IT-Sicherheit in Unternehmen 19.10.2012, 19:55 Uhr

Betriebliche Software ist eine oft genutzte Angriffsstelle

Die Sicherheit von Geschäftsanwendungen ist heute mehr denn je gefährdet. Sie wurden für den Zugang per Internet und Mobilgerät geöffnet. Auf diesen Wegen finden immer mehr Eindringlinge unerkannt Zugang in Firmensysteme.

Ein herkömmliches Türschloss lässt sich von einem Profi in nicht mehr als 4 s knacken. Das klingt schnell. Deutlich anspruchsvoller ist es, ein komplexes SAP-System mit seinen Millionen Zeilen von Programmcode binnen 60 s zu knacken. Dies gelang Alexander Polyakov, einem SAP-Berater, im Mai 2012 auf dem Positive Hacker Day. Er zeigte die zehn häufigsten Schwachstellen in einem SAP-System auf. Sie sind in einem Video zu sehen und in dem Sonderheft „SAP & Sicherheit“ (10/2012) der SAP-Firmenzeitschrift „S@pport“ nachzulesen.

Top Stellenangebote

Zur Jobbörse
Stadtbetrieb Wetter (Ruhr)-Firmenlogo
Bauingenieur/in (m/w/d) Fachrichtung Tiefbau / Straßenbau Stadtbetrieb Wetter (Ruhr)
Wetter (Ruhr) Zum Job 
Stadtwerke München GmbH-Firmenlogo
Brandschutzbeauftragte*r mit Zusatzfunktionen Tram (m/w/d) Stadtwerke München GmbH
München Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Planungsingenieur (w/m/d) Streckenplanung Die Autobahn GmbH des Bundes
Uwe Wenzel WW-Personalkonzepte e.K.-Firmenlogo
Entwicklungsingenieur (m/w/d) Wärmepumpensysteme und Regelungen Uwe Wenzel WW-Personalkonzepte e.K.
Großraum Hamburg Zum Job 
Landeshauptstadt München-Firmenlogo
Verkehrsingenieur*innen für die Verkehrswende (w/m/d) Landeshauptstadt München
München Zum Job 
Framatome-Firmenlogo
Ingenieur (m/w/d) für nukleare Entsorgung Framatome
Karlstein am Main, Erlangen Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Bauingenieur als Bauwerksprüfer (w/m/d) Die Autobahn GmbH des Bundes
Berliner Stadtreinigungsbetriebe (BSR)-Firmenlogo
Projektingenieurin / Projektingenieur (w/m/d) Verfahrenstechnik Berliner Stadtreinigungsbetriebe (BSR)
Technische Universität Graz-Firmenlogo
Universitätsprofessur für Nachhaltige Antriebssysteme und angewandte Thermodynamik (m/w/d) Technische Universität Graz
Graz (Österreich) Zum Job 
Berliner Stadtreinigungsbetriebe (BSR)-Firmenlogo
Projektingenieurin / Projektingenieur (w/m/d) Elektrotechnik Berliner Stadtreinigungsbetriebe (BSR)
Lübeck Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
(Umwelt-)Ingenieur (w/m/d) für Boden, Abfall, Altlasten und Georisiken Die Autobahn GmbH des Bundes
Nürnberg Zum Job 
Fuest Familienstiftung-Firmenlogo
Bauzeichner, Bautechniker oder Innenarchitekt (m/w/d) Fuest Familienstiftung
Timm Technology GmbH-Firmenlogo
Sales Manager / Vertriebsingenieur (m/w/d) Timm Technology GmbH
Reinbek Zum Job 
Caljan GmbH-Firmenlogo
Maschinenbauingenieur / Konstrukteur Sondermaschinenbau (m/w/d) Caljan GmbH
Halle (Westfalen) Zum Job 
Stadtwerke München GmbH-Firmenlogo
(Senior) Projektmanager*in Niederspannung (m/w/d) Stadtwerke München GmbH
München Zum Job 
DFS Deutsche Flugsicherung GmbH-Firmenlogo
Ingenieur* Produktmanagement für Navigationsdienste DFS Deutsche Flugsicherung GmbH
Langen (Hessen) Zum Job 
VAHLE-Firmenlogo
Ingenieur Automatisierungs- und Steuerungstechnik (m/w/d) VAHLE
Kamen, Großraum Dortmund Zum Job 
Grünecker Patent- und Rechtsanwälte PartG mbB-Firmenlogo
Patentingenieur (m/w/d) der Fachrichtung Physik und/oder Elektrotechnik mit der Möglichkeit zur Ausbildung zum "European Patent Attorney (m/w/d/)" Grünecker Patent- und Rechtsanwälte PartG mbB
München Zum Job 
DFS Deutsche Flugsicherung GmbH-Firmenlogo
Flugsicherungsingenieur (w/m/d) DFS Deutsche Flugsicherung GmbH
Grünecker Patent- und Rechtsanwälte PartG mbB-Firmenlogo
Europäischer Patentanwalt (m/w/d) der Fachrichtung Physik, Informatik, Elektrotechnik oder Nachrichtentechnik Grünecker Patent- und Rechtsanwälte PartG mbB
München Zum Job 

Dieser Vorfall hätte die SAP-Kunden eigentlich beunruhigen müssen. Stattdessen scheinen sie aber weiterzuwursteln. Denn vielfach setzen sie Eigenentwicklungen auf SAP-Basis ein. Da diese selbst wiederum Millionen Codezeilen groß sind, aber in kürzester Zeit „mit heißer Nadel gestrickt“ wurden, kam im Design vielfach der Sicherheitsaspekt zu kurz. Die Folge sind Schwachstellen, wie sie Polyakov aufzeigte.

„Durch Sicherheitslücken in Anwendungen“, gibt HP-Sicherheitsexperte Arved Graf von Stackelberg zu bedenken, „können sogar die hinter den Anwendungen liegenden Datenbanken ausgelesen werden.“ Das sei etwa bei Sony passiert. Sony entstand so ein massiver Imageschaden. Angreifer könnten theoretisch ein solches löchriges System zum Absturz bringen, doch das wollen sie meist gar nicht. SAP-Systeme, die 60 % des Welthandels abwickeln, bieten viel lohnendere Ziele: Unmengen von Firmendaten und Transaktionen.

„Der Handel mit gestohlenen firmenvertraulichen Daten aus dem Internet blüht wie kein anderer Wirtschaftszweig“, weiß René Reutter, Abteilungsleiter für Informations- und Telekommunikationssicherheit bei T-Systems. „Die Motivation virtueller Eindringlinge ist dabei immer stärker an finanzielle Interessen gekoppelt – Daten sind bares Geld, illegale Zugriffe ein Millionengeschäft.“ Der Trend gehe zu gezielten Angriffen auf Firmen, insbesondere Forschungs- und Entwicklungsabteilungen.

Das Problem für die Bekämpfer solcher Bedrohungen sind nicht nur die Schlupflöcher in den Anwendungen, wie sie Polyakov etwa für SAP aufzeigte. Es sind auch nicht nur die Entwickler, denen immer weniger Zeit bleibt, eine Anwendung „wasserdicht“ zu machen – falls dies überhaupt eine Anforderung ans Design ist. Es sind vor allem die Betreiber der Anwendungen selbst. „Mehr als 90 % der Angriffe wären zu verhindern gewesen, hätten Unternehmen ihre Informations- und Telekommunikationssysteme gewartet und beispielsweise Updates für Betriebssystem- und Anwendungsebene zeitnah eingespielt“, beklagt Reutter ein schon lange bekanntes, aber immer wieder anzutreffendes IT-Sicherheitsleck.

Alle befragten Softwarehersteller implementieren deshalb vorbeugend im eigenen Haus ausformulierte Prozeduren und Methoden, um Anwendungssicherheit in die Entwicklungs- und Bereitstellungsphase einzubauen. Nachträglich liefern sie regelmäßig Patches und Updates aus.

„Im Konzern Telekom wurde ein Privacy & Security Assessment (PSA) eingeführt“, berichtet Reutter. „Es ist ein integriertes Verfahren für technische Sicherheit und Datenschutz als Bestandteil der Produkt- und Systementwicklungsprozesse.“ Auch die SAP sorgt nach Angaben von Chief Product Security Officer Gerold Hübner für die Qualität des Codes: „SAP setzt ein System der gegenseitigen Kontrolle durch drei unabhängige Abteilungen ein: Eine Abteilung definiert die Sicherheitsanforderungen, die andere wendet sie in der Softwareentwicklung an und die dritte überprüft zum Schluss deren Einhaltung.“

Beide Unternehmen helfen ihren Kunden durch Teams von Sicherheitsexperten, den Fall der Fälle zu bewältigen. „Die wenigsten Firmen“, so Reutter, „verfügen über das notwendige technische Know-how, geschweige denn über die personellen Ressourcen, um ihre Netzwerke sowie Informations- und Telekommunikationsressourcen Tag und Nacht von Grund auf zu durchleuchten – gleichermaßen von innen wie von außen.“ Denn oft bemerken sie Angriffe und Datendiebstähle nicht. Und falls doch, fehlen effiziente Notfallpläne und geschulte Sicherheitsexperten.

Die Kunden sind inzwischen sensibilisiert und investieren kräftig in Sicherheitswerkzeuge. Leider denken sie dabei wie ein mittelalterlicher Burgbaumeister: Sie befestigen die Wälle, während der Feind schon im Inneren lauert. Um nämlich so lange wie möglich spionieren zu können, verhalten sich die Würmer, Viren und Trojaner möglichst still. Sie sind nur mit entsprechend ausgefeilten Lösungen aufzuspüren, die den Datenverkehr filtern und in der Lage sind, verschiedene auffällige Ereignisse miteinander zu korrelieren: „Moment mal, darf der Benutzer ABC überhaupt Dateien der Kategorie XYZ über den Port 80 verschicken?“ Diese Kategorie von Überwachungswerkzeugen bezeichnen die Experten als „System Information  & Event Management“, kurz SIEM. Solche vollautomatisch arbeitenden Lösungen sind selten preisgünstig, aber zunehmend aus der Cloud zu abonnieren.

Letzten Endes kommt es, wie so häufig, auf den Benutzer an: Wer keine Patches und Updates einspielt, muss sich nicht wundern, wenn sein Produkt oder seine Patente in anderen Weltgegenden unerlaubt benutzt werden. In einer Weltwirtschaft, die zunehmend in Netzwerken zusammenwächst, ist Vertrauen gut, Kontrolle aber meistens besser. „Was bislang bekannt wurde, ist nur die Spitze des Eisbergs“, warnt René Reutter.  

Ein Beitrag von:

  • Michael Matzer

    Michael Matzer arbeitet als Journalist, Übersetzer, Rezensent und Buchautor. Big Data und Industry of Things zählen zu seinen Schwerpunkten.

Themen im Artikel

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.