SAP und der US-Security-Dienstleister Onapsis haben einen Report herausgegeben, der sich mit der aktuellen Bedrohungslage für SAP-Systeme befasst. Eine erhebliche Zahl von Hackergruppen, so der Report, versucht gegenwärtig die SAP-Systeme von Unternehmen zu knacken, die mit dem Einspielen von Security-Patches hinterherhinken oder ihre Systeme schlecht konfiguriert haben.

Sowohl das Security-Team des US-Department of Homeland Security CISA als auch das deutsche Bundesamt für Informationssicherheit BSI haben daraufhin Warnmeldungen für SAP-Anwender veröffentlicht. Wie SAP selbst mahnen sie Anwender, Security-Patches möglichst umgehend einzuspielen. Zusätzlich sollte die Konfiguration der Systeme überprüft werden, und man sollte nach Spuren von möglicherweise bereits vorhandenen Eindringlingen suchen.

Die von den Hacker ausgenutzten Schwachstellen sind teilweise seit Jahren oder Monaten, andere aber auch erst seit kurzem bekannt. Der Report zeigt einen interessantes Security-Dilemma auf, das wohl nicht nur für SAP-Produkte relevant ist, sondern gleichermassen auch für Produkte anderer Hersteller von IT-Hardware und Software gilt. Für die Hersteller ist es natürlich absolut wichtig, so schnell wie möglich Patches zu entwickeln und zu veröffentlichen, wenn sie auf eine Schwachstelle aufmerksam geworden sind.

Aber ist ein Patch einmal veröffentlicht, ist er ein Signal an Hackergruppen, dass da eine Schwachstelle vorhanden ist, die mit dem Patch behoben werden soll. Und da sie genauso gut wie die Hersteller wissen, dass viele Unternehmen sich viel Zeit damit lassen, ihre Systeme auf den neuesten Stand zu bringen, sind diese Schwachstellen lohnende Ziele. Wenn also ein Patch erscheint, beginnen Hacker umgehend damit, ihn zu analysieren um herauszufinden, welche Schwachstelle damit gestopft werden soll und wie man sie ausnutzen könnte.

Laut dem Report können es Hacker im Falle von SAP-Software schaffen, schon weniger als 72 Stunden nach dem Erscheinen eines Patches die entsprechende Schwachstelle auszunutzen. Dafür verwenden sie sowohl automatisierte Exploits als auch "Hands-on-Keyboard"-Attacken. Ungeschützte SAP-Systeme in IaaS-Umgebungen können so von den Hackern innert 3 Stunden aufgespürt und kompromittiert werden.