IT-Schwachstelle: Kritische Lücken in SAP und Microsoft DNS

Für IT-Admins läuft die Sommerzeit nicht gerade entspannt ab. Zwei kritische Sicherheitslücken in Business-Systemen – bereitgestellte Patches sollten umgehend eingespielt werden.

Die erste Sicherheitslücke betrifft SAPs NetWeaver. Die hochkritische Schwachstelle Recon (Remotely Exploitable Code On Netweave), alias CVE-2020-6287 erzielt den Höchstwert (CVSS-Score=10) auf der CVE-Kritikalitätsskala. 40.000 Unternehmen sind weltweit davon betroffen.

Kritische SAP Komponente betroffen

Mithilfe dieser Schwachstelle können Angreifer, ohne die Eingabe eines Passworts oder Nutzernamens, neue Benutzerkonten mit erweiterten Rechten anlegen. Somit können Angreifer eine SAP-Instanz vollständig übernehmen und vollen Zugriff auf sämtliche gespeicherte Daten, sowie verarbeitete erlangen. Das Schadenspotenzial ist hier besonders hoch, da SAP-Produkte in der Regel von größeren Unternehmen, Behörden und kritischer Infrastruktur eingesetzt werden. In Europa alleine sollen laut SAP-Sicherheitsdienstleister Onapsis über 4.000 Systeme betroffen sein.

Einige Systeme sind dirket mit dem Internet verbunden und können somit unmittelbar angegriffen werden. Mithilfe eines Updates kann die Sicherheitslücke behoben werden. Das Update steht schon zur Verfügung bereit. Das Update aufzuschieben stellt nicht nur Gefahren für das eigene Unternehmen dar, sondern wäre außerdem eine Verletzung diverser Compliance-Richtlinien.

Microsoft-DNS-Server als „wormable“ klassifiziert

Eine insgesamt 17 Jahre alte Sicherheitslücke in Microsofts DNS-Server hat außerdem schwerwiegende Folgen. Über diese Schwachstelle können Angreifer auf einem fremden System beliebigen Code ausführen. Dazu muss nur eine speziell präparierte Anfrage an die zentrale Komponente jedes Microsoft-Netzwerkes, DNS, geschickt werden. Die Rolle des DNS-Servers ist oft auf demselben Rechner installiert wie die des Domain-Controllers. Somit ist es nicht nur möglich aus der Ferne fremden Code auf einem Domain-Controller auszuführen, die Schwachstelle wurde zudem von Microsoft als „wormable“ klassifiziert. Sprich: Schadsoftware kann sich über diese Sicherheitslücke selbst ausbreiten.

Jedes Unternehmen, das einen DNS-Server betreibt sollte das zur Verfügung gestellte Update umgehend installieren um Angriffe zu vermeiden.

Key Facts

NIS2-Betroffene: Rund 30.000 Unternehmen in Deutschland fallen unter die neue NIS2-Richtlinie.

Sanktionen: Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Häufige Fragen

Was zählt als kritische Infrastruktur?

Das BSI definiert KRITIS-Sektoren: Energie, Wasser, Ernährung, IT/TK, Gesundheit, Finanz- und Versicherungswesen, Transport, Siedlungsabfallentsorgung sowie Staat und Verwaltung. Ab bestimmten Schwellenwerten (z.B. 500.000 versorgte Personen) gelten erweiterte Pflichten.

Welche Meldepflichten gelten für KRITIS-Betreiber?

KRITIS-Betreiber müssen erhebliche IT-Störungen unverzüglich dem BSI melden. Mit NIS2 wird die Frist auf 24 Stunden für die Erstmeldung und 72 Stunden für einen ausführlichen Bericht verschärft.

Sind auch kommunale Unternehmen KRITIS-pflichtig?

Ja, wenn sie die Schwellenwerte erreichen. Stadtwerke, Wasserversorger und kommunale Krankenhäuser können KRITIS-Betreiber sein. Mit NIS2 sinken die Schwellenwerte, wodurch mehr kommunale Unternehmen betroffen sind.

Das Wichtigste in Kürze

In Europa alleine sollen laut SAP-Sicherheitsdienstleister Onapsis über 4.000 Systeme betroffen sein.
Die hochkritische Schwachstelle Recon (Remotely Exploitable Code On Netweave), alias CVE-2020-6287 erzielt den Höchstwert (CVSS-Score=10) auf der CVE-Kritikalitätsskala.
Microsoft-DNS-Server als „wormable“ klassifiziert Eine insgesamt 17 Jahre alte Sicherheitslücke in Microsofts DNS-Server hat außerdem schwerwiegende Folgen.
40.000 Unternehmen sind weltweit davon betroffen.

Artikel drucken