Wurden SAP-Systeme beim Hackerangriff kompromittiert?

Bei einer Cyberattacke muss man schnell handeln und herausfinden, welche Systeme und Daten möglicherweise durch den Hackerangriff kompromittiert oder gestohlen wurden.

Christoph Nagy, Geschäftsführer des Security-Experten ABEX und Hersteller von SecurityBridge, hat den Aluminiumhersteller Norsk Hydro bei einer Untersuchung unterstützt. Wir fragten ihn nach seinen Erkenntnissen und den Lessons Learned.

 

Herr Nagy, was für ein Cyberangriff fand bei Norsk Hydro statt?

Christoph NagyChristoph Nagy: Kurz gesagt, die Angreifer legten den Aluminium-Konzern mit einer Erpressersoftware – Ransomware – lahm. Ransomware verschlüsselt in der Regel die gängigsten Dateiformate, die in Client bzw. Office Anwendungen verwendet werden. Die Angreifer wollten den Konzern offenbar mit einer bekannten Variante von Ransomware, namens „LockerGoga“ erpressen, die zunächst die Netzwerkschnittstellen deaktiviert und dann alle Dateien verschlüsselt. Über die Hintergründe und Motivation der Angreifer kann ich nur spekulieren. Generell ist es schwer herauszufinden, ob „nur“ Geld erpresst werden soll, oder ob hinter einem Angriff noch andere Absichten stecken. Bei Angriffen dieser Art liegt die Vermutung allerdings nahe, dass die Angreifer schlicht und einfach Geld erpressen wollen.

Hydro ist übrigens nicht das erste Opfer von „LockerGoga“. Auch die französische Firme Altran Technologies musste aufgrund eines Angriffs einige Systeme vom Netz nehmen.

 

Was sollte man bei und nach einem Ransomware-Angriff mit den SAP-Systemen tun?

Ransomware ist leider nicht gleich Ransomware. Man darf nicht vergessen, dass es sich bei Schadsoftware um Software handelt, die weiterentwickelt wird. Dementsprechend nutzen Angreifer immer perfidere Praktiken, um ihr Ziel zu erreichen. Mittlerweile gibt es Varianten, die Kundendaten nicht nur verschlüsseln, sondern über einen gesicherten Kanal an den Angreifer übertragen. So werden vermehrt Angriffe gemeldet, bei denen damit gedroht wird, die gestohlenen Daten im „DarkNet“ zu verkaufen. Momentan fokussiert sich die mir bekannte Schadsoftware auf einfach und direkt verfügbare Daten. Allerdings wissen die Angreifer um den „Wert“ der Daten, die in geschäftskritischen Applikationen verwaltet werden.

Zum Glück werden Angriffe mittels Erpressersoftware in der Regel zeitnah erkannt, da deren Auswirkung direkt sichtbar sind. Wie Sie einleitend richtigerweise erwähnt haben, gilt es bei einem solchen Angriff schnell zu handeln, um den potenziellen Schaden möglichst zu begrenzen.

Dafür empfiehlt es sich einen Notfallplan in der Hinterhand zu haben, damit kein Chaos ausbricht. Unternehmen, die Opfer eines Angriffs sind, sollten sich darauf konzentrieren, die Schadsoftware loszuwerden. Sofern der Betrieb der SAP-Systeme beeinträchtigt war, gilt es diesen möglichst schnell wiederherzustellen.

Eine eingehende Analyse der ausgenutzten Schwachstelle sollte dann im Anschluss erfolgen. Aber selbst wenn kein begründeter Verdacht besteht, dass ein geschäftskritisches System wie SAP kompromittiert wurde, empfehle ich eine tiefgreifende Prüfung einzuleiten.

 

Müsste man bei anderen Angriffsarten anders reagieren?

Prinzipiell sollte man seine Security-Strategie anhand eines immer gleichen Rahmens ausrichten. Als Beispiel sei hier der NIST-Framework genannt, der sich in die fünf Schritte: Identify, Protect, Detect, Respond, Recover aufgliedert. So gesehen ist die Reaktion unabhängig von der Art des Angriffs.

Auf der anderen Seite gibt es auf operativer Ebene Unterschiede, welche Maßnahmen konkret ergriffen werden müssen. Im Beispiel von Norsk Hydro wurden zunächst einmal alle Systeme angegriffen, davon waren folglich auch SAP-Systeme betroffen. Sollte ein Angriff erfolgen, der ein SAP-System direkt angreift, muss die Reaktion zuerst auf die Bereinigung des SAP-Systems ausgelegt sein.

Dann kommt es weiter darauf an, welcher Typ Angriff erfolgt – wird z.B. wie bei einem DDoS-Angriff — ein System de facto lahmgelegt, muss diese Bedrohung möglichst ausgeschaltet werden. Wenn es Hinweise darauf gibt, dass Daten abgeflossen sind, sollte man sich eher auf die Forensik konzentrieren. Die genutzte Schwachstelle muss auf jeden Fall zeitnah eliminiert werden, damit die Bedrohung nicht sogar dauerhaft bestehen bleibt. Ferner sollte fallabhängig entschieden werden, ob und welche Maßnahmen, beispielsweise Kennwortrücksetzung oder zusätzliche Kontrollen, umgesetzt werden müssen.

 

Wie haben Sie bei Norsk Hydro die Auswirkungen des Ransomware-Angriffs auf die SAP-Systeme untersucht?

Als wir von dem Vorfall durch die Medien erfuhren, habe ich den Kontakt zu Georg Bell von Hydro gesucht und unsere unkomplizierte Hilfe angeboten. Da eine manuelle Log-Analyse nicht viel Erfolg versprach, haben wir den Einsatz unserer Lösung vorgeschlagen.

Innerhalb weniger Tage war es den Verantwortlichen dank SecurityBridge möglich, die real-time Logs der SAP-Systeme transparent, normalisiert und zentralisiert zu durchsuchen. Gleichzeitig haben wir erstmalig und für den speziellen Anwendungsfall die Möglichkeit geschaffen, alle noch vorhanden Log-Daten der Vergangenheit einzulesen. Dies war besonders wichtig, da die potenziellen Aktionen des Angreifers ja bereits in der Vergangenheit lagen.

 

Was sind Ihre Kernerkenntnisse und Lessons Learned aus diesem und anderen Cyberangriffen auf IT-Landschaften?

Die Antwort kann ich gut mit einem Zitat von Steffen Pietsch (DSAG Vorstand Technologie) einleiten. Herr Pietsch hat in seinem Eröffnungsvortrag der DSAG-Technologietage 2020 verdeutlicht, es ist keinesfalls eine Frage “ob”, sondern vielmehr “wann” ein Unternehmen von einem Cyberangriff heimgesucht wird.

Wie der Angriff auf unseren Kunden auch erneut bestätigt hat, gehört es zum Unternehmensrisiko, angegriffen zu werden. Ich verwende bewusst nicht die Formulierung „Opfer eines Angriffs zu werden“ — genau das gilt es zu verhindern.

Um komplexe Applikationen (wie SAP) sicher zu betreiben, müssen mehrere Dimensionen betrachtet werden. Um nur ein paar Beispiele zu nennen:

  • Sichere Konfiguration und Härtung der Applikation
  • Zeitnahe und kontinuierliche Überwachung sicherheitsrelevanter Aktionen
  • Regelmäßige Prüfung, ob der Härtungsgrad eines Systems verändert wurde

 

IT-Onlinemagazin Expert-TalkGeorg Bell, SAP Application Manager bei Norsk Hydro, und Christoph Nagy berichten im IT-Onlinemagazin Expert-Talk detailliert über die Anatomie des Angriffs, über den Ablauf der durchführten Maßnahmen und wie genau herausgefunden werden konnte, inwiefern die SAP-Landschaften kompromittiert wurden. Melden Sie sich hier an:

Erfahrungsbericht Aluminium Hydro: Typische Anatomie eines Hackerangriffs und mögliche Maßnahmen zur Absicherung der SAP-Systeme
19.11.20 | Expert-Talk mit Georg Bell und Christoph Nagy
(oder später als Aufzeichnung)

 

Noch eine persönliche Frage, Herr Nagy: Wie sichern Sie Ihren eigenen Rechner und Ihr Mobiltelefon ab?

In erster Linie bin ich mir der Bedrohung bewusst. Ich passe mein Handeln — zum Beispiel beim Browsen im Internet — entsprechend an. Hört sich einfach an, ist aber effektiv. Ich bin ein großer Freund von VPNs und adäquater Browser (z.B. Brave), die den Nutzer dabei unterstützen, Daten und Privatsphäre zu schützen.

Meine Daten schütze ich durch regelmäßige Backups und durch Verschlüsselung. Am Firmenrechner nutzen wir außerdem einen Virenscanner und eine Personal Firewall.

 

Vielen Dank für das Gespräch.

Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Anzeige

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

ITOK21 IT-Onlinekonferenz 2021

IT-Onlinekonferenz 2021: Digitale Transformation und SAP S/4HANA-Umstieg

Die vierte IT-Onlinekonferenz vom 25.-28. Januar 2021 gibt kompakte Antworten auf die brennenden Fragen: SAP-Kunden …