Ob Trojaner, Spearfishing oder Malware as a Service: Die Angriffspalette von Hackern ist vielseitig und zwingt Unternehmen, im Fall einer Attacke schnell zu reagieren. Lesen Sie, wie SAP mittels Mustererkennung in Logfiles der wachsenden Kriminalität im Netz begegnet.

Als ein Berliner Abgeordneter sich kürzlich mit seinem persönlichen Rechner in das Sicherheitsnetz des Bundestages einloggte, tat er das, was er jeden Tag tat. Er schrieb Mails, schaute sich die neuesten Berichte aus den Ausschüssen an, suchte Telefonnummern, recherchierte im Netz. Dass er Tage vorher diesen USB-Stick in seinen Rechner steckte, war ihm gar nicht mehr bewusst. Und er ahnte auch nichts von dem Trojaner, dessen Schadsoftware sich nun rasend schnell durch die Systeme des Bundestages arbeitete. „Das war ein ganz typischer Angriff, den auch jedes Unternehmen treffen kann“, erläutert Martin Müller, IT-Sicherheitsexperte bei SAP. Die Software SAP Enterprise Threat Detection (SAP ETD) ist dafür da, derartige Vorfälle schnell zu entdecken und dementsprechend reagieren zu können.

Was kann die Software SAP Enterprise Threat Detection?

Hacker finden, isolieren und die Angriffe analysieren ist die Königsdisziplin der Hacker-Abwehr und die intelligenteste Schutzschicht im Kosmos der SAP Security Suite. Während so genannte Security Information Event Manager (SIEM) sich in ihrer Echtzeitanalyse üblicherweise auf die technischen Komponenten wie Netzwerke, Router und die Infrastruktur konzentrieren, fokussiert die Software von SAP, die so genannte SAP Enterprise Threat Detection (ETD), auf die zentralen Logfiles der genutzten Anwendungen.

Wer hatte die Idee zur Echtzeitanalyse über SAP ETD?

Die Idee zur Entwicklung von SAP ETD kam vor einigen Jahren aus der eigenen Entwicklung. „Die SAP IT war mit der Funktionalität des verwendeten SIEM-Produktes für den Bereich SAP-Integration nicht zufrieden“, erläutert Müller, „sie waren der Meinung, dass SAP-Applikationen noch besser geschützt werden müssen.“ Die Mechanismen zum Schutz von SAP-Applikationen sollten sich aus den Security-Events auf Anwendungsseite ableiten, denn hier sind die wertvollen Informationen der SAP-Anwendungen zu finden. Regelwerke wurden definiert um herauszufinden, welche Nutzer ungewöhnliche Dinge tun. Im Falle von SAP IT, die SAP ETD selbst im Einsatz hat, erkennt die Software Vorfälle und warnt die Security Officer vor Angriffen auf SAP-Applikationen. Wenn sich beispielsweise ein Mitarbeiter morgens um acht Uhr in Walldorf und eine Stunde später in München einloggt, schlägt das System Alarm, denn es ist wahrscheinlich, dass hier nicht ein- und dieselbe Person am Werk ist. Man spricht hier von einer gestohlenen Identität. Selbst wenn ein Kundenberater statt wie sonst immer im SAP-BW-System nun im SAP-CRM-System und den kritischen Geschäftsdaten im Finanzumfeld herumstöbert, macht das System über einen Alarm auf diese außergewöhnliche Aktion aufmerksam. „Die Pattern legen fest, was als Alarm ausgegeben werden soll“, erläutert Müller.

Wie reagiert SAP ETD, wenn eine Identität eines Users gekapert wurde? (Beispiel Spearfishing)

Beim so genannten Spearfishing geht es den Hackern darum, gezielt auf einen speziellen Rechner zu gelangen und von dort an möglichst viele Passwörter, Benutzernamen und SAP-Systeminformationen zu gelangen. Hacker machen dazu Namen von Freunden der „Zielperson“ etwa über Facebook oder andere soziale Netzwerke ausfindig. „Dann nutzen sie das vermeintliche Vertrauensverhältnis aus, um im Namen der Freunde Mails mit Anhängen zu verschicken, beispielsweise Exceldateien“, erläutert Müller, „zwar warnt das System vor dem Öffnen, doch meist ist den Adressaten das egal.“ Und schon ist der Trojaner im System der Unternehmen. „Das kann und wird irgendwann jedem Unternehmen passieren“, erläutert Müller.

In diesem Augenblick reagiert das Sicherheitssystem SAP ETD und gibt eine Warnung heraus. Schnell wird klar, von welchem Rechner die Gefahr ausgeht, denn die Anzahl der gescheiterten Versuche, sich von dort aus auf anderen Rechnern einzuloggen, schnellt augenblicklich in die Höhe. Je mehr gescheiterte „Remote Function Calls“ ein Rechner ausgibt, umso mehr ist klar, dass im Hintergrund von diesem Rechner aus eine Wörterbuchattacke gefahren wurde mit dem Ziel, möglichst viele Passwörter und Usernamen zu ergattern und sich so Zugang zu wertvollen Informationen im Unternehmen zu verschaffen. „In einem solchen Fall muss der Rechner so schnell es geht isoliert und damit die Attacke beendet werden“, erläutert Müller. Je früher das geschieht, umso besser.

Welche Motivation steckt hinter Cyberattacken?

Nicht immer sind die Angriffe wie jene beim Bundestag politisch motiviert. Trifft es das produzierende Gewerbe und die Hacker gelangen auf die produktiven Systeme, ist das Wertvollste des Unternehmens erreicht: Konstruktionspläne von Maschinen, Konzepte für Neuentwicklungen und Prototypen. „Nicht nur die Reputation des Unternehmens ist in Gefahr, sondern deren wirtschaftliche Grundlage“, so Müller, und zwar spätestens dann, wenn ein sehr ähnliches Konkurrenzprodukt zu erheblich geringeren Preisen auf den Markt kommt. Gezielte Manipulationen von Daten und der Versuch, die Verfügbarkeit von Webseiten zu beeinflussen, sind andere Motive der Hacker. Trotzdem werden solche Vorfälle aus Angst vor Rufschädigung oft nicht weiter gegeben. Seit dem 1. Juli ist allerdings das IT-Sicherheitsgesetz in Kraft. Das verpflichtet Unternehmen dazu, Hackerangriffe, die gegen sie stattgefunden haben, dem BSI zu melden. Tun sie das nicht, drohen Strafen in sechsstelliger Eurohöhe.

Ist der Trojaner schon längere Zeit auf den Systemen unterwegs und sind zu viele Rechner infiziert – wie bei dem Angriff auf den japanischen Elektronikkonzern Sony Ende letzten Jahres – müssen die Rechner komplett neu installiert oder aber sogar ausgewechselt werden. Ob auch dem Bundestag nichts anderes übrig bleiben wird, ist bislang noch nicht klar.