vor allem der pandemie-bedingte Home-Office-Betrieb hat dieser Kategorie großen Zulauf beschert.
Cyber-Kriminelle
Hierbei handelt es sich um Einzelpersonen oder Gruppen, die darauf abzielen, vertrauliche Informationen des Opfers auszunutzen. Normalerweise kapern sie das SAP-System, um Zugang zu Daten zu erhalten, aus denen sie Profit schlagen können.
Hacktivisten
Sie nehmen böswillige und betrügerische Handlungen im Rahmen einer politischen Agenda vor, wie beim griechischen Finanzministerium. Hacktivismus ist digitaler Ungehorsam für eine bestimmte Sache. Die Aktivisten definieren sich als Kämpfende für Gerechtigkeit und sind nicht auf finanziellen Gewinn aus. Bisweilen tun sie sich auch mit böswilligen Insidern zusammen, um sensible Daten zu enthüllen.
Nationalstaatliche Hacker
Nationalstaatliche Hacker arbeiten für eine (oder im Namen einer) Regierung, um Betreiber kritischer Infrastrukturen zu infiltrieren. Sie wollen sensible Informationen stehlen, gegnerische Einrichtungen beschädigen oder einen internationalen Zwischenfall verursachen. Dabei setzen sie ausgeklügelte Angriffstechniken ein und versuchen, alle Beweise zu vernichten. Einige dieser Angreifer sehen sich als Patrioten, die im Dienst einer höheren, nationalstaatlichen Mission unterwegs sind.
Insider
Die stärkste Fraktion unter den Angreifer-Typen. Vor allem bei SAP-Angriffen sind es zumeist Insider, die dem Unternehmen den größten Schaden zufügen. Hier unterscheidet man zwischen Böswilligkeit, unbeabsichtigten und vernachlässigbaren Insider-Angriffen. Erstere sind die gefährlichsten, weil oft schwer zu erkennen.
Sie kommen ohne Vorankündigung und können Schwachstellen wie das SAP Transport Supply Chain Problem ausnutzen. Nicht selten werden externe und interne Beschäftigte bestochen oder bedroht, damit sie bei ihrem Arbeitgeber schädliche Aktivitäten ausführen.
Fazit: Cyberangriffe auf SAP aus vielen Richtungen
SAP-Cyber-Angreifer haben viele Motivationen und kommen aus allen sozialen Schichten. Manche möchten nur Spaß haben oder Schaden anrichten, während andere das schnelle Geld machen wollen. Besonders gefährlich sind Personen, die ein strategisches Ziel wie zum Beispiel Spionage verfolgen.
Das Klischee des Cyberkriminellen, der in einem dunklen Raum vor vielen Bildschirmen sitzt (am besten im schwarzen Hoodie!), greift also auf jeden Fall zu kurz. Unternehmen müssen sich vielmehr darauf einstellen, dass Angriffe jederzeit und aus jeder Richtung erfolgen können. Deshalb gilt es, ein individuelles Risikoprofil zu erstellen und die Angriffsfläche zu identifizieren, um effiziente Gegenmaßnahmen zu ergreifen.
