Schlagwort: Security

Veröffentlicht am

Die Lehren aus den WannaCry-Reaktionen

Weltweit sorgt die WannaCry Ransomware für Aufsehen.  Zum Stand am 15.05.2017 sind nahezu 200.000 Systeme in mehr als 150 Ländern infiziert:

WannaCry worldwide infections

(WannaCry Infections)

WannaCry besteht aus 2 Komponenten

Im Kern besteht diese Malware aus zwei Komponenten. Der eigentliche Angriff oder Büchsenöffner ist ein EternalBlue genannter Angriff. Dieser bislang unbekannte Angriffsweg stammt aus dem Arsenal der NSA und wurde von der Gruppe Shadow Brokers am 14. April 2017 veröffentlicht. Mit diesem Angriff kann man die Kontrolle über ein Computersystem erlangen.

Hier kommt bei WannaCry dann die zweite Komponente ins Spiel. Dies ist eine typische Ransomware die Daten auf dem PC verschlüsselt. Die zweite Komponente wird ausgeführt nachdem der Angriff über den ersten Teil erfolgreich war und der Angreifer die Kontrolle über das System erreicht hat.

Mit der Geiselnahme der Daten und des Systems wird der Angriff dann für betroffene erst sichtbar.

Killswitch?

Zwischenzeitlich gab es ein kurzes Aufatmen, da ein Sicherheitsforscher einen Killswitch im Code von WannaCry gefunden hatte. Hier handelt es sich um Programmcode der prüft ob eine bestimmte Internetadresse (www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com) erreichbar ist und falls dem so ist, sämtliche Programmaktivitäten sofort beendet. Es folgt keine weitere Verbreitung oder Schadcodeausführung. Ein Sicherheitsforscher hat die entsprechende Internetadresse aktiviert und man hoffte die Ausbreitung zu stoppen.

Allerdings gibt es hier wenig Grund zur Entwarnung, denn es wurden weitere Varianten gefunden, die andere Internetadressen abfragen und es wurden Varianten gefunden, die gar keinen Killswitch enthalten.

Zudem zeigt eine Analyse von Didier Stevens, dass der Killswitch nicht hinter Internet-Proxys funktioniert – so wie dies in Unternehmen verwendet wird.

Der weitere Ausblick

Es ist klar mit weiteren Infektionen zu rechnen. Dies hat zwei Gründe:

  1. Der Killswitch funktioniert nicht wie erwartet
  2. Die Infektion ist bisher über das Wochenende gestartet, heute beginnt die Arbeitswoche und zahlreiche IT-Systeme von Unternehmen gehen Online und werden als Ziele verfügbar.
  3. *Update 23.05.2017* Eine neuer Wurm „EternalRocks“ ist inzwischen entdeckt worden. Er nutzt noch weitere Angriffswege aus dem NSA-Archive und versucht möglichst unerkannt auf den infizierten System vorzugehen.

Gegenmaßnahmen

Die Übernahme des Opfersystems erfolgt mit der ersten Komponente der Malware. Gelingt dieser Schritt nicht, kann der Virus das System nicht befallen. Daher ist der wichtigste Schutz, diese Lücke mit dem dazugehörigen Patch MS17-010 zu schließen. Das ganze wirkt wie eine Impfung für den Computer, danach ist er Resistent gegen den Virus und kann nicht mehr befallen werden.

Aufgrund der Kritikalität des Angriffs hat Microsoft auch Notfallpatches für eigentlich nicht mehr versorgte Systeme wie Windows XP, Vista oder 8 veröffentlicht.

Anmerkungen

Sieht man sich die Fakten zu der Epidemie an fallen mir folgende Punkte auf:

  1. Der wichtigste Baustein in der IT-Sicherheit ist das Patchmanagement.
  2. Dies wird jedoch offensichtlich nicht konsequent überall umgesetzt.
  3. Betroffene, Medien und Anwender reagieren nur auf offensichtliche Angriffe wie im Fall WannaCry.
    Die ersten Angriffe mit dem NSA-Exploit EternalBlue erfolgten direkt nach Veröffentlichung und Kriminelle haben so binnen einer Woche bereits ca. 40.000 Systeme unter Ihre Kontrolle gebracht. Dies jedoch im Geheimen und ohne offensichtliche Meldung an die betroffenen.
    Es darf sich jeder die Frage stellen was kritischer ist: Das System als Geisel mit 300$ bis 600$ Lösegeld oder das System unter Kontrolle eines versierten Hackers …
    Erschreckend ist, dass aufgrund der fehlenden Sensibilität für Cyberbedrohungen nahezu keine Reaktion auf die ersten Angriffe erfolgte, sonst wäre der „Erfolg“ von WannaCry gar nicht möglich gewesen.

Auswirkung auf SAP-Systeme

Wer jetzt denkt, SAP-Systeme sind davon nicht betroffen, sollte folgende Fakten prüfen:

  1. Windows Server 2003, 2008, usw. dienen durchaus als Basis für manche SAP-Systeme.
  2. Die Möglichkeit der Übernahme solcher Systeme durch Angreifer hat WannaCry höchst aktuell und eindrucksvoll unter Beweis gestellt.
  3. Der Zugriff aus der Windows-Ebene auf die SAP- und Datenbankebene ist mit wenig Aufwand möglich.
  4. Die Geiselnahme des Systems mitsamt SAP und Datenbank ist ebenfalls möglich. Vielleicht sind unter den befallenen WannaCry-Systemen bereits SAP-Systeme.
  5. Ein fehlender Patch auf vielen Systemen war die Ursache für diese Virus-Epidemie. Für SAP-Systeme gibt es ebenfalls zahlreiche Patches. Auch solche, die wie bei EternalBlue, Angriffe aus der Entfernung zulassen.

Die Frage ist: Werden bei SAP-Systemen die Patches schneller eingespielt als bei Windows?

Ein funktionierendes Patchmanagement ist eine elementare Säule der IT-Sicherheit. Die Kontrolle und Wirksamkeitsprüfung von IT-Sicherheitsmaßnahmen gehört zu dem gesetzlichen Risikomanagement. Bei der Überwachung von Systemen und Einhaltung der gesetzlichen Anforderungen aus dem Risikomanagement unterstützt unsere Lösung WerthAUDITOR mit seinem vollautomatischen Security Monitoring.

Der WerthAUDITOR schützt bereits lange vor der Veröffentlichung von EternalBlue am 14. April 2017 unsere Kunden auch vor dieser Schwachstelle.

Veröffentlicht am

Ponemon Institute – SAP Cybersecurity Studie

Das Ponemon Institut hat mehr als 600 IT- und Sicherheitsspezialisten zum Stand der SAP Sicherheit befragt. Die wesentlichen Erkenntnisse der Studie lassen sich wie folgt zusammen fassen:

Statistiken zu Angriffen auf SAP-System:

  • 65% der SAP-Systeme wurde in den letzten 24 Monaten erfolgreich angegriffen.
  • 75% der Befragten glauben Ihr SAP-System hat wahrscheinlich eine oder mehrere Malware Infektionen.
  • Im Schnitt kostet einem Unternehmen die Abschaltung eines SAP-System 4,5 Millionen Dollar.
  • 60% sehen die Folgen eines Angriffs (Datendiebstahl, Manipulation oder Ausfall) als ernst bis katastrophal an.
  • 56% halten einen Sicherheitsvorfall aufgrund unsicherer SAP-Systeme für wahrscheinlich.

Statistiken zur Abwehr von Angriffen auf SAP-Systeme

  • 75% sehen Ihr Unternehmen nicht in der Lage einen Angriff auf ein SAP-System sofort zu erkennen.
  • 59% können Angriffe auf Ihr SAP-System auch nach einem Monat nicht erkennen.
  • 81% halten eine kontinuierliche Überwachung der SAP-Systeme für wichtig
  • 78% halten die Messung der Sicherheit des SAP-Systems durch Audits für wichtig.

Statistiken zur Awareness von SAP-Cybersecurity

  • 47% erwarten einen Anstieg von Angriffen auf SAP-Systeme in den nächsten 24 Monaten.
  • 59% glauben die Angriffsfläche von SAP-Systemen steigt durch Trends wie Cloud, Mobile, Big Data und IoT.
  • 76% geben an Ihr Management versteht die geschäftskritische Bedeutung der SAP-Systeme
  • 63% jedoch sehen beim Management eine Unterschätzung der mit unsicheren SAP-Anwendungen einhergehenden Risiken.

Zusammenfassend kann man folgendes aus der Studie ableiten:

  • Die Risiken unsicherer SAP-Systeme werden noch nicht vollständig von der Führungsebene wahrgenommen, obwohl diese für Folgeschäden haften.
  • SAP-Systeme sind im Fokus von Cyberkriminellen und werden erfolgreich angegriffen.
  • Ein solcher Angriff ist ernst bis katastrophal und kann sehr hohe Kosten verursachen.
  • Mehr als die Hälfte der Unternehmen sind nicht auf solche Angriffe vorbereit oder können diese erkennen.
  • Es wird eine Steigerung der Angriffsfläche und -rate erwartet.
  • Zur Abwehr wünschen sich die Verantwortlichen die Möglichkeit der kontinuierlichen Messung und Härtung der Sicherheit Ihrer SAP-Systeme.

Der Werth Auditor ermöglicht die Prüfung und kontinuierliche Überwachung von SAP-Systemen. Eine kostenlose Prüfung der Systemsicherheit ist mit dem Quick-Check jederzeit möglich.

Veröffentlicht am

Status SAP Cybersicherheit 2016

Im Sommer 2016 gab es viele Schlagzeilen der Art „Weltweit 36.000 unsichere SAP-Systeme über das Internet angreifbar“ oder „36000 SAP systems exposed online, most open to attacks“ .

Dies kann man sicher als Zeichen sehen, dass SAP Sicherheit auch 2016 noch nicht den Stellenwert besitzt, den die mit diesen Systemen verarbeiteten Daten und Geschäftsprozesse erfordern. Den Verantwortlichen muss klar sein, dass auch Unwissenheit nicht vor Cyber-Angriffen schützt oder von der Haftung entbindet.

Die Angriffsfläche vergrößert sich durch neue Produkte (HANA, SAP Mobile) stetig. Inzwischen fasst SAP zur besseren Beherrschbarkeit der Sicherheitslücken die Patches in Pakete zusammen und so adressiert  ein Patch nun mehrere Sicherheitslücken statt wie zuvor nur exakt eine Lücke. Eine Auswertung der Patches zeigt, dass nahezu jedes SAP Modul von Sicherheitsrisiken betroffen ist.

Doch nicht nur Schwachstellen in der Software werden zum Risiko, auch die Implementierung der SAP-Systeme weist oft Schwachstellen in der Konfiguration auf.

Werden Patches nicht zeitnah eingespielt oder ist die Konfiguration nicht gegen Cyber-Angriffe gehärtet, sind diese Systeme besonders gefährdet. Besonders wenn Sie über das Internet erreichbar sind.

Doch was ist mit den Systemen die „sicher“ hinter einer Firewall im „internen“ Netzwerk stehen?

Auf den ersten Blick erscheint es hier doch viel schwieriger für Angreifer an die SAP-Systeme zu gelangen. Doch die vermeintliche Sicherheit ist trügerisch. So belegt eine Studie der IBM X-Force, dass Angriffe aus den eigenen Reihen einer hohe Bedrohung darstellen.

Weiter zu beachten ist, dass moderne Cyber-Angriffe nicht an der Unternehmes-Firewall enden. Sie überwinden diese problemlos und bleiben oft lange unentdeckt, während die Angreifer vollen Zugriff auf das Intranet besitzen.

Wobei aktuelle Meldungen auch eindeutig belegen, dass Firewalls für professionelle Angreifer kein Hindernis darstellen. Dies zeigen eindringlich aktuelle Berichte über die Sicherheitslücken in bekannten Produkten wie von Fortinet oder Cisco.

Fazit:

Ein aktueller Stand der Technik zum Schutz von SAP-Systeme sieht den Einsatz von Firewalls oder Antivirus-Lösungen nicht als Ausreichend an. Die Systeme sind (unabhängig von Ihrem Standort) aus dem Internet (indirekt) erreichbar. Daher erfordert ein kontinuierliches und dem Stand der Technik entsprechendes Sicherheitskonzept die Härtung der Systeme, die zeitnahe Einspielung von Sicherheitspatches, die regelmäßige Prüfungen von kritischen Berechtigungen und -kombinationen, die Prüfung der Netzwerkschnittstellen und des Custom-Code auf Schwachstellen sowie eine Protokollierung sicherheitsrelevanter Ereignisse und Prüfung der Logs.

Hierbei vertrauen SAP-Anwender auf unsere Lösung WerthAUDITOR zur permanenten Überwachung Ihrer SAP-Systeme und den dort verarbeiteten kritischen Geschäftsdaten und -prozesse.

Veröffentlicht am

Lagebericht SAP-Sicherheit 2014

Das Jahr 2014 hat gezeigt, dass SAP-Systeme verstärkt in das Visier von Cyberangriffen geraten sind. Dies belegen unter anderem die Angriffe auf die AAI und NVIDIA . Eine Zunahme solcher Angriffe ist auch nicht verwunderlich, da in den SAP-Systemen die digitalen Kronjuwelen eines Unternehmens lagern. Vielmehr war es nur eine Frage der Zeit wann SAP-Systeme gezielt angegriffen werden. 2014 ist daher eindeutig als Stunde 0 der SAP-Sicherheit zu kennzeichnen. Ab sofort ist die Sicherheit von SAP-Systemen ein Muss zum Schutz der dort gelagerten Daten.

Im wesentlichen forcieren zwei Faktoren die Notwendigkeit von SAP-Sicherheit:

  1. Die Vernetzung der SAP-Systeme nimmt drastisch zu.
    Die Systeme sind aus dem kompletten Intranet erreichbar, zusätzlich auch verstärkt aus dem Internet (Portalserver) und natürlich mittels mobilen Endgeräten. Der Trend „Cloud“ wird die globale Erreichbarkeit noch deutlich verstärken.
  2. Die SAP-Systeme „nur“ im Intranet zu betreiben bietet keinen ausreichenden Schutz vor externen Angriffen.
    Moderne Spionage- und Schadprogramme ermöglichen externen Angreifern direkten Zugriff auf das Intranet. Zum Einen belegen dies die Veröffentlichungen rund um die Tools der NSA, zum Anderen gibt es konkrete Beispiele für entsprechende Angriffe auf ERP-Systeme. Exemplarisch sei hier auf den Windows-Trojaner zur Ausspähung von SAP-Systemen und Zugangsdaten sowie dem Angriff via manipulierte Handscanner auf ERP-Systeme verwiesen.

Glücklicherweise verbessern sich die Bordmittel zur Härtung von SAP-Systemen zusehends. Leider steigt damit auch die Komplexität zur Bedienung der angebotenen Hilfsmittel. Daher ist es absolut notwendig die errichteten digitalen Schutzwälle und Sicherheitsmaßnahmen des SAP-Systems auf korrekte und „wie vorgesehene“ Funktion und Wirkung zu prüfen.

Zur Verdeutlichung soll ein reales Beispiel aus der Praxis dienen:

Ein Audit bei einem Großunternehmen sollte durchgeführt werden. Das Thema SAP-Sicherheit hatte in dem Unternehmen bereits seinen Stellenwert. So werden die SAP-Systeme regelmäßig durch eine Prüfgesellschaft aus dem Kreis der Big-Four kontrolliert und zertifiziert. Zusätzliche Tools zur Steigerung der Sicherheit sind ebenfalls im Einsatz. Das Ziel des Audits war somit die Wirksamkeit der ergriffenen Maßnahmen zu belegen.
Die Ergebnisse waren jedoch alarmierend: Schwerwiegende Sicherheitslücken konnten identifiziert werden.

Wie konnte dies geschehen obwohl doch aktiv die Sicherheit der Systeme forciert wurde?

Die Antwort ist erschreckend simpel: Nur eine vollständige Prüfung der Sicherheit des Systems kann zur korrekten Bewertung ohne „blinde Flecken“ führen. Ein Unternehmen muss demnach wissen wie ein umfassendes Risikomanagement aussieht und entsprechend selbst die Systeme prüfen oder einen Dienstleister auswählen, der in der Lage ist eine solch umfassende Prüfung korrekt durchzuführen. Zusätzlich ist es empfehlenswert die Log-Dateien der Systeme regelmäßig nach forensichen Gesichtspunkten auf Angriffsspuren zu untersuchen.

Fazit:

Die Bedrohung der Daten und SAP-Systeme selbst hat deutlich zugenommen. Zum Schutz der digitalen Kronjuwelen wird die Härtung der SAP-Systeme und die Prüfung deren Wirksamkeit dringend empfohlen. Ein Berechtigungskonzept oder der „reine Betrieb im Intranet“ sind allein keine ausreichenden Schutzmaßnahmen mehr. Eine automatisierte Lösung, die zuverlässig alle sicherheitsrelevanten Bereiche überprüft und in kurzer Zeit den Systemstatus ermittelt, bietet sich für diese Aufgabe an.