Unternehmenssoftware 16.01.2004, 18:28 Uhr

SAP gerät ins Visier der Sicherheitstester

VDI nachrichten, Berlin, 16. 1. 04 -Nach Microsofts Windows gerät nun auch die komplexe Welt der Unternehmenssoftware von SAP verstärkt ins Visier von Hackern. Die gewisse Schonzeit, welche den Walldorfern die Komplexität und geringe Transparenz ihrer R/3-Standardsoftware gebracht hat, ist vorbei.

SAP wird für Hacker immer interessanter – das war der allgemeine Tenor auf dem Chaos Communication Congress in Berlin zwischen den Jahren, dem größten europäischen Hackertreff. Dort führten Experten der Organisation Phenoelit erstmals umfangreiche Schwachstellen in Internetservern von SAP in Verbindung mit gängigen Windows-Betriebssystemen vor.
„Daneben basteln auch einige andere Gruppen daran, die sich aus der Verknüpfung von immer mehr Warenwirtschaftssystemen mit dem Internet ergebenden lohnende Ziele intensiven Sicherheitsprüfungen zu unterziehen“, weiß Frank Rieger vom Chaos Computer Club (CCC). Das liegt seiner Ansicht nach auch daran, dass viele Informatiker angesichts der Branchenflaute Fortbildungen für SAP-Systeme absolviert haben. Es sei daher auch denkbar, dass die R/3-Sprache ABAB (Advanced Business Application Programming) 2004 verstärkt von Virenschreibern genutzt werde.
Phenoelit hat einen so genannten Exploit, eine Demo-Software der Sicherheitslücken, veröffentlicht. Das Programm produziert ferngesteuert vier Speicherüberflutungen (Buffer Overflows) in einem unter Windows laufenden Internet Transaction Server der Walldorfer. Dabei wird beispielsweise das Eingabefeld für Inhalte im gängigen Webprotokoll HTTP kompromittiert und in einem zweiten Schritt auch der als Middleware fungierende AGAte-Dienst von SAP fernsteuerbar. Der kommuniziert mit dem im Hintergrund laufenden Warenwirtschaftssystem R/3, das so manipulierbar wird.
Vergleichbare Verwundbarkeiten weist der Web Application Server von SAP auf, so dass Hacker auch die für zahlreiche Webshops eingesetzte Lösung mySAP angreifen konnten. Es sei möglich, erläuterte ein unter dem Pseudonym FX bekanntes Mitglied von Phenoelit, den gesamten Mittelbau von darauf beruhenden Onlinegeschäften zu kontrollieren: „Euch gehört die gesamte Maschine“, so der Programmierer gegenüber der staunenden Sicherheitsgemeinde. Hacker könnten damit dem Lieblingspolizisten Tausende von Luxusartikeln bestellen oder sich umfangreiches Datenmaterial besorgen.
Die Angreifbarkeit der SAP-Systeme beruht letztlich auf Schwächen in Microsoft Windows, dessen bekannten Angriffspunkte sich die Experten zunutze machten. Unter Linux oder Unix laufende Server der Walldorfer sind bisher nicht von den Problemen betroffen. Ein SAP-Sprecher versicherte gegenüber den VDI nachrichten, „dass die Angelegenheit mit drei veröffentlichten Hinweisen inzwischen gelöst ist“.
SAP lege Wert darauf, durch einen „dezidierten Sicherheitsprozess“ und „proaktive Informationen“ Angriffsflächen zu minimieren und im Notfall schnellstmöglich zu beseitigen. Für FX, der die mangelnde Informationspolitik der Walldorfer kritisierte, ist die Lehre dagegen klar: „Nur weil eine Plattform obskur ist und eine Menge undokumentierter Sachen benutzt, bedeutet das nicht, dass sie nicht kompromittierbar ist.“STEFAN KREMPL

Ein Beitrag von:

  • Stefan Krempl

Themen im Artikel

Stellenangebote im Bereich Softwareentwicklung

BAM - Bundesanstalt für Materialforschung und -prüfung-Firmenlogo
BAM - Bundesanstalt für Materialforschung und -prüfung Wissenschaftliche Mitarbeiter*innen (m/w/d) Automatisierungstechnik oder Data Science Engineering der Fachrichtung Elektrotechnik, Informatik / Verfahrenstechnik Berlin-Lichterfelde
Rohde & Schwarz-Firmenlogo
Rohde & Schwarz Software-Entwicklungsingenieur (m/w/d) Vektorielle Netzwerkanalyse München
Uniper SE-Firmenlogo
Uniper SE Working student Perfomance Team Gas Turbine Fleet (m/f/d) Düsseldorf
Airbus-Firmenlogo
Airbus FCAS2021: Information System Solution Architect (d/m/f) (Open) Manching
Airbus-Firmenlogo
Airbus 3D IS Application Developer for Configuration & Documentation Management Systems (m/f/d) Manching
in-tech GmbH-Firmenlogo
in-tech GmbH Softwareentwickler C++ im Automotive Umfeld (m/w/d) verschiedene Standorte
in-tech GmbH-Firmenlogo
in-tech GmbH Entwicklungsingenieur / Systemingenieur MBSE (m/w/d) Leipzig, Ingolstadt
Capgemini -Digital Engineering and Manufacturing Services-Firmenlogo
Capgemini -Digital Engineering and Manufacturing Services DevOps Engineer (w/m/d) München
JH Norderstedt-Firmenlogo
JH Norderstedt Ingenieur (m/w/d) Elektrotechnik Simulation von Fahrzeugen / Komponenten Norderstedt
Excellence AG-Firmenlogo
Excellence AG Embedded Softwareentwickler (m/w/d) deutschlandweit

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.