Unternehmenssoftware 16.01.2004, 18:28 Uhr

SAP gerät ins Visier der Sicherheitstester

VDI nachrichten, Berlin, 16. 1. 04 -Nach Microsofts Windows gerät nun auch die komplexe Welt der Unternehmenssoftware von SAP verstärkt ins Visier von Hackern. Die gewisse Schonzeit, welche den Walldorfern die Komplexität und geringe Transparenz ihrer R/3-Standardsoftware gebracht hat, ist vorbei.

SAP wird für Hacker immer interessanter – das war der allgemeine Tenor auf dem Chaos Communication Congress in Berlin zwischen den Jahren, dem größten europäischen Hackertreff. Dort führten Experten der Organisation Phenoelit erstmals umfangreiche Schwachstellen in Internetservern von SAP in Verbindung mit gängigen Windows-Betriebssystemen vor.
„Daneben basteln auch einige andere Gruppen daran, die sich aus der Verknüpfung von immer mehr Warenwirtschaftssystemen mit dem Internet ergebenden lohnende Ziele intensiven Sicherheitsprüfungen zu unterziehen“, weiß Frank Rieger vom Chaos Computer Club (CCC). Das liegt seiner Ansicht nach auch daran, dass viele Informatiker angesichts der Branchenflaute Fortbildungen für SAP-Systeme absolviert haben. Es sei daher auch denkbar, dass die R/3-Sprache ABAB (Advanced Business Application Programming) 2004 verstärkt von Virenschreibern genutzt werde.
Phenoelit hat einen so genannten Exploit, eine Demo-Software der Sicherheitslücken, veröffentlicht. Das Programm produziert ferngesteuert vier Speicherüberflutungen (Buffer Overflows) in einem unter Windows laufenden Internet Transaction Server der Walldorfer. Dabei wird beispielsweise das Eingabefeld für Inhalte im gängigen Webprotokoll HTTP kompromittiert und in einem zweiten Schritt auch der als Middleware fungierende AGAte-Dienst von SAP fernsteuerbar. Der kommuniziert mit dem im Hintergrund laufenden Warenwirtschaftssystem R/3, das so manipulierbar wird.
Vergleichbare Verwundbarkeiten weist der Web Application Server von SAP auf, so dass Hacker auch die für zahlreiche Webshops eingesetzte Lösung mySAP angreifen konnten. Es sei möglich, erläuterte ein unter dem Pseudonym FX bekanntes Mitglied von Phenoelit, den gesamten Mittelbau von darauf beruhenden Onlinegeschäften zu kontrollieren: „Euch gehört die gesamte Maschine“, so der Programmierer gegenüber der staunenden Sicherheitsgemeinde. Hacker könnten damit dem Lieblingspolizisten Tausende von Luxusartikeln bestellen oder sich umfangreiches Datenmaterial besorgen.
Die Angreifbarkeit der SAP-Systeme beruht letztlich auf Schwächen in Microsoft Windows, dessen bekannten Angriffspunkte sich die Experten zunutze machten. Unter Linux oder Unix laufende Server der Walldorfer sind bisher nicht von den Problemen betroffen. Ein SAP-Sprecher versicherte gegenüber den VDI nachrichten, „dass die Angelegenheit mit drei veröffentlichten Hinweisen inzwischen gelöst ist“.
SAP lege Wert darauf, durch einen „dezidierten Sicherheitsprozess“ und „proaktive Informationen“ Angriffsflächen zu minimieren und im Notfall schnellstmöglich zu beseitigen. Für FX, der die mangelnde Informationspolitik der Walldorfer kritisierte, ist die Lehre dagegen klar: „Nur weil eine Plattform obskur ist und eine Menge undokumentierter Sachen benutzt, bedeutet das nicht, dass sie nicht kompromittierbar ist.“STEFAN KREMPL

Ein Beitrag von:

  • Stefan Krempl

Themen im Artikel

Stellenangebote im Bereich Softwareentwicklung

Northrop Grumman LITEF GmbH-Firmenlogo
Northrop Grumman LITEF GmbH Softwareingenieur (m/w/d) Produktentwicklung Freiburg
TECCON Consulting&Engineering GmbH-Firmenlogo
TECCON Consulting&Engineering GmbH Softwareentwickler (m/w/d) Java / Spring / Hibernate / Maven keine Angabe
h.a.l.m. elektronik GmbH-Firmenlogo
h.a.l.m. elektronik GmbH Application Engineer (m/w/d) Solarzellen EL-Qualitätskontrolle mittels Machine-Learning Frankfurt am Main
Bertrandt Services GmbH-Firmenlogo
Bertrandt Services GmbH Embedded Software Entwickler (m/w/d) keine Angabe
Bertrandt Services GmbH-Firmenlogo
Bertrandt Services GmbH Software Entwickler (m/w/d) keine Angabe
Fraunhofer-Institut für Hochfrequenzphysik und Radartechnik FHR-Firmenlogo
Fraunhofer-Institut für Hochfrequenzphysik und Radartechnik FHR Entwicklungsingenieur*in Radar Software-Framework TIRY-System: Tracking and Imaging Radar Wachtberg bei Bonn
EschmannStahl GmbH-Firmenlogo
EschmannStahl GmbH Ingenieur für Automatisierungstechnik (M/W/D) Reichshof-Wehnrath
Wolf GmbH-Firmenlogo
Wolf GmbH Entwicklungsingenieur (m/w/d) Softwareentwicklung Mainburg
Torqeedo GmbH-Firmenlogo
Torqeedo GmbH Entwicklungsingenieur Embedded Software (m/w/d) für elektrische Antriebssysteme Gilching
AGCO GmbH-Firmenlogo
AGCO GmbH Softwareentwickler (m/w/d) elektronische Steuergeräte Marktoberdorf

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.