Monat: Juni 2018

Veröffentlicht am

Lager-Scanner spähen Finanz- und ERP-Daten aus

Sicherheitsforscher der Firma TrapX haben kürzlich einen hoch präzisen Angriff auf ERP Systeme aufdecken können.

Die Angriffe konnten zur Lanxiang school (China) zurück verfolgt werden. Diese Universität hat bereits durch frühere Angriffe auf Google und Co. eine zweifelhafte Bekanntheit erreicht. Im Rahmen des Angriffs konnten die ERP Systeme zu 100% unter Kontrolle gebracht werden. Somit war ein Zugriff auf Finanzdaten und weitere kritische Unternehmensdaten ohne Einschränkung möglich.

 

Der Angriff selbst liest sich wie aus einem Hollywood-Film. Alle betroffenen Firmen haben Scanner derselben Chinesischen Firma für den Einsatz im Lager/Versand/Wareneingang angeschafft. Später stellte sich heraus, dass auf dem Embedded Windows Betriebssystem der Scanner ein Schadproramm ( Zombie Zero ) vorinstalliert war. Dieses hat nach Aktivierung der Scanner von Innen heraus das Netzwerk des Unternehmens anhand spezifischer Merkmale nach ERP-Finanz-Systemen durchsucht und diese kompromittiert.

 

Im zweiten Schritt wurde dann ein erweitertes Schadprogramm zur Kontrolle und Kommunikation mit dem ERP-System auf diesem nachgeladen. Diese Verbindungen konnten zur Lanxiang school verfolgt werden.
Letztlich konnte diese Verbindung genutzt werden um alle Finanz- und ERP-Daten abfließen zu lassen.

 

Abschließend lässt sich sagen, dass durch die Integration der Schadsoftware in ein “vertrauenswürdiges” Produkt ein Angriff von Innen möglich wurde. Moderne Angreifer müssen somit nicht länger die Unternehmensfirewall überwinden oder auf erfolgreiche Phishing-Emails hoffen. Schadprogramme werden einfach in Hardware eingepflanzt. Laut TrapX haben selbst die bei den betroffenen Firmen eingesetzten traditionellen Sicherheitsvorkehrungen wie ein IDS den Angriff nicht stoppen oder erkennen können.

 

Man benötigt hier einen alternativen Ansatz um potentiellen Schaden abzuwenden. Dieser besteht in der kontinuierlichen Sicherheitsüberprüfung der ERP Systeme. So lassen sich Risiken und Schwachstellen frühzeitig erkennen, priorisieren und beheben bevor Angreifer diese Ausnutzen können.

 

Wir bieten Ihnen mit unserem Werth Auditor die Möglichkeit Ihr ERP-System auf Herz und Nieren zu prüfen. Jedes potentielles Risiko wird erfasst und bewertet. Eine Prüfung auf Gefahren für Ihr ERP-System durch Gastzugänge, seitens der SAP-Anwender oder über VPN-Kanäle ist mit unserer Lösung aus jedem Winkel Ihres Netzwerks möglich.  Kontaktieren Sie uns für eine kostenlose Testversion.

 

Weitere Referenzen:

http://www.theepochtimes.com/n3/797218-china-spies-on-global-shipping-using-pre-infected-hardware/

http://www.infosecurity-magazine.com/view/39257/malware-siphons-the-brains-of-shipping-companies-in-sophisticated-supply-chain-attack/

http://www.forbes.com/sites/kurtmarko/2014/07/10/trojan-hardware-spreads-apts/

http://www.pcworld.com/article/2453100/malware-hidden-in-chinese-inventory-scanners-targeted-logistics-shipping-firms.html

http://www.csoonline.com/article/2452986/data-protection/shipping-companies-computers-compromised-by-malware-infected-chinese-scanners.html

Veröffentlicht am

SAP Trojaner entdeckt

Eine neu entdeckte Schadsoftware auf Basis eines bekannten Banking Trojaners ist um eine bemerkenswerte Funktion erweitert worden. Der Trojaner sucht aktiv auf befallenen Systemen nach installierter SAP Software.

Was bedeutet dies für SAP Anwender?

Das Verhalten der Schadsoftware deutet darauf hin, dass Cyberkriminelle SAP Systeme in das Visier nehmen. Mittels der befallenen Client-Rechner kategorisieren sie SAP Systeme in der IT-Infrastruktur. Entweder planen Sie den Verkauf von Zugängen zu den befallenen Systemen, um Dritten indirekt Zugriff auf die SAP Systeme zu verschaffen. Es kann jedoch auch sein, dass die Kriminellen selbst zu einem späteren Zeitpunkt den Zugang zu den SAP Systemen ausnutzen wollen.

Wie kann man sich schützen?

Ein Grundschutz besteht in der regelmäßigen Aktualisierung der Antiviren-Software sowie dem Einspielen der SAP Security Notes.
Da man jedoch Antiviren-Software austricksen kann und SAP Security Notes keinen Schutz gegen Angriffe mit legitimen Zugangsdaten bieten, muss die Angriffsfläche der SAP Systeme selbst reduziert werden. Dies kann man durch regelmäßige Prüfungen der SAP Systeme mit einem SAP Security Scanner erreichen. Damit nimmt man Angreifen die Möglichkeit über Exploits Zugriff auf das System zu erhalten und reduziert durch Kontrolle von kritischen Berechtigungen das Risiko im Falle des Verlustes von Zugangsdaten zum System.

Veröffentlicht am

Werth IT mit Sonderpreis IT-Sicherheit des BMWi auf der Cebit ausgezeichnet

Das Bundesministerium für Wirtschaft und Technologie (BMWi) hat unter der Führung von Vize­Kanzler Sigmar Gabriel schon länger die Bedeutung der Informations- und Kommunikationstechnologien (IKT) als wichtige Treiber von Innovation und Wachstum in
Deutschland erkannt.
In Zeiten täglich neuer Aufdeckungen im Bereich Computerspionage und aktiver
Wirtschaftsspionage durch ausländische Geheimdienste hat das BMWi ein Förderprogramm zur IT-Sicherheit beschlossen, um dem Risiko von Datenmissbrauch, Computersabotage oder
dem unentdeckten Abfluss von Unternehmens­Know­How für deutsche Unternehmen zu
begegnen. In dem Gründerwettbewerb ITK Innovativ wurden daher Lösungen gesucht, die sich
am konkreten Bedarf und den finanziellen Möglichkeiten betroffener Unternehmen orientieren.
Auf der diesjährigen CEBIT wurde der Sonderpreis an die Werth IT für deren Produkt
Werth Auditor vergeben. Der Werth Auditor ist eine Softwarelösung zur Beurteilung der
Sicherheit von SAP­ Systemen. Ein SAP System ist oftmals das digitale Herzstück eines
Unternehmens und wird zur Planung und Durchführung kritischer Geschäftsprozesse genutzt. In
solchen ERP-­Systemen sind alle Daten und Know-­How des Unternehmens wiederzufinden.
Das nicht ein mal 1 Jahr “junge” Kamener Unternehmen trifft mit ihrem Werth Auditor den Nerv
der Zeit, bereits im vergangenen Jahr wurde dieser in die TOP Ten beim
TeleTrusT­-Innovationspreis 2013 gewählt. Inzwischen zeigen nationale und internationale
Wirtschaftsgrößen intensives Interesse an dem Produkt. Der Werth Auditor zählt bereits kurz
nach seiner Markteinführung zu den weltweit technologisch führenden SAP­Security­-Lösungen.
Über Werth IT
Die Werth IT GmbH verfügt über führendes Know How in den Bereichen Softwareentwicklung,
IT­Sicherheit und Mediendesign.
Mit diesem Know How und langjähriger Erfahrung in diesen Bereichen ist mit dem Werth Auditor
eine einzigartige Sicherheitslösung für SAP Systeme entwickelt worden, die bereits 2013 für den
TeleTrusT­Innovationspreis 2013 nominiert wurde.
Die Software Werth Auditor überprüft die IT­Sicherheit von SAP­Systemen. Untersucht werden
die vergebenen Nutzerberechtigungen, die Einhaltung von IT­Sicherheitsvorgaben, die
Systemkonfiguration, die Datenintegrität und die Anfälligkeit gegenüber Hackerangriffen. Eine
Plug­in­Schnittstelle erlaubt außerdem die schnelle und einfache Erweiterung der Tests.
Ergebnis der Auswertung ist ein Bericht, der zu jedem ermittelten Risiko konkrete Maßnahmen
zur Lösung des Problems nennt. Als Zielkunden fasst Werth Auditor Unternehmen mit
SAP­Systemen ins Auge sowie Systemhäuser, IT­Dienstleister und Wirtschaftsprüfer, die mitdem Tool ihren Unternehmenskunden helfen, sichere SAP­Systeme zu betreiben.

Veröffentlicht am

Bitkom-Studie: 53 % der deutschen Unternehmen sind Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl

„Unternehmen müssen viel mehr für ihre digitale Sicherheit tun. Die Studie zeigt, dass die Gefahr für Unternehmen aller Branchen und jeder Größe real ist. Jeder kann Opfer von Spionage, Sabotage oder Datendiebstahl werden“

– Bitkom-Präsident Achim Berg

Die repräsentative Studie der Bitkom stellt die digitale Sicherheit der deutschen Wirtschaft in Zahlen dar:

So sind von 2015 bis 2017 53% der deutschen Unternehmen Opfer von Datendiebstahl, Industriespionage oder Sabotage geworden. Dabei ist ein Schaden von 55 Milliarden Euro entstanden.

Die Täter sind dabei vornehmlich (ehemalige) Mitarbeiter, aus dem unternehmerischen Umfeld oder Hacker. Die Verfolgung der Angriffe führte hauptsächlich nach Deutschland, dem Osten (Osteuropa, China, Russland) sowie in die USA.

Jeder dritte Angriff wurde dabei nur zufällig entdeckt, ein weiteres Drittel von aufmerksamen Mitarbeitern bemerkt.

Vornehmlich aus Angst vor Imageschäden (41%) verzichten 69% der betroffenen Unternehmen auf die Einschaltung staatlicher Stellen.

Zum jetzigen Zeitpunkt nutzen viele Unternehmen nur Basisschutzmaßnahmen wie Passwörter, Firewalls und Virenscanner. Dabei existieren seit Jahren Angriffswerkzeuge die mühelos Virenscanner und Firewalls umgehen. Auch Passwörter stellen moderne Werkzeuge vor keine große Herausforderung.

Eine wirksame Kontrolle der eigenen Sicherheitsmaßnahmen durch externe Spezialisten führen nur 24% der Unternehmen durch.

Die Studie zeigt somit klar, dass in Zeiten von Digitalisierung und Industrie 4.0 die deutsche Wirtschaft besonderes Augenmerk auf die Abwehr von Spionageangriffen wird richten müssen.

Dies hat auch Gartner erkannt und entsprechend in seinem aktuellen Hype Cycle 2017 als absoluten Top Trend Application Security ausgerufen. Dies ist auch gut nachvollziehbar, da doch die in der Studie betrachteten Punkte Datendiebstahl, Industriespionage oder Sabotage eben meist die Systeme betreffen, welche die unternehmenskritischen Geschäftsprozesse verarbeiten. Eben die ERP-Systeme als business critical applications.

Die Studie hat den Nachholbedarf dort aufgezeigt und Gartner erkennt den Trend in der Wirtschaft hier nachzubessern.

Gerne unterstützen wir Sie bei der Sicherung Ihrer Kerndaten, sprechen Sie uns an!

Veröffentlicht am

Chinas Militär bestätigt offiziell die Existenz von Spezialeinheiten für den Cyber-War

Chinesische Angriffe – insbesondere zum Diebstahl von Geschäftsgeheimnissen – sind seit Jahren bekannt.
Dies belegen auch Beispiele aus der Vergangenheit:

Bisher hat China jedoch jede Beteiligung an solchen Aktivitäten vehement abgestritten.
Doch in der neuesten Ausgabe des Dokuments „The Science of Military Strategy“, welches von dem Forschungsinstitut der Volksbefreiungsarmee herausgegeben wird, wird die Existenz von Cyber-Einheiten bestätigt.
Dabei gibt es drei Flügel:
1. Militärische Cyber-Einheiten
2. Einheiten des Ministeriums für Staatssicherheit
3. Einheiten außerhalb der Regierung.

Alle diese Einheiten werden verdächtigt aktiv Cyber-Spionage durchzuführen. Ihnen wird zugetraut jedes Ziel ob Unternehmen oder kritische Infrastruktur erfolgreich angreifen zu können.

Doch China ist nicht die einzige Nation, die aktiv Wirtschaftsspionage mit Cyber-Angriffen betreiben kann.
Hier sind auch Russland und die USA zu nennen. Im Rahmen des NSA-Skandals kann das Potential der USA gut wahrgenommen werden. Ebenso hat die Krise rund um die Krim gezeigt, wie stark die russischen Cyber-Truppen sind. Diese drei Nationen sind klar führend auf dem Gebiet der Cyber-Attacken. Allerdings ist der Iran dabei seine Fähigkeiten auf diesem Gebiet schnell und stark auszubauen, ebenso Nord Korea wie der Sony Hack eindrucksvoll bewiesen hat.

Damit ein Unternehmen sich vor solchen Gefahren schützen kann, muss es diese und deren Potential auch kennen. Es ist daher wichtig Informationen wie die hier geschilderten Wahrzunehmen und nun aktive Schutzmaßnahmen für die digitalen Kronjuwelen zu ergreifen. EinPenetration-Test – der Schwachstellen aufdeckt – ist sicher immer einer forensischen Analyse – die versucht Vorfälle aufzuklären – vorzuziehen soweit man dies selbst steuern kann.

Veröffentlicht am

Status SAP Cybersicherheit 2016

Im Sommer 2016 gab es viele Schlagzeilen der Art „Weltweit 36.000 unsichere SAP-Systeme über das Internet angreifbar“ oder „36000 SAP systems exposed online, most open to attacks“ .

Dies kann man sicher als Zeichen sehen, dass SAP Sicherheit auch 2016 noch nicht den Stellenwert besitzt, den die mit diesen Systemen verarbeiteten Daten und Geschäftsprozesse erfordern. Den Verantwortlichen muss klar sein, dass auch Unwissenheit nicht vor Cyber-Angriffen schützt oder von der Haftung entbindet.

Die Angriffsfläche vergrößert sich durch neue Produkte (HANA, SAP Mobile) stetig. Inzwischen fasst SAP zur besseren Beherrschbarkeit der Sicherheitslücken die Patches in Pakete zusammen und so adressiert  ein Patch nun mehrere Sicherheitslücken statt wie zuvor nur exakt eine Lücke. Eine Auswertung der Patches zeigt, dass nahezu jedes SAP Modul von Sicherheitsrisiken betroffen ist.

Doch nicht nur Schwachstellen in der Software werden zum Risiko, auch die Implementierung der SAP-Systeme weist oft Schwachstellen in der Konfiguration auf.

Werden Patches nicht zeitnah eingespielt oder ist die Konfiguration nicht gegen Cyber-Angriffe gehärtet, sind diese Systeme besonders gefährdet. Besonders wenn Sie über das Internet erreichbar sind.

Doch was ist mit den Systemen die „sicher“ hinter einer Firewall im „internen“ Netzwerk stehen?

Auf den ersten Blick erscheint es hier doch viel schwieriger für Angreifer an die SAP-Systeme zu gelangen. Doch die vermeintliche Sicherheit ist trügerisch. So belegt eine Studie der IBM X-Force, dass Angriffe aus den eigenen Reihen einer hohe Bedrohung darstellen.

Weiter zu beachten ist, dass moderne Cyber-Angriffe nicht an der Unternehmes-Firewall enden. Sie überwinden diese problemlos und bleiben oft lange unentdeckt, während die Angreifer vollen Zugriff auf das Intranet besitzen.

Wobei aktuelle Meldungen auch eindeutig belegen, dass Firewalls für professionelle Angreifer kein Hindernis darstellen. Dies zeigen eindringlich aktuelle Berichte über die Sicherheitslücken in bekannten Produkten wie von Fortinet oder Cisco.

Fazit:

Ein aktueller Stand der Technik zum Schutz von SAP-Systeme sieht den Einsatz von Firewalls oder Antivirus-Lösungen nicht als Ausreichend an. Die Systeme sind (unabhängig von Ihrem Standort) aus dem Internet (indirekt) erreichbar. Daher erfordert ein kontinuierliches und dem Stand der Technik entsprechendes Sicherheitskonzept die Härtung der Systeme, die zeitnahe Einspielung von Sicherheitspatches, die regelmäßige Prüfungen von kritischen Berechtigungen und -kombinationen, die Prüfung der Netzwerkschnittstellen und des Custom-Code auf Schwachstellen sowie eine Protokollierung sicherheitsrelevanter Ereignisse und Prüfung der Logs.

Hierbei vertrauen SAP-Anwender auf unsere Lösung WerthAUDITOR zur permanenten Überwachung Ihrer SAP-Systeme und den dort verarbeiteten kritischen Geschäftsdaten und -prozesse.

Veröffentlicht am

2016: Neuer Rekord an Datenlecks

In dem kürzlich veröffentlichten IBM X-Force Threat Intelligence Index 2017 stellt IBM Security die Analysen der Sicherheitsdaten seiner mehr als 8.000 Kunden in 100 Ländern vor. Eine wesentliche Aussage des Berichts ist der Anstieg von gestohlenen Datensätze um 566% Prozent von 600 Millionen im Jahr 2015 auf mehr als 4 Milliarden im Jahr 2017.

Dabei geraten zunehmend Geschäftsinformationen in das Visier der Datendiebe:

E-Mail-Archive, Geschäftsdokumente, gestohlenes geistiges Eigentum oder Quellcodes eröffnen Kriminellen neue Möglichkeiten, etwa für den Insiderhandel, und setzen Unternehmen weiter unter Druck.

Daneben hat sich die Ransomware als primäre Einnahmequelle von Cyberkriminellen etabliert. Mehr als 70% der betroffenen Unternehmen zahlen das Lösegeld, um schnell wieder betriebsbereit zu sein. Ob 2017 die erste Ransomware für SAP in Erscheinung tritt?

Der Finanzsektor ist das Hauptangriffsziel, jedoch zeigen die hier getätigten Security-Investitionen Wirkung und die Branche ist „nur“ die am dritt stärksten betroffene.

Zum Schutz unserer Kunden wird der WerthAUDITOR beständig weiterentwickelt unter Berücksichtigung der aktuellen Unternehmensbedürfnisse. Durch diese bedarfsgerichtete Entwicklung wurde der Leistungsumfang neben der vollständigen Prüfung von SAP-Systemen gezielt erweitert:

Der WerthAUDITOR ist als zentraler Netzwerkscanner einsetzbar und kann alle kritischen IT-Systeme überwachen und prüfen. Hierzu kann die Lösung auf mehr als 55.000 Prüfungen für IT-Systeme (Stand April 2017) zurück greifen.

Im Rahmen der permanenten Überwachung erfolgen zudem Alarmmeldungen bei kritischen Ereignissen, sowie Fortschrittsanzeigen der Sicherheitsentwicklungen und natürlich der regelmäßige vollständige Sicherheitsbericht.

Die Anbindung an zentrale Log- oder SIEM-Server rundet den Einsatz als zentralen Sicherheitsscanner für SAP- und kritische Systeme ab und erlaubt den Verantwortlichen einen schnellen Überblick der Sicherheitslage zur Priorisierung der Aufgaben.

Veröffentlicht am

Lagebericht SAP-Sicherheit 2014

Das Jahr 2014 hat gezeigt, dass SAP-Systeme verstärkt in das Visier von Cyberangriffen geraten sind. Dies belegen unter anderem die Angriffe auf die AAI und NVIDIA . Eine Zunahme solcher Angriffe ist auch nicht verwunderlich, da in den SAP-Systemen die digitalen Kronjuwelen eines Unternehmens lagern. Vielmehr war es nur eine Frage der Zeit wann SAP-Systeme gezielt angegriffen werden. 2014 ist daher eindeutig als Stunde 0 der SAP-Sicherheit zu kennzeichnen. Ab sofort ist die Sicherheit von SAP-Systemen ein Muss zum Schutz der dort gelagerten Daten.

Im wesentlichen forcieren zwei Faktoren die Notwendigkeit von SAP-Sicherheit:

  1. Die Vernetzung der SAP-Systeme nimmt drastisch zu.
    Die Systeme sind aus dem kompletten Intranet erreichbar, zusätzlich auch verstärkt aus dem Internet (Portalserver) und natürlich mittels mobilen Endgeräten. Der Trend „Cloud“ wird die globale Erreichbarkeit noch deutlich verstärken.
  2. Die SAP-Systeme „nur“ im Intranet zu betreiben bietet keinen ausreichenden Schutz vor externen Angriffen.
    Moderne Spionage- und Schadprogramme ermöglichen externen Angreifern direkten Zugriff auf das Intranet. Zum Einen belegen dies die Veröffentlichungen rund um die Tools der NSA, zum Anderen gibt es konkrete Beispiele für entsprechende Angriffe auf ERP-Systeme. Exemplarisch sei hier auf den Windows-Trojaner zur Ausspähung von SAP-Systemen und Zugangsdaten sowie dem Angriff via manipulierte Handscanner auf ERP-Systeme verwiesen.

Glücklicherweise verbessern sich die Bordmittel zur Härtung von SAP-Systemen zusehends. Leider steigt damit auch die Komplexität zur Bedienung der angebotenen Hilfsmittel. Daher ist es absolut notwendig die errichteten digitalen Schutzwälle und Sicherheitsmaßnahmen des SAP-Systems auf korrekte und „wie vorgesehene“ Funktion und Wirkung zu prüfen.

Zur Verdeutlichung soll ein reales Beispiel aus der Praxis dienen:

Ein Audit bei einem Großunternehmen sollte durchgeführt werden. Das Thema SAP-Sicherheit hatte in dem Unternehmen bereits seinen Stellenwert. So werden die SAP-Systeme regelmäßig durch eine Prüfgesellschaft aus dem Kreis der Big-Four kontrolliert und zertifiziert. Zusätzliche Tools zur Steigerung der Sicherheit sind ebenfalls im Einsatz. Das Ziel des Audits war somit die Wirksamkeit der ergriffenen Maßnahmen zu belegen.
Die Ergebnisse waren jedoch alarmierend: Schwerwiegende Sicherheitslücken konnten identifiziert werden.

Wie konnte dies geschehen obwohl doch aktiv die Sicherheit der Systeme forciert wurde?

Die Antwort ist erschreckend simpel: Nur eine vollständige Prüfung der Sicherheit des Systems kann zur korrekten Bewertung ohne „blinde Flecken“ führen. Ein Unternehmen muss demnach wissen wie ein umfassendes Risikomanagement aussieht und entsprechend selbst die Systeme prüfen oder einen Dienstleister auswählen, der in der Lage ist eine solch umfassende Prüfung korrekt durchzuführen. Zusätzlich ist es empfehlenswert die Log-Dateien der Systeme regelmäßig nach forensichen Gesichtspunkten auf Angriffsspuren zu untersuchen.

Fazit:

Die Bedrohung der Daten und SAP-Systeme selbst hat deutlich zugenommen. Zum Schutz der digitalen Kronjuwelen wird die Härtung der SAP-Systeme und die Prüfung deren Wirksamkeit dringend empfohlen. Ein Berechtigungskonzept oder der „reine Betrieb im Intranet“ sind allein keine ausreichenden Schutzmaßnahmen mehr. Eine automatisierte Lösung, die zuverlässig alle sicherheitsrelevanten Bereiche überprüft und in kurzer Zeit den Systemstatus ermittelt, bietet sich für diese Aufgabe an.