Sicherheit für ERP-Lösungen

Vorsicht vor Sabotage am ERP-System

Angriffe auf ERP-Lösungen – wie z.B. SAP-Systeme – sind eine unmittelbare Attacke auf Firmen-Know-how und die Funktionsfähigkeit der Unternehmensprozesse. Ein Scan auf Sicherheitslücken und das Erkennen bzw. Abwehren von Angriffen kann hier für Sicherheit sorgen.

Vorsicht vor Sabotage am ERP-System

Vorsicht vor Sabotage am ERP-System: Angriffe auf ERP-Lösungen zielen unmittelbar auf das Firmen-Know-how

Wer ERP-Systeme angreift, will Unternehmen entweder durch Sabotage (Denial-of-Service-Attacken oder Shutdowns), Spionage wichtiger Firmendaten in allen ERP-gesteuerten Bereichen oder durch Betrug (etwa die Überweisung von Geldbeträgen auf Grundlage fiktiver Rechnungen) schädigen. Die Risiken sind enorm: Schätzungen beziffern den weltweiten Schaden durch Spionage auf rund 445 Milliarden US Dollar. Laut einer Studie von Corporate Trust – Business Risk & Crisis Management belief sich 2014 die Schadensumme allein in Deutschland auf 11,8 Milliarden Euro: 77,5 Prozent der befragten Unternehmen waren betroffen. 4,5 Prozent der Unternehmen hatten dabei sogar einen Schaden von über einer Million Euro zu beklagen. Dabei bedroht der Shutdown eines SAP-Systems definitiv die Existenz eines Unternehmens und verursacht nach Aussagen von Sicherheitsverantwortlichen einen Schaden von rund 22 Millionen Dollar pro Minute.

Vor allem größere Firmen sind sich dieser Gefahr bewusst. 59 Prozent der deutschen Großunternehmen mit Jahresumsätzen von mehr als einer Milliarde Euro schätzen das Risiko, Opfer von Cyberangriffen zu werden, als eher oder sehr hoch ein – so eine Ernst-&-Young-Studie vom Juli 2015. Auch die Softwarehersteller reagieren: 2014 hat zum Beispiel SAP 391 sicherheitsrelevante Patches veröffentlicht. Zuletzt stellten Experten für SAP Hana High-Risk-Lücken fest, die die vollkommene Kontrolle über das Zielsystem und damit über Geschäftsprozesse und Firmen-Know-how bieten. Besonders gefährdet sind die für die Konfiguration und Datenübertragung in ERP-Systemen zuständigen Transaktionslayer. Angriffe auf dieser Ebene schlagen unmittelbar auf die darüber liegenden Applikationen durch.

Klassische Modelle der ERP-Sicherheit, wie etwa Segregation of Duties, bieten keinen Schutz, wenn technische Grundlagen, wie etwa Authentifizierungen, Zugangsberechtigungen und Privilegien kompromittiert werden. Penetrationstests unserer Experten finden daher unternehmenskritische Lücken in den allermeisten SAP-Infrastrukturen.

Aber auch Zugangsberechtigungen für Oracle-Anwendungen wie etwa Peoplesoft können missbraucht werden. Zugleich steigt das Risiko falscher Konfigurationen durch die wachsende Komplexität von Systemen, in denen immer mehr Akteure über immer unterschiedlichere Systeme miteinander kommunizieren. Eine weitere Folge der Komplexität bei chronischem Ressourcenmangel: In ERP-Systemen werden viele Patches nicht eingespielt. Angriffe zielen daher auf Lücken, für die schon seit Jahren Updates existieren. Auch beim Enterprise Ressource Planning gilt die Vermutung, dass rund 80 Prozent der Angriffe durch konsequentes Patchen verhindert werden könnten.

Plattformübergreifende ERP-Beispiele

Die Suche nach Unternehmensinformationen lohnt sich in jedem Zielsystem. Eine typische Methode aus dem SAP-Bereich ist das Pivoting: Hier werden schlecht gesicherte, unproduktive Entwicklungs- und Testumgebungen zum Einfallstor in die Produktivsysteme. Der Angriff auf den US-amerikanischen Human-Ressource-Dienstleister Usis, der Daten von rund 24.000 Mitarbeitern in der US-Regierung und im Department of Homeland Security freilegte, ist ein Beispiel. Zuerst sammeln Täter beim Pivoting Informationen über die SAP-Landschaft und insbesondere über DEV-, QA- und PRD-Systeme wie IP-Adressen, Logon-Dateien auf RFC-Schnittstellen oder als „trust relationship“ zwischen einem verwundbaren System und dem produktiven Zielsystem definierte Schnittstellen. So gelangen Angreifer durch das Auskundschaften der RFC-Schnittstelle zu den produktiven Systemen.

Auch in Oracle-E-Business-Suite-Web-Anwendungen schaffen Fehlkonfigurationen, nicht eingespielte Patches und webbasierte Interaktionsmöglichkeiten folgenschwere Sicherheitslücken. Hacker finden hier Informationen denkbar leicht über die URL einer E-Business-Suite-Anwendung.  Hier – wie sooft bei Angriffen auf ERP-Systeme – wird ein privilegierter oder Default-Account der Angriffshebel. Mit einem Password-Tester wird dann abgefragt, welche Login-Daten den Zugang auf wichtige Geschäftsinformationen ermöglichen. Ebenso sind JD-Edwards-Systeme auf technischer Ebene verwundbar. Angreifer nutzen JD-Edwards-Protokolle, um sich in die Datenübertragung zwischen den einzelnen Servern einzuschalten. Diese permanenten Verbindungen über den JDenet-Dienst sind oft nicht sicher konfiguriert. Einem Angreifer stehen so zahlreiche Möglichkeiten offen – wie die Sabotage durch eine unauthentifizierte JDenet-Shutdown-Anfrage oder auch das Abgreifen von Passwörtern, um sich so mit weitreichenden Privilegien den Zugriff auf Systeme zu verschaffen.

Anforderungen an ERP-Sicherheit

Die Gegenmaßnahmen, die man ergreifen sollte, hören sich hingegen banal an: Etwa das Ändern der  Default-Passwörter für die mehr als 300 Anwender, mit denen die Oracle-E-Business-Suite standardmäßig ausgeliefert wird, die Einrichtung einer Web-Application-Firewall, das Updaten von JDE-Systemen auf die neueste Version, und das Einspielen der SAP-Patches. Was sich banal anhört, ist aber durch den Mangel an Ressourcen und die schnell wachsende Komplexität von Systemen im Alltag oft ein Ding der Unmöglichkeit. Möglich wird ERP-Sicherheit erst durch ein automatisches Assessment von ERP-Lösungen auf ihre Sicherheitslücken.

Eine dafür geeignete Lösung identifiziert u.a. Benutzer mit weitreichenden Berechtigungen, erkennt nicht installierte Sicherheitsupdates oder sucht nach kritischen RFC-Verbindungen. Wichtig ist auch das Beobachten der aktuellen Bedrohungslage in Fast-Echtzeit. Wirksame Schutzlösungen analysieren daher permanent die Situation und erkennen, ob ein System mit neuen Methoden angegriffen wird. Die Fast-Echtzeit-Abwehr zeichnet auch sofort verdächtige Änderungen in Systemeinstellungen, wie etwa die Einrichtung neuer Anwender mit kritischen Berechtigungen.

Nicht zu vernachlässigen ist auch das Überwachen auffälliger Aktivitäten, die ein Hinweis auf externe oder interne Angriffe sein können. Wenn zum Beispiel ein Mitarbeiter aus der Research-and-Development-Abteilung plötzlich auf Kundenlisten in ERP-Modulen oder auf Rechnungsdaten und Lieferanten-Datenbanken zugreift, bleibt dieser Verdachtsmoment nicht mehr unsichtbar und kann unmittelbar überprüft werden.

* Der Autor Juan Pablo Perez-Etchegoyen ist CTO bei dem Sicherheitsanbieter Onapsis.

Bildquelle: Thinkstock/iStock

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok