Zur Navigation Zur Suche Zum Inhalt
    Kontakt

    Zero-Day abgewehrt: Wie unser SOC einen SAP-Angriff in Echtzeit stoppte

    Tags:
    Stephan Erni
    RSS Facebook LinkedIn
    SAP Cybersicherheit – Schutz vor Hackerangriffen und Malware auf SAP-Systeme in Unternehmen.

    Blogbeitrag anhören

    0:00 / 0:00

    Ein anonymisierter, jedoch realer Erfahrungsbericht aus dem Alltag unseres Security Operation Center (SOC) Team

    Was ist passiert?

    Ende April 2025 meldete unser Security Operations Center (SOC) bei einem Kunden plötzlich verdächtige Aktivitäten auf einem produktiven Server-System. Wenige Augen­blicke später stand fest: Ein Angreifer versuchte, eine damals brand­neue Sicherheits­lücke in SAP NetWeaver auszunutzen, um eine Schadsoftware hochzuladen - der erste Schritt zur vollständigen Kompromittierung. Dank unserer Alarm­ketten konnten wir den Angriff schon in der Anlauf­phase stoppen – bevor Daten entwendet oder Systeme verschlüsselt wurden.

    Zum Leuchter Security Operations Center

     

    Die Kurzchronik

    • T‑0 Minuten: Unser SOC-Team erkannte mittels einer eigens entwickelten Überwachungsregel unge­wöhnliche und viele System­abfragen auf einem System.
    • +1 Minute: Interne Alarmkette springt an: Unser Analyst meldet „Critical“ an das Schicht‑Lead und der Chat‑War‑Room wird automatisch eröffnet.
    • +10 Minuten: Erste Verifikation: Es handelt sich um den frisch ver­öffent­lichten SAP‑Zero‑Day (CVE‑2025‑31324).
    • +15 Minuten: Automatische Isolation des betroffenen Servers, gleich­zeitiges Briefing des Kunden‑IT‑Teams.
    • +2 Stunden: Löschung und Blockierung der fremden Datei, umfassende Spurensuche inklusive forensischer Untersuchung abgeschlossen, keine Folge­schäden festgestellt, Server wird entisoliert, Informationssicherung gestartet.
    • Am selben Tag: Roll‑out des vom Hersteller bereit­gestellten Patches, Präventions­regeln dauerhaft aktiviert.

    Eindämmung & Beseitigung

    Cybersecurity Lifecycle – Erkennung, Untersuchung, Reaktion und Prävention von IT-SicherheitsvorfällenNach der Erkennung eines Sicherheitsvorfalls ist eine strukturierte und schnelle Reaktion entscheidend, um Schäden zu minimieren und den Geschäftsbetrieb zu schützen. Die Phasen Eindämmung, Beseitigung und Wiederherstellung bilden dabei das Rückgrat jeder effektiven Incident-Response-Strategie. 

    In der Eindämmungsphase geht es darum, die Ausbreitung des Vorfalls sofort zu stoppen und betroffene Systeme abzusichern. Anschliessend folgt die Beseitigung, bei der die Ursache des Vorfalls nachhaltig entfernt wird. Die letzte Phase, die Wiederherstellung, stellt sicher, dass betroffene Systeme unter sicheren Bedingungen wieder in Betrieb genommen werden und ein erneutes Auftreten verhindert wird.

     

    Warum ist das wichtig?

    • Zero‑Days (eine noch unbekannte, ungepatchte Sicherheits­schwachstelle) sind Schnell­­läufer. Vom ersten öffentlichen Hinweis bis zu aktivem Missbrauch vergingen diesmal nur Stunden. Ohne automatisierte Überwachung wäre das Risiko einer Ransomware‑Forderung oder Datenverlust enorm gewesen.
    • Sicherheit ist Team­sport. Unsere SOC‑Analyst*innen arbeiteten Hand in Hand mit dem Kunden: Entscheidend war die klare Rollen­verteilung – unser Notfall­plan liess keine Zeit für Abstimmungs­schleifen.
    • Transparenz schafft Vertrauen. Durch fortlaufende Updates wussten alle Stake­holder jederzeit, was gerade passiert. Das nahm viel Druck aus der Situation und beschleunigte Ent­scheidungen.

      Zero_Day_abgewehrt

    Drei zentrale Learnings für alle Unternehmen

    1. Patch‑Management priorisieren – für alle Systeme
      Ob SAP, Windows, Linux, Netzwerk‑Appliance oder Cloud‑Dienst: Kritische Updates gehören so schnell wie möglich eingespielt. Ein einziges ungepatchtes System kann das gesamte Unternehmen gefährden.
    2. Alarm­ketten regelmässig testen
      Ein Sicherheits­alarm nützt wenig, wenn er unbe­merkt bleibt, weil das Bereitschafts­telefon stumm im Konferenz­raum liegt oder die Push‑Nachricht keinen Empfänger findet. Proben Sie den Ernst­fall – Minuten entscheiden.
    3. SOC = Betriebssicherheit
      Durch den Einsatz eines modernen SOC reduziert sich die Angriffsfläche, Angriffszeit und Ausfallkosten dramatisch – ein Wettbewerbsvorteil, der sich rechnen lässt und für jede Unternehmung unumgänglich ist.


      Fazit

      Bedrohungen werden nicht weniger – aber berechen­barer, wenn Prozesse stehen.

      Dieser Vorfall zeigt: Mit einer gut eingespielten SOC‑Mannschaft, moderner Telemetrie und klaren Entscheidungs­wegen lässt sich selbst eine „perfekte“ Sicherheitslücke entschärfen, bevor sie zur Krise wird. Nutzen Sie die Zeit, um Ihre eigene Vorbereitung zu testen – bevor der nächste Zero‑Day an der Tür klopft.

      Leuchter IT Cyber Security Operations Center - langfristig besser

       Happy Men vor einem Bildschrim

      Fragen Sie sich also nicht, ob Sie ein SOC brauchen, sondern ob Sie es sich leisten können, keins zu haben.


      Kontakt aufnehmen

     
    Tags: