Die Cyberangriffe sind auf dem Vormarsch und machen auch vor Unternehmen nicht Halt. Doch wie steht es um die Sicherheit von SAP-Systemen, die das digitale Rückgrat vieler Organisationen bilden? Wir gehen der Frage auf den Grund.
Montag, der 08. Juli, 8:45: Herr Michelsen, der IT-Verantwortliche eines mittelständischen Unternehmens sitzt in seinem abgedunkelten Büro. Die einzige Beleuchtung stammt von den unzähligen Monitoren, die vor ihm aufgereiht sind. Seine Miene ist ernst und angespannt, sein Blick wandert gehetzt von Bildschirm zu Bildschirm. Er versucht das Krisenszenario zu verstehen, das sich vor ihm zusammenbraut.
Unzählige Warnmeldungen und Fehlercodes weisen darauf hin, dass das ERP-System, das Herzstück des Lebensmittelunternehmens, außer Kontrolle geraten ist. Das Dashboard zeigt ein Wirrwarr von unbekannten Fehlern und Störungen; die Datenflüsse sind unterbrochen. Unbekannte IP-Adressen und unerwartete Netzwerkverkehrsmuster zeigen eindeutig, dass jemand in das System eingedrungen ist – ein Cyberangriff.
Cyber Security in Gefahr
Die Zahl der Hackerangriffe, wie der oben beschriebene, nimmt seit Jahren zu. Laut dem jüngsten Bericht von Bitkom, entsteht in der deutschen Wirtschaft ein jährlicher Schaden von rund 203 Milliarden Euro durch den Diebstahl von Daten, Spionage und Sabotage. Besonders gravierend ist dabei, dass Unternehmen und Behörden nicht gut auf solche Angriffe vorbereitet sind. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge, wurden 2021 über 20.000 Schwachstellen in Software Produkten (13 % davon kritisch) bekannt – das entspricht einem Zuwachs von 10 % gegenüber dem Vorjahr.
Doch welche Zwecke verfolgen Cyberkriminelle?
Finanzielle Vorteile
Einige Hacker*innen haben es auf sensible Informationen, wie Kreditkarteninformationen, Bankdaten oder Zugangsdaten zu Online-Banking-Konten abgesehen, die sie dann verkaufen können. Außerdem setzen sie häufig sogenannte Ransomware ein, die den Zugriff auf Daten und Systeme einschränkt oder verhindert, indem sie zum Beispiel Nutzerdaten verschlüsselt. Für die Freigabe verlangen die Täter*innen dann Lösegeld.
Industriespionage
Hacker*innen greifen Unternehmen an, um vertrauliche Informationen oder Geschäftsgeheimnisse zu stehlen und diese dann an Konkurrenten oder andere Interessengruppen zu verkaufen.
Sabotage
Störung von Betriebsabläufen, Manipulation und Zerstörung von Daten oder physische Schäden: Hacker*innen nutzen gezielte Angriffe für IT-Sabotage, Verbreitung von Fehlinformationen oder die Schädigung von Systemen. Die Motive sind dabei vielfältig. Oft zielen die Kriminellen jedoch darauf ab, möglichst großen Schaden anzurichten.
Cyberkriminalität kann existenzbedrohende Schäden verursachen und bei Angriffen auf Verwaltung und Infrastruktur sogar demokratische Staaten destabilisieren. Der Krieg in der Ukraine zeigte zuletzt eindrücklich, wie Cyberangriffe und Desinformation zunehmend in moderner Kriegsführung eingesetzt werden.
Sind SAP-Systeme besonders gefährdet?
Weltweit arbeiten mehr als 444.000 Unternehmen mit Lösungen von SAP. Diese Systeme, wie etwa das ERP-System SAP S/4HANA, sind ein attraktives Ziel für Hacker*innen. Der Grund: Sie verwalten oft kritische Geschäftsprozesse und wertvolle Daten eines Unternehmens und speichern sensible Informationen wie Finanzdaten, Personalinformationen und Kundeninformationen.
Die Cyber Security von SAP-Systemen ist besonders kritisch, da Letztere das digitale Rückgrat der Unternehmen bilden. Wenn zentrale Bereiche wie Produktion oder Lieferkette von Angriffen betroffen sind, entstehen schnell Schäden in Millionenhöhe, die die Geschäftskontinuität gefährden.
Hinzu kommen spezifische Aspekte, die SAP-Systeme besonders vulnerabel für Hackerangriffe machen:
Komplexität und uneinheitlicher Code
Große SAP-Systeme sind sehr komplex und oft stark an die spezifischen Bedürfnisse eines Unternehmens angepasst. Diese Komplexität erschwert es, alle möglichen Sicherheitslücken rechtzeitig zu identifizieren und zu schließen. Hinzu kommt, dass verschiedene Entwickler*innen kontinuierlich an unterschiedlichen Teilen des Systems arbeiten.
Ein häufiges Problem dabei: uneinheitlicher, nicht standardisierter Code. Dieser kann Schwachstellen und Fehler in der Sicherheitsarchitektur eines SAP-Systems verursachen, durch die Cyberkriminelle sich unberechtigte Zugriffe verschaffen.
Wenn Code nicht ordnungsgemäß validiert oder überprüft wird, ist es für Hacker*innen deutlich leichter, schädlichen Code ins System einschleusen und es zu schädigen.
Veraltete Sicherheitsmaßnahmen
Viele Unternehmen halten ihre SAP-Systeme nicht auf dem neuesten Stand. Die Gründe dafür sind vielfältig: Die erwarteten Kosten sind zu hoch, oder es gibt schlicht nicht genug geschultes Personal, das sich um die Cyber Security kümmert. Das führt häufig dazu, dass selbst bekannte Sicherheitslücken nicht geschlossen werden.
Mangelhafte Berechtigungsverwaltung
Wenn die Berechtigungen in SAP-Systemen nicht sorgfältig verwaltet werden, können Benutzer möglicherweise unautorisiert auf Informationen zugreifen oder Aktionen durchführen. Außerdem bieten nicht verwendete Nutzerkonten potenziellen Angreifer*innen mehr Möglichkeiten, in das System einzudringen.
Besonders kritisch ist das vor allem, wenn das Prinzip der Funktionstrennung (Segregation of Duties, kurz SoD) nicht befolgt wird. Es legt fest, dass keine Person die alleinige Kontrolle über mehr als eine kritische Funktion oder Aufgabe in einem System oder Prozess haben darf. Wird die Funktionstrennung außer Kraft gesetzt, können Einzelne nahezu ungestört betrügerische oder schädliche Handlungen ausführen.
Was hätte Herr Michelsen schon im Vorfeld tun können, um die SAP-Systeme seines Unternehmens zu schützen? Diese Frage beantworten wir im nächsten Artikel.
