IT-Sicherheit in Unternehmen 19.10.2012, 19:55 Uhr

Betriebliche Software ist eine oft genutzte Angriffsstelle

Die Sicherheit von Geschäftsanwendungen ist heute mehr denn je gefährdet. Sie wurden für den Zugang per Internet und Mobilgerät geöffnet. Auf diesen Wegen finden immer mehr Eindringlinge unerkannt Zugang in Firmensysteme.

Ein herkömmliches Türschloss lässt sich von einem Profi in nicht mehr als 4 s knacken. Das klingt schnell. Deutlich anspruchsvoller ist es, ein komplexes SAP-System mit seinen Millionen Zeilen von Programmcode binnen 60 s zu knacken. Dies gelang Alexander Polyakov, einem SAP-Berater, im Mai 2012 auf dem Positive Hacker Day. Er zeigte die zehn häufigsten Schwachstellen in einem SAP-System auf. Sie sind in einem Video zu sehen und in dem Sonderheft „SAP & Sicherheit“ (10/2012) der SAP-Firmenzeitschrift „S@pport“ nachzulesen.

Top Stellenangebote

Zur Jobbörse
Bundeswehr-Firmenlogo
Leitende Ingenieurin / Leitender Ingenieur (m/w/d) Bundeswehr
verschiedene Standorte Zum Job 
Bundeswehr-Firmenlogo
Leitende Ingenieurin / Leitender Ingenieur (m/w/d) mit Master Bundeswehr
verschiedene Standorte Zum Job 
Bundeswehr-Firmenlogo
Ingenieurin / Ingenieur (m/w/d) mit Bachelor Bundeswehr
verschiedene Standorte Zum Job 
ACONEXT Engineering GmbH-Firmenlogo
Entwicklungsingenieur Automotive (m/w/d) ACONEXT Engineering GmbH
München Zum Job 
ACONEXT Engineering GmbH-Firmenlogo
Konstrukteur / Technischer Produktdesigner CATIA V5 oder Siemens NX (m/w/d) von Kunststoff- oder Metallbauteilen ACONEXT Engineering GmbH
München Zum Job 
ACONEXT Engineering GmbH-Firmenlogo
Softwaretester Automotive (m/w/d) ACONEXT Engineering GmbH
München Zum Job 
ACONEXT Engineering GmbH-Firmenlogo
Software Entwickler Automotive (m/w/d) ACONEXT Engineering GmbH
München Zum Job 
ACONEXT Engineering GmbH-Firmenlogo
Versuchsingenieur/-techniker zur Erprobung Gesamtfahrzeug und Testing von Komponenten (m/w/d) ACONEXT Engineering GmbH
München, Ingolstadt Zum Job 
Mainova AG-Firmenlogo
Ingenieur (w/m/d) Instandhaltung Mainova AG
Frankfurt am Main Zum Job 
DEKRA Automobil GmbH-Firmenlogo
Sachverständiger Schallschutz und Bauakustik (m/w/d) NRW DEKRA Automobil GmbH
Nordrhein-Westfalen Zum Job 
Richard Hönig Wirtschaftsberatungen-Firmenlogo
Strategischer Einkäufer (w/m/d) Richard Hönig Wirtschaftsberatungen
Südbayern Zum Job 
SWM Services GmbH-Firmenlogo
Projektleitung Mittelspannungsanlagen (m/w/d) SWM Services GmbH
München Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Projektingenieur im Hochbau (w/m/d) Die Autobahn GmbH des Bundes
München Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Projektingenieur Ladeinfrastruktur (w/m/d) im Geschäftsbereich Betrieb und Verkehr Die Autobahn GmbH des Bundes
München Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Projektingenieur im Brückenbau für Neubau-, Ausbau- und Erhaltungsmaßnahmen (w/m/d) Die Autobahn GmbH des Bundes
München Zum Job 
Deutsches Patent- und Markenamt-Firmenlogo
IT-Expertin / IT-Experte (w/m/div) Deutsches Patent- und Markenamt
München Zum Job 
Deutsches Patent- und Markenamt-Firmenlogo
Ingenieurinnen und Ingenieure, Informatikerinnen und Informatiker (technische Informatik) und Naturwissenschaftlerinnen und Naturwissenschaftler (w/m/div) Deutsches Patent- und Markenamt
München Zum Job 
B-Plan GmbH & Co. KG-Firmenlogo
Ingenieur Dipl.-Ing. / Bachelor / Master Elektrotechnik / Elektrotechniker / Elektromeister (w/m/d) B-Plan GmbH & Co. KG
Leipzig Zum Job 
Airbus-Firmenlogo
#ET7R Avionic Certification Qualification Engineer (d/f/m) Airbus
Donauwörth Zum Job 
OST – Ostschweizer Fachhochschule-Firmenlogo
Professor/in für Regelungstechnik OST – Ostschweizer Fachhochschule
Rapperswil (Schweiz) Zum Job 

Dieser Vorfall hätte die SAP-Kunden eigentlich beunruhigen müssen. Stattdessen scheinen sie aber weiterzuwursteln. Denn vielfach setzen sie Eigenentwicklungen auf SAP-Basis ein. Da diese selbst wiederum Millionen Codezeilen groß sind, aber in kürzester Zeit „mit heißer Nadel gestrickt“ wurden, kam im Design vielfach der Sicherheitsaspekt zu kurz. Die Folge sind Schwachstellen, wie sie Polyakov aufzeigte.

„Durch Sicherheitslücken in Anwendungen“, gibt HP-Sicherheitsexperte Arved Graf von Stackelberg zu bedenken, „können sogar die hinter den Anwendungen liegenden Datenbanken ausgelesen werden.“ Das sei etwa bei Sony passiert. Sony entstand so ein massiver Imageschaden. Angreifer könnten theoretisch ein solches löchriges System zum Absturz bringen, doch das wollen sie meist gar nicht. SAP-Systeme, die 60 % des Welthandels abwickeln, bieten viel lohnendere Ziele: Unmengen von Firmendaten und Transaktionen.

„Der Handel mit gestohlenen firmenvertraulichen Daten aus dem Internet blüht wie kein anderer Wirtschaftszweig“, weiß René Reutter, Abteilungsleiter für Informations- und Telekommunikationssicherheit bei T-Systems. „Die Motivation virtueller Eindringlinge ist dabei immer stärker an finanzielle Interessen gekoppelt – Daten sind bares Geld, illegale Zugriffe ein Millionengeschäft.“ Der Trend gehe zu gezielten Angriffen auf Firmen, insbesondere Forschungs- und Entwicklungsabteilungen.

Das Problem für die Bekämpfer solcher Bedrohungen sind nicht nur die Schlupflöcher in den Anwendungen, wie sie Polyakov etwa für SAP aufzeigte. Es sind auch nicht nur die Entwickler, denen immer weniger Zeit bleibt, eine Anwendung „wasserdicht“ zu machen – falls dies überhaupt eine Anforderung ans Design ist. Es sind vor allem die Betreiber der Anwendungen selbst. „Mehr als 90 % der Angriffe wären zu verhindern gewesen, hätten Unternehmen ihre Informations- und Telekommunikationssysteme gewartet und beispielsweise Updates für Betriebssystem- und Anwendungsebene zeitnah eingespielt“, beklagt Reutter ein schon lange bekanntes, aber immer wieder anzutreffendes IT-Sicherheitsleck.

Alle befragten Softwarehersteller implementieren deshalb vorbeugend im eigenen Haus ausformulierte Prozeduren und Methoden, um Anwendungssicherheit in die Entwicklungs- und Bereitstellungsphase einzubauen. Nachträglich liefern sie regelmäßig Patches und Updates aus.

„Im Konzern Telekom wurde ein Privacy & Security Assessment (PSA) eingeführt“, berichtet Reutter. „Es ist ein integriertes Verfahren für technische Sicherheit und Datenschutz als Bestandteil der Produkt- und Systementwicklungsprozesse.“ Auch die SAP sorgt nach Angaben von Chief Product Security Officer Gerold Hübner für die Qualität des Codes: „SAP setzt ein System der gegenseitigen Kontrolle durch drei unabhängige Abteilungen ein: Eine Abteilung definiert die Sicherheitsanforderungen, die andere wendet sie in der Softwareentwicklung an und die dritte überprüft zum Schluss deren Einhaltung.“

Beide Unternehmen helfen ihren Kunden durch Teams von Sicherheitsexperten, den Fall der Fälle zu bewältigen. „Die wenigsten Firmen“, so Reutter, „verfügen über das notwendige technische Know-how, geschweige denn über die personellen Ressourcen, um ihre Netzwerke sowie Informations- und Telekommunikationsressourcen Tag und Nacht von Grund auf zu durchleuchten – gleichermaßen von innen wie von außen.“ Denn oft bemerken sie Angriffe und Datendiebstähle nicht. Und falls doch, fehlen effiziente Notfallpläne und geschulte Sicherheitsexperten.

Die Kunden sind inzwischen sensibilisiert und investieren kräftig in Sicherheitswerkzeuge. Leider denken sie dabei wie ein mittelalterlicher Burgbaumeister: Sie befestigen die Wälle, während der Feind schon im Inneren lauert. Um nämlich so lange wie möglich spionieren zu können, verhalten sich die Würmer, Viren und Trojaner möglichst still. Sie sind nur mit entsprechend ausgefeilten Lösungen aufzuspüren, die den Datenverkehr filtern und in der Lage sind, verschiedene auffällige Ereignisse miteinander zu korrelieren: „Moment mal, darf der Benutzer ABC überhaupt Dateien der Kategorie XYZ über den Port 80 verschicken?“ Diese Kategorie von Überwachungswerkzeugen bezeichnen die Experten als „System Information  & Event Management“, kurz SIEM. Solche vollautomatisch arbeitenden Lösungen sind selten preisgünstig, aber zunehmend aus der Cloud zu abonnieren.

Letzten Endes kommt es, wie so häufig, auf den Benutzer an: Wer keine Patches und Updates einspielt, muss sich nicht wundern, wenn sein Produkt oder seine Patente in anderen Weltgegenden unerlaubt benutzt werden. In einer Weltwirtschaft, die zunehmend in Netzwerken zusammenwächst, ist Vertrauen gut, Kontrolle aber meistens besser. „Was bislang bekannt wurde, ist nur die Spitze des Eisbergs“, warnt René Reutter.  

Ein Beitrag von:

  • Michael Matzer

    Michael Matzer arbeitet als Journalist, Übersetzer, Rezensent und Buchautor. Big Data und Industry of Things zählen zu seinen Schwerpunkten.

Themen im Artikel

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.