ERP-Schwachstellen schließen
Cyberkriminelle suchen sich für ihre Ransomware-Attacken gern Ziele aus, die für Unternehmen oder Organisationen besonders schmerzhaft sind. Ein beliebtes Ziel sind ERP-Systeme, in denen geschäftskritische Daten verarbeitet und Prozesse gesteuert werden. Wird dieses System kompromittiert und fehlen Backups oder dauert die Wiederherstellung zu lange, droht ein Produktionsstillstand oder der komplette Zusammenbruch der operativen Abläufe. Wie können sich Unternehmen schützen?
Laut des aktuellen Berichts des BSI zur Lage der IT-Sicherheit in Deutschland ist Ransomware (erneut) die größte Cyberbedrohung. Die geforderten Lösegeldbeträge sind im Vergleich zum Vorjahr sogar um 20 Prozent gestiegen und die Wiederherstellungskosten um 30 Prozent.
Aufgrund dieser verschärften Bedrohungslage müssen Unternehmen ihre Security-Strategie anpassen und von einem reaktiven Ansatz – der sich hauptsächlich auf Backups und End-Point-Security konzentriert – zu einem proaktiven Ansatz übergehen. Zwei Schlüsselstrategien, die unter anderem im NIST Cybersecurity Framework for Ransomware Risk Management beschrieben werden, sind: Vermeiden von Schwachstellen, die von Ransomware-Angreifern ausgenutzt werden können und eine kontinuierliche Überwachung auf Anzeichen einer Gefährdung. Bildlich gesprochen bedeutet das: Um das Risiko eines erfolgreichen Ransomware-Angriffs zu minimieren, müssen alle Türen und Fenster des Hauses geschlossen werden – nicht nur die Eingangstür (der End-Point-Security) und die Alarmanlage muss 24/7 scharf gestellt sein.
Einfach in der Theorie, schwierig in der Umsetzung: ERP-Sicherheit
Die meisten eingesetzten Security-Tools sind nicht ausreichend auf ERP-Systeme ausgerichtet. Dadurch fehlt den IT-Teams oftmals der nötige Überblick und Kontext, um zum Beispiel die SAP-Angriffsfläche kontinuierlich zu überwachen und verdächtiges Verhalten zu erkennen. Die Folge ist: Das ERP-System wird zum blinden Fleck in der IT-Sicherheitslandschaft. Erschwerend kommt hinzu: SAP-Anwendungsumgebungen sind aufgrund ihrer Größe, Komplexität und Konfiguration besonders anfällig durch eine Vielzahl von Vulnerabilities (Schwachstellen).
Kleine IT-Teams und fehlende Expertise
Die IT-Teams sind häufig mit Generalisten besetzt, die sich nicht nur um die IT-Sicherheit, sondern auch alle anderen administrativen IT-Aufgaben kümmern müssen. So ergeben sich vielfach Verzögerungen beim Schließen von Schwachstellen – und nur die dringendsten werden geschlossen. Wie groß dieses Problem ist, zeigen die Zahlen, dass Cyber-Kriminelle in großem Umfang auch alte Schwachstellen erfolgreich ausnutzen, für die es bereits Patches gibt.
Für ein effektives und ressourceneffizientes Schwachstellen-Management sollten Unternehmen sich an folgenden Schritten orientieren:
Sichtbarkeit schaffen
Was man nicht sieht, kann man nicht schützen. Deshalb braucht es Transparenz über die gesamte ERP-Anwendungslandschaft und Angriffsflächen – sprich eine Inventarisierung aller Anwendungen. Das schließt neben Produktiv- auch Altsysteme ein, die im Hintergrund laufen und gerade deshalb oftmals nur unzureichend gepatcht werden. Im besten Fall sollten dabei auch weitere Assets abgedeckt werden, wie zum Beispiel SAProuter, Proxy in einer Netzwerkverbindung zwischen SAP-Systemen oder zwischen dem SAP-System und der Außenwelt.
Über Schwachstellen auf dem Laufenden bleiben
Regelmäßig werden neue Schwachstellen und Patches veröffentlicht. So liefern beispielsweise die Onapsis Research Labs kontinuierlich Schwachstellenanalysen für das „SAP Product Security Response“-Team, um sicherzustellen, dass die Verteidiger- mit der Angreiferseite Schritt halten kann. Für IT-Teams kann es im hektischen Arbeitsalltag schwer sein, über neueste Entwicklungen auf dem Laufenden zu bleiben und Security Best Practices durchzusetzen. Spezialisierte ERP-Security-Anbieter informieren automatisiert über Sicherheits-Best-Practices und gleichen diese mit der ERP-Landschaft ab. Dabei werden neben fehlenden Patches auch verschiedene andere Bedrohungen berücksichtigt, wie Fehlkonfigurationen, falsche Berechtigungen und Probleme in Custom Code.
Schwachstellen priorisieren
Mithilfe einer Kombination aus Echtzeitbedrohungsdaten und künstlicher Intelligenz können Schwachstellen (unabhängig vom Common Vulnerability Scoring System, CVSS) aufgrund erhöhter Bedrohungsaktivitäten oder Schwachstellenverkettungen schnell identifiziert werden. Auf dieser Basis kann entschieden werden, welche Vulnerabilities zuerst behoben werden müssen. Selbstverständlich kann nicht jedes Unternehmen seine eigene Threat Intelligence Unit unterhalten. Auf ERP-Sicherheit und entsprechende Schwachstellen spezialisierte Lösungspartner können hier mit ihrer Expertise unterstützen.
Interne Workflows verbessern
Teamübergreifende Transparenz und die Festlegung genauer Verantwortlichkeiten sind entscheidend, um bestmöglich zu arbeiten. Gemeinsame Dashboards, die Aufschluss über den aktuellen Sicherheitsstatus geben, erlauben es den Teams im Laufe der Zeit die Verbesserung der Security Posture des Unternehmens mitzuverfolgen. Das motiviert und ist hilfreich, um zum Beispiel an die Geschäftsleitung zu berichten.
Automatisierung von Security-Prozessen
Automatisierung ist ein weiterer wichtiger Baustein bei der Verbesserung der Security-Workflows. So ermöglichen einige ERP-Sicherheitslösungen das automatische Einspielen von Patches. Das spart Zeit und stellt sicher, dass Patches korrekt eingespielt werden.
Kontinuierliche Überwachung der Anwendungslandschaft
Es ist unrealistisch zu glauben, dass sich alle Schwachstellen restlos vermeiden lassen. So sind beispielsweise Zero-Day-Schwachstellen attraktive Ziele für Angreifer. Dabei handelt es sich um Schwachstellen, für die es noch keinen Schutz oder Patch gibt, weil der Softwarehersteller noch nicht weiß, dass sie existiert, sodass er „null Tage“ Zeit hat, um eine wirksame Gegenmaßnahme vorzubereiten. Hinzu kommt, dass die Behebung von Schwachstellen selbst bei Verfügbarkeit von Patches noch einige Zeit in Anspruch nimmt. So dauert es durchschnittlich 65 Tage, um Schwachstellen mit kritischem Schweregrad zu schließen. Ein gewisses Risiko bleibt also. Diesem Risiko kann jedoch mit einem konsequenten Security-Monitoring entgegengewirkt werden.
Beim Vulnerability-Management werden in regelmäßigen Abständen Point-in-Time-Scans durchgeführt. Dazwischen sollte die Angriffsfläche kontinuierlich auf verdächtiges Verhalten und Exploit-Aktivitäten überprüft werden. Leider tun sich Unternehmen in der Praxis oft schwer, effektive Programme zur Bedrohungserkennung für ihre SAP-Lösung zu entwickeln, weil herkömmliche Threat-Detection-Lösungen nicht ausreichend auf SAP-Bedrohungen eingehen. Es fehlt an aktuellen ERP-Bedrohungsinformationen, Regeln zur Erkennung ERP-spezifischer Angriffe und Hilfestellungen zur Umsetzung von Verteidigungsmaßnahmen oder Schadensbegrenzung. Das bedeutet, dass Unternehmen oft auf zeitintensive, manuelle Protokollprüfungen angewiesen sind, die umfangreiche interne Fachkenntnisse erfordern und IT-Ressourcen binden. Eine eingehende Überprüfung aller Warnhinweise und Anomalien ist so aber nicht möglich, wodurch die Reaktion im Ernstfall verzögert und bösartige Aktivitäten unbemerkt bleiben können.
Automatisierung und Integration mit dem SOC
Viele Unternehmen setzen auf ein Security-Operation-Center (SOC) als Sicherheitszentrale, in der alle Stränge des Sicherheitsmanagements und Threat-Detection- and Response-Prozesse zusammenlaufen. Um ERP-Umgebungen optimal zu überwachen, sollten die eingesetzten SOC-Tools (z. B. SIEM, SOAR) für die direkte Verarbeitung von SAP-Protokollen konfiguriert werden. Das erfordert SAP-Sicherheitsexpertise, Zeit und Ressourcen. Und selbst dann müssen die eingehenden Rohdaten in einen Sicherheitskontext gesetzt und nach Prioritäten geordnet werden.
Weil die ERP-Lösung das operationale Herzstück vieler Unternehmen ist, kann es daher sinnvoll sein, eine spezielle Threat-Detection- and Response-Lösung für ERP-Anwendungen einzusetzen. Diese lässt sich leicht als Plug-in mit den bestehenden Sicherheitslösungen im SOC integrieren. Sie verfügt über fortschrittliche Detection-Regeln, einschließlich Zero-Day-Bedrohungserkennung, ergänzt durch Anomalie-Scores und einer Analyse des Benutzerverhaltens. Dabei ist wichtig, dass die Regeldatenbank kontinuierlich mit den neuesten Bedrohungsdaten aktualisiert wird, um mit der Angreiferseite Schritt zu halten. Außerdem sollten die IT-Sicherheitsteams automatisch konfigurierte Echtzeitwarnungen, Details zum Schweregrad, mögliche Angriffsursachen und Handlungsempfehlungen erhalten, um die Reaktionszeit zu beschleunigen. So können kuratierte SAP-Sicherheitsvorfälle in Echtzeit in umfassendere Sicherheitsmanagement- und Incident-Response-Prozesse im SOC integriert werden.
Herstellerneutral und Open-Source
In der IT-Sicherheit setzen viele Unternehmen auf einen Best-of-Breed-Ansatz mit verschiedenen Lösungen und Anbietern. Um Ransomware proaktiv zu bekämpfen, ist es wichtig, eine Lösung einzusetzen, die sich einfach mit anderen Softwareanbietern integrieren lässt. So können Security-Prozesse automatisiert und vorhandene Sicherheitslösungen mit herstellerneutralen, quelloffenen Detection-Regeln ergänzt werden, vor Bedrohungen warnen und sie möglicherweise blockieren (je nach den Konfigurationen der Netzwerksicherheit), bevor sie kritische SAP-Anwendungen erreichen.
Fazit
Es gibt kein Allheilmittel gegen Ransomware-Angriffe. Unternehmen können aber das Risiko minimieren, indem sie die Sichtbarkeit für den „weißen Fleck“ ERP-Sicherheit verbessern und ein proaktives, kontinuierliches Schwachstellen-Management implementieren, das konsequent die gesamte Angriffsoberfläche überwacht. So können sie im Ernstfall schnell reagieren und Angreifern den Weg versperren bevor sie in kritischen ERP-Infrastrukturen eindringen.
Volker Eschenbächer ist Vice President Sales Europe (Central, South & East) bei Onapsis.