Ausführung eines modernen Cyberangriffs

Informationen sind die Währung des 21. Jahrhunderts. Daher sind Unternehmensdaten verstärkt zum Ziel staatlicher und krimineller Aktivitäten geworden. Viele Unternehmen glauben sich jedoch in Sicherheit, da doch "niemand" Interesse an Ihren Daten haben sollte und Ihre digitalen Herzen -die SAP-Systeme- doch im sicheren Intranet stehen. Dieser Irrglauben kann sehr gefährlich sein. Zeigt doch die aktuelle Studie der Bitkom, dass allein in Deutschland 2014 jedes zweite Unternehmen digitalen Angriffen ausgesetzt war. Weiterhin nimmt die Vernetzung der SAP-Systeme drastisch zu (Cloud, Mobile, Web-Anwendungen). Doch selbst ein Zugriff auf die SAP-Systeme im "sicheren" Intranet ist für professionelle Angreifer keine Herausforderung. Solche hochmodernen Angriffe - auch Advanced Persistent Threads (APT) genannt- laufen in der Regel nach folgendem Muster ab:

grafik

Cyberangriff in 6 Schritten:

1. Der Angreifer erlangt über eine Phishing E-Mail / Webseite oder Netzwerk- bzw. Anwendungsschwachstelle die Kontrolle über einen Computer in dem Unternehmensnetzwerk und schleust auf diesem Weg Malware ein und infiltriert das Unternehmen.

2. Die Malware erkennt automatisch weitere Zugangsmöglichkeiten und Schwachstellen im Netzwerk und kommuniziert über verdeckte Kanäle durch die Unternehmensfirewall hindurch mit dem Angreifer, um neue Befehle und weitere Schadprogramme zu laden.

3. Der Angreifer platziert zusätzliche Hintertüren, um seinen Zugriff auf das Unternehmen "zu sichern".

4. Über den Zugang zu dem Unternehmensnetzwerk sammelt der Angreifer nun die gewünschten (Zugangs-)Daten und kann so auch auf die Unternehmensserver zugreifen, Daten suchen und abgreifen.

5. Die Daten werden auf dem infiltrierten System zusammengefasst und anschließend über den verdeckten Kanal an den Angreifer gesendet.

6. Spuren und Hinweise auf den Cyberangriff werden von dem Angreifer beseitigt. Jedoch bleibt das Unternehmen weiter infiltriert und der Angreifer kann jederzeit zurückkehren, um weitere Daten zu stehlen.

Ein nachvollziehbares Beispiel für einen solchen Angriff ist hier zusammen gefasst (http://blog.werth-it.de/blog/lager-scanner-spaehen-finanz-und-erp-daten-aus/). Jedenfalls sollte jedem Unternehmen bewusst sein, dass ab Punkt 4. ein Zugriff auf die SAP-Systeme im Intranet für externe Angreifer möglich ist. An dieser Stelle kann ein Zugriff mit erbeuteten Zugangsdaten oder bekannten Schwachstellen erfolgen. Allein 2014 hat SAP mehr als 390 Sicherheitspatches veröffentlicht, von denen mehr als 46% mit hoher Priorität veröffentlicht wurden. Teilweise sind die Angriffswege im Internet veröffentlicht und somit können auch unerfahrene Angreifer diese erfolgreich durchführen.

Hierzu zählen unter anderem diese Angriffswege

1. Zugriff von einem weniger sicheren System (Entwicklungssystem) auf ein produktives System. Dazu können Trusted RFC Verbindungen, die im weniger sicheren System zu dem produktiven System konfiguriert sind, genutzt werden. Ein Angreifer kann über die Transaktion SE16 in Erfahrung bringen, welche RFC Destinationen konfiguriert sind und dann über die SM59 eine Verbindung herstellen. Auf dem Zielsystem kann er dann über die SE37 beliebige weitere Funktionen ausführen.

2. Technische Schwachstellen in den verfügbaren Netzwerk-Diensten. Es sind Schwachstellen in dem J2EE Portalserver bekannt, die das Anlegen beliebiger Benutzer ohne Zugangsdaten ermöglichen. Solche Systeme sind oft an das Internetangebunden und lassen sich sogar mittels Google-Suche aufspüren.

3. Unsichere Konfigurationen des SAP RFC Gateways ermöglichen Angreifern das Ausführen beliebiger Systemkommandos unter dem Benutzer adm, was auch einen Zugriff auf die Datenbank ermöglicht.

4. Unveränderte Standard-Zugangsdaten ermöglichen Angreifern direkten Systemzugriff.

5. Wird auf eine verschlüsselte Kommunikation (SNC) verzichtet, lassen sich die Zugangsdaten im Netzwerk abfangen und dies im Klartext.

6. Kritische Berechtigungskombinationen lassen sich für kriminelle Taten verwenden, beispielsweise unautorisierte Finanztransaktionen.

7. Fehlende oder unzureichende Berechtigungsprüfungen erlauben das Aufrufen von Systemfunktionen, die nur von einem bestimmten Personenkreis aufrufbar sein sollten.

8. Eigene ABAP-Programme können Hintertüren enthalten, die Mandantentrennung umgehen, Systembefehle ausführen und an allen SAP-Sicherheitsvorkehrungen vorbei auf die Datenbank zugreifen.

9. Schwache Passwortrichtlinien begünstigen Passwort-Rate-Angriffe, so kann ein Angreifer durch Ausprobieren Systemzugang erhalten.