English
Deutsch
PCG logo
Search Icon
Search Icon
Artikel
  1. Startseite
    2. /
  2. Insights
    3. /
  3. Artikel

Ransomware-Alarm: So schleichen sich Angreifer in Ihr SAP-System

Author Photo

Raphael Schiller

12 Jun 2025

Wie die Cloud zum Rettungsanker wird

Stellen Sie sich vor, es ist Samstagabend, 22:30 Uhr. Die meisten Ihrer Mitarbeiter genießen ihr wohlverdientes Wochenende. Doch in den digitalen Eingeweiden Ihres Unternehmensnetzwerks regt sich Unheil. Unbemerkt haben sich Cyberkriminelle eingenistet und bereiten den finalen Schlag vor.

Ihr Ziel: Ihre kritischen Systeme, das Herzstück, Ihr SAP, lahmzulegen und Sie um ein Lösegeld zu erpressen. Ein Albtraum? Für viele Unternehmen bittere Realität. Doch es gibt Wege, sich zu wappnen – und die Cloud spielt dabei eine immer zentralere Rolle.

Dieser Artikel nimmt Sie mit auf die Reise eines Angreifers durch Ihre IT-Systeme und deckt auf, wie eine durchdachte Cloud-Strategie und innovative Schutzmechanismen wie ALPACA SAP DR Ransomware Protection den Unterschied zwischen Katastrophe und schnellem Wiederanlauf bedeuten können.

Die Anatomie eines Angriffs: Der stille Einbruch ins On-Premise-Paradies

Der hier skizzierte Angriff ist kein theoretisches Konstrukt, sondern basiert auf realen Vorfällen. Er zeigt exemplarisch, wie Angreifer vorgehen, wenn Systeme noch klassisch On-Premise betrieben werden und welche Schwachstellen sie gnadenlos ausnutzen.

Phase 1: Die Ausspähung – Digitale Spuren im Netz

Alles beginnt mit der Informationsbeschaffung. Die Ransomware Angreifer sind geduldig. Sie nutzen spezialisierte Suchmaschinen wie Shodan, um nach außen exponierte Systeme und Software zu suchen, die bekannte Schwachstellen (CVEs – Common Vulnerabilities and Exposures) aufweisen. Jedes System, das direkt mit dem Internet kommuniziert, ist ein potenzielles Einfallstor. In unserem Fallbeispiel stießen die Angreifer auf eine Zeiterfassungssoftware. Diese Software, im Unternehmensnetzwerk integriert, bot einen HTTP-Endpunkt nach außen an – eine Notwendigkeit für den Fernzugriff von Mitarbeitern, aber auch ein offenes Fenster für böswillige Akteure, wenn nicht ausreichend gesichert.

Cloud-Gedanke: Wäre dieser Dienst bereits als SaaS-Lösung aus der Cloud bezogen worden oder über einen sicheren Cloud-Access-Broker (CASB) angebunden, hätte der Cloud-Anbieter einen Großteil der Verantwortung für die Absicherung der zugrundeliegenden Infrastruktur und die schnelle Behebung bekannter Schwachstellen getragen. Die Angriffsfläche des eigenen Unternehmensnetzwerks wäre kleiner.

Phase 2: Der erste Fuß in der Tür – Code Injection sei Dank

Die Recherche war erfolgreich: Die identifizierte Zeiterfassungssoftware wies eine bekannte Sicherheitslücke für Code Injection auf. Über den öffentlich erreichbaren HTTP-Endpunkt gelang es den Angreifern, schadhaften Code einzuschleusen und so initialen Zugriff auf den Server zu erlangen, auf dem die Software lief. Dieser Server stand zwar nicht in der Kernzone des Rechenzentrums, war aber Teil des internen Netzwerks. Die erste Hürde war genommen.

Cloud-Gedanke: Moderne Cloud-Plattformen bieten Web Application Firewalls (WAFs) und fortschrittliche Intrusion Detection/Prevention Systeme (IDS/IPS), die solche Angriffsversuche oft schon im Keim ersticken können, bevor sie den eigentlichen Server erreichen. Regelmäßige automatisierte Schwachstellenscans sind hier Standard.

Phase 3: Im Netzwerk – Die Kunst der lateralen Bewegung und Aufklärung

Einmal im Netzwerk beginnt die eigentliche Arbeit der Angreifer. Sie verhalten sich zunächst unauffällig, wie ein digitales U-Boot. Ihr Ziel: Die Infrastruktur verstehen, Administratorrechte erlangen und die Kronjuwelen identifizieren.

Durch sorgfältige Netzwerkkartierung und das Ausnutzen weiterer, oft interner Schwachstellen oder falsch konfigurierter Berechtigungen, bewegten sie sich lateral durch das Netzwerk. Sie stellten fest: Dieses Unternehmen setzt auf eine umfangreiche SAP-Landschaft, betrieben auf SAP HANA Datenbanken. Die darunterliegende Infrastruktur bestand aus NetApp Storage-Systemen und einer VMware-Virtualisierungsschicht. Diese Informationen sind Gold wert für die Angreifer, denn sie wissen nun genau, wo die sensibelsten Daten und kritischsten Systeme liegen.

Cloud-Gedanke: In einer gut segmentierten Cloud-Umgebung, beispielsweise mit Virtual Private Clouds (VPCs) und strengen Netzwerk-Sicherheitsgruppen (NSGs) bzw. Firewalls, wäre eine laterale Bewegung deutlich erschwert. SAP-Systeme in der Cloud können in hochisolierten Umgebungen betrieben werden, deren Zugriffspfade granular steuerbar und überwachbar sind. Cloud-native SIEM-Lösungen (Security Information and Event Management) können verdächtige Aktivitäten, die auf laterale Bewegungen hindeuten, schneller erkennen.

Phase 4: Vorbereitung des finalen Schlags – Sabotage der Verteidigung

Bevor die eigentliche Verschlüsselung beginnt, versuchen Angreifer, die Wiederherstellungsmöglichkeiten ihrer Opfer zu sabotieren. In diesem Fall konzentrierten sie sich auf zwei kritische Punkte:

  1. NetApp Snapshots: Das Unternehmen nutzte NetApp Snapshots als primäre Backup-Methode. Ein fataler Fehler, denn Snapshots sind keine echten Backups, da sie auf demselben System gespeichert werden. Den Angreifern gelang es, auf die NetApp-Systeme zuzugreifen und die Snapshot-Backups zu löschen. Das Ergebnis: Data Loss.
  2. VMware Kompromittierung: Parallel dazu kompromittierten sie die VMware-Umgebung. Sie manipulierten die Systeme so, dass sich die virtuellen Maschinen (VMs) der SAP-Systeme und anderer kritischer Anwendungen nicht mehr einfach neu starten ließen.

Wie die Cloud zum Rettungsanker wird

Stellen Sie sich vor, es ist Samstagabend, 22:30 Uhr. Die meisten Ihrer Mitarbeiter genießen ihr wohlverdientes Wochenende. Doch in den digitalen Eingeweiden Ihres Unternehmensnetzwerks regt sich Unheil. Unbemerkt haben sich Cyberkriminelle eingenistet und bereiten den finalen Schlag vor.

Ihr Ziel: Ihre kritischen Systeme, das Herzstück, Ihr SAP, lahmzulegen und Sie um ein Lösegeld zu erpressen. Ein Albtraum? Für viele Unternehmen bittere Realität. Doch es gibt Wege, sich zu wappnen – und die Cloud spielt dabei eine immer zentralere Rolle.

Dieser Artikel nimmt Sie mit auf die Reise eines Angreifers durch Ihre IT-Systeme und deckt auf, wie eine durchdachte Cloud-Strategie und innovative Schutzmechanismen wie ALPACA SAP DR Ransomware Protection den Unterschied zwischen Katastrophe und schnellem Wiederanlauf bedeuten können.

Die Anatomie eines Angriffs: Der stille Einbruch ins On-Premise-Paradies

Der hier skizzierte Angriff ist kein theoretisches Konstrukt, sondern basiert auf realen Vorfällen. Er zeigt exemplarisch, wie Angreifer vorgehen, wenn Systeme noch klassisch On-Premise betrieben werden und welche Schwachstellen sie gnadenlos ausnutzen.

Phase 1: Die Ausspähung – Digitale Spuren im Netz

Alles beginnt mit der Informationsbeschaffung. Die Ransomware Angreifer sind geduldig. Sie nutzen spezialisierte Suchmaschinen wie Shodan, um nach außen exponierte Systeme und Software zu suchen, die bekannte Schwachstellen (CVEs – Common Vulnerabilities and Exposures) aufweisen. Jedes System, das direkt mit dem Internet kommuniziert, ist ein potenzielles Einfallstor. In unserem Fallbeispiel stießen die Angreifer auf eine Zeiterfassungssoftware. Diese Software, im Unternehmensnetzwerk integriert, bot einen HTTP-Endpunkt nach außen an – eine Notwendigkeit für den Fernzugriff von Mitarbeitern, aber auch ein offenes Fenster für böswillige Akteure, wenn nicht ausreichend gesichert.

Cloud-Gedanke: Wäre dieser Dienst bereits als SaaS-Lösung aus der Cloud bezogen worden oder über einen sicheren Cloud-Access-Broker (CASB) angebunden, hätte der Cloud-Anbieter einen Großteil der Verantwortung für die Absicherung der zugrundeliegenden Infrastruktur und die schnelle Behebung bekannter Schwachstellen getragen. Die Angriffsfläche des eigenen Unternehmensnetzwerks wäre kleiner.

Phase 2: Der erste Fuß in der Tür – Code Injection sei Dank

Die Recherche war erfolgreich: Die identifizierte Zeiterfassungssoftware wies eine bekannte Sicherheitslücke für Code Injection auf. Über den öffentlich erreichbaren HTTP-Endpunkt gelang es den Angreifern, schadhaften Code einzuschleusen und so initialen Zugriff auf den Server zu erlangen, auf dem die Software lief. Dieser Server stand zwar nicht in der Kernzone des Rechenzentrums, war aber Teil des internen Netzwerks. Die erste Hürde war genommen.

Cloud-Gedanke: Moderne Cloud-Plattformen bieten Web Application Firewalls (WAFs) und fortschrittliche Intrusion Detection/Prevention Systeme (IDS/IPS), die solche Angriffsversuche oft schon im Keim ersticken können, bevor sie den eigentlichen Server erreichen. Regelmäßige automatisierte Schwachstellenscans sind hier Standard.

Phase 3: Im Netzwerk – Die Kunst der lateralen Bewegung und Aufklärung

Einmal im Netzwerk, beginnt die eigentliche Arbeit der Angreifer. Sie verhalten sich zunächst unauffällig, wie ein digitales U-Boot. Ihr Ziel: Die Infrastruktur verstehen, Administratorenrechte erlangen und die Kronjuwelen identifizieren.

Durch sorgfältige Netzwerkkartierung und das Ausnutzen weiterer, oft interner Schwachstellen oder falsch konfigurierter Berechtigungen, bewegten sie sich lateral durch das Netzwerk. Sie stellten fest: Dieses Unternehmen setzt auf eine umfangreiche SAP-Landschaft, betrieben auf SAP HANA Datenbanken. Die darunterliegende Infrastruktur bestand aus NetApp Storage-Systemen und einer VMware-Virtualisierungsschicht. Diese Informationen sind Gold wert für die Angreifer, denn sie wissen nun genau, wo die sensibelsten Daten und kritischsten Systeme liegen.

Cloud-Gedanke: In einer gut segmentierten Cloud-Umgebung, beispielsweise mit Virtual Private Clouds (VPCs) und strengen Netzwerk-Sicherheitsgruppen (NSGs) bzw. Firewalls, wäre eine laterale Bewegung deutlich erschwert. SAP-Systeme in der Cloud können in hochisolierten Umgebungen betrieben werden, deren Zugriffspfade granular steuerbar und überwachbar sind. Cloud-native SIEM-Lösungen (Security Information and Event Management) können verdächtige Aktivitäten, die auf laterale Bewegungen hindeuten, schneller erkennen.

Phase 4: Vorbereitung des finalen Schlags – Sabotage der Verteidigung

Bevor die eigentliche Verschlüsselung beginnt, versuchen Angreifer, die Wiederherstellungsmöglichkeiten ihrer Opfer zu sabotieren. In diesem Fall konzentrierten sie sich auf zwei kritische Punkte:

  1. NetApp Snapshots: Das Unternehmen nutzte NetApp Snapshots als primäre Backup-Methode. Ein fataler Fehler, denn Snapshots sind keine echten Backups, da sie auf demselben System gespeichert werden. Den Angreifern gelang es, auf die NetApp-Systeme zuzugreifen und die Snapshot-Backups zu löschen. Das Ergebnis: Data Loss.
  2. VMware Kompromittierung: Parallel dazu kompromittierten sie die VMware-Umgebung. Sie manipulierten die Systeme so, dass sich die virtuellen Maschinen (VMs) der SAP-Systeme und anderer kritischer Anwendungen nicht mehr einfach neustarten ließen.
ALPACA besser kennenlernen!
image-9811d2c55129

Warum die Cloud (insbesondere für SAP) den Unterschied macht:

Die Verlagerung von Workloads wie SAP in die Cloud ist nicht nur ein Trend, sondern eine strategische Notwendigkeit für verbesserte Sicherheit und Resilienz:

  1. Reduzierte Angriffsfläche: Cloud-Provider investieren massiv in die physische und digitale Sicherheit ihrer Rechenzentren. Viele Standardangriffsvektoren auf die Basisinfrastruktur werden von ihnen abgefangen.
  2. Fortschrittliche Sicherheitsdienste: Hyperscaler (AWS, Azure, Google Cloud) bieten eine Fülle nativer Sicherheitswerkzeuge: von intelligenten Firewalls über Threat Detection bis hin zu Identitäts- und Zugriffsmanagement-Lösungen, die On-Premise oft nur mit hohem Aufwand realisierbar sind.
  3. Skalierbarkeit und Flexibilität für Disaster Recovery (DR): Im Notfall können Systeme in der Cloud schnell auf die benötigte Kapazität hochskaliert werden. Ein "kaltes" oder "warmes" DR-Setup in der Cloud ist oft kosteneffizienter als der Aufbau einer zweiten, identischen On-Premise-Infrastruktur.
  4. Robuste Backup- und Archivierungslösungen: Cloud-Speicher bietet inhärente Vorteile wie Georedundanz, Versionierung und Immutability – entscheidend für Ransomware-sichere Backups.
  5. Spezialisierte SAP-Lösungen: Die großen Cloud-Anbieter haben zertifizierte und optimierte Lösungen für den Betrieb von SAP-Systemen, inklusive HANA. Diese berücksichtigen Performance-, Sicherheits- und Compliance-Anforderungen.
  6. Geteilte Verantwortung (Shared Responsibility Model): Der Cloud-Provider ist für die Sicherheit der Cloud zuständig, der Kunde für die Sicherheit in der Cloud. Dieses Modell, richtig verstanden und umgesetzt, entlastet Unternehmen von vielen Basisaufgaben und erlaubt eine Fokussierung auf die Anwendungssicherheit.

Schutzmaßnahmen – Was Sie jetzt tun sollten:

Die Bedrohung ist real, aber Sie sind ihr nicht schutzlos ausgeliefert. Hier sind essenzielle Maßnahmen, um Ihr Unternehmen und Ihre SAP-Systeme zu schützen:

  1. On-Premise härten (falls noch vorhanden):
  • Schwachstellenmanagement: Scannen Sie regelmäßig alle Systeme, insbesondere die mit Internet-Kontakt, und patchen Sie zeitnah.
  • Netzwerksegmentierung: Isolieren Sie kritische Systeme (wie SAP) in eigenen Netzwerkzonen. Erschweren Sie laterale Bewegungen.
  • Least Privilege Prinzip: Vergeben Sie nur die absolut notwendigen Berechtigungen.
  • Multi-Faktor-Authentifizierung (MFA): Wo immer möglich, für alle Zugänge, insbesondere administrative.

2. Backup-Strategie überdenken – Cloud als Muss:

  • 3-2-1-Regel (modifiziert): Mindestens 3 Kopien Ihrer Daten, auf 2 unterschiedlichen Medien, davon 1 Kopie off-site (Cloud!) und idealerweise 1 Kopie immutable oder air-gapped.
  • Snapshots sind keine Backups: Verlassen Sie sich nicht allein auf lokale Snapshots.
  • Regelmäßige Tests: Testen Sie Ihre Wiederherstellungsprozesse regelmäßig und unangekündigt. Ein Backup, das nicht wiederhergestellt werden kann, ist wertlos.

3. Cloud-Migration strategisch angehen:

  • Prüfen Sie, welche Workloads, insbesondere SAP, von einer Migration in die Cloud profitieren können (Resilienz, Skalierbarkeit, Sicherheit).
  • Nutzen Sie die Sicherheitsdienste der Cloud-Provider aktiv.
  • Ziehen Sie spezialisierte Lösungen wie ALPACA Ransomware Protection in Betracht, die eine Brücke zwischen On-Premise und Cloud schlagen und eine robuste DR-Strategie ermöglichen.

4. Awareness und Notfallpläne:

  • Mitarbeiterschulung: Sensibilisieren Sie Ihre Mitarbeiter für Phishing und andere Social-Engineering-Taktiken.
  • Incident Response Plan: Halten Sie einen detaillierten Plan bereit, was im Falle eines Angriffs zu tun ist. Wer ist verantwortlich? Wie wird kommuniziert?

Handeln Sie, bevor es zu spät ist!

Ransomware-Angriffe sind keine Frage des "Ob", sondern des "Wann". Die Angreifer professionalisieren sich rasant und nehmen gezielt unternehmenskritische Systeme wie SAP ins Visier. Die traditionelle On-Premise-Welt bietet oft nicht mehr die Agilität und die robusten Verteidigungsmechanismen, die heute notwendig sind.

Die Cloud, intelligent genutzt und ergänzt durch innovative Lösungen wie ALPACA, bietet eine starke Antwort auf diese Bedrohungen. Sie ermöglicht nicht nur einen sichereren Betrieb, sondern vor allem die Fähigkeit, nach einem erfolgreichen Angriff schnell wieder handlungsfähig zu sein – oft der entscheidende Faktor für das Überleben des Unternehmens.

Warten Sie nicht, bis Ihr Name in den Schlagzeilen auftaucht. Überprüfen Sie Ihre Sicherheitsstrategie, evaluieren Sie das Potenzial der Cloud für Ihre SAP-Systeme und stellen Sie sicher, dass Ihre Notfallpläne mehr sind als nur Papier. Ihre Daten, Ihr Ruf und Ihr Geschäftserfolg hängen davon ab.

Autor

Author Photo

Raphael Schiller

Head of ALPACA

Genutzte Services

ALPACA - SAP Automation for any cloud
Loslegen

Weiterlesen

Artikel
Backup and Disaster Recovery
Was viele im SAP Disaster Recovery Plan vergessen

Ein Disaster Recovery Plan ist unerlässlich. Doch in Zeiten zunehmender Cyber-Bedrohungen und Ransomware Angriffen stellt sich die Frage: Reicht ein Plan allein aus? Die Antwort ist ein klares Nein. Der Schlüssel zu einer wirklich robusten DR-Strategie liegt nicht nur im Plan selbst, sondern auch im klugen Management Ihrer Backup-Daten.

Mehr erfahren
Artikel
Backup and Disaster Recovery
5 Vorteile von SAP Disaster Recovery in der Cloud

Wie Multi-Cloud Strategien Ihren SAP Disaster Recovery Plan vervollständigen

Mehr erfahren
Artikel
Backup and Disaster Recovery
Warum Ihr Unternehmen einen SAP Disaster Recovery Plan braucht

In der heutigen Geschäftswelt ist die Verfügbarkeit und Sicherheit Ihrer SAP-Systeme entscheidend für Ihren Erfolg. Doch was passiert, wenn unerwartete Ereignisse wie Naturkatastrophen, Ransomware Angriffe oder technische Ausfälle auftreten? Ein effektiver Disaster Recovery Plan (DRP) macht in solchen Situationen den Unterschied zwischen schneller Wiederaufnahme des Betriebs und existenzbedrohenden Ausfällen.

Mehr erfahren
Fallstudie
Software
Eines der modernsten SAP Cloud Rechenzentren Europas

ZEISS hat rund 80 SAP-Systeme zusammen mit PCG erfolgreich in die Azure Cloud migriert. Diese bilden das modernste SAP Cloud Rechenzentrum Europas.

Mehr erfahren
Alles sehen

Gemeinsam durchstarten

United Kingdom
Arrow Down