Unternehmenssoftware 16.01.2004, 18:28 Uhr

SAP gerät ins Visier der Sicherheitstester

VDI nachrichten, Berlin, 16. 1. 04 -Nach Microsofts Windows gerät nun auch die komplexe Welt der Unternehmenssoftware von SAP verstärkt ins Visier von Hackern. Die gewisse Schonzeit, welche den Walldorfern die Komplexität und geringe Transparenz ihrer R/3-Standardsoftware gebracht hat, ist vorbei.

SAP wird für Hacker immer interessanter – das war der allgemeine Tenor auf dem Chaos Communication Congress in Berlin zwischen den Jahren, dem größten europäischen Hackertreff. Dort führten Experten der Organisation Phenoelit erstmals umfangreiche Schwachstellen in Internetservern von SAP in Verbindung mit gängigen Windows-Betriebssystemen vor.
„Daneben basteln auch einige andere Gruppen daran, die sich aus der Verknüpfung von immer mehr Warenwirtschaftssystemen mit dem Internet ergebenden lohnende Ziele intensiven Sicherheitsprüfungen zu unterziehen“, weiß Frank Rieger vom Chaos Computer Club (CCC). Das liegt seiner Ansicht nach auch daran, dass viele Informatiker angesichts der Branchenflaute Fortbildungen für SAP-Systeme absolviert haben. Es sei daher auch denkbar, dass die R/3-Sprache ABAB (Advanced Business Application Programming) 2004 verstärkt von Virenschreibern genutzt werde.
Phenoelit hat einen so genannten Exploit, eine Demo-Software der Sicherheitslücken, veröffentlicht. Das Programm produziert ferngesteuert vier Speicherüberflutungen (Buffer Overflows) in einem unter Windows laufenden Internet Transaction Server der Walldorfer. Dabei wird beispielsweise das Eingabefeld für Inhalte im gängigen Webprotokoll HTTP kompromittiert und in einem zweiten Schritt auch der als Middleware fungierende AGAte-Dienst von SAP fernsteuerbar. Der kommuniziert mit dem im Hintergrund laufenden Warenwirtschaftssystem R/3, das so manipulierbar wird.
Vergleichbare Verwundbarkeiten weist der Web Application Server von SAP auf, so dass Hacker auch die für zahlreiche Webshops eingesetzte Lösung mySAP angreifen konnten. Es sei möglich, erläuterte ein unter dem Pseudonym FX bekanntes Mitglied von Phenoelit, den gesamten Mittelbau von darauf beruhenden Onlinegeschäften zu kontrollieren: „Euch gehört die gesamte Maschine“, so der Programmierer gegenüber der staunenden Sicherheitsgemeinde. Hacker könnten damit dem Lieblingspolizisten Tausende von Luxusartikeln bestellen oder sich umfangreiches Datenmaterial besorgen.
Die Angreifbarkeit der SAP-Systeme beruht letztlich auf Schwächen in Microsoft Windows, dessen bekannten Angriffspunkte sich die Experten zunutze machten. Unter Linux oder Unix laufende Server der Walldorfer sind bisher nicht von den Problemen betroffen. Ein SAP-Sprecher versicherte gegenüber den VDI nachrichten, „dass die Angelegenheit mit drei veröffentlichten Hinweisen inzwischen gelöst ist“.
SAP lege Wert darauf, durch einen „dezidierten Sicherheitsprozess“ und „proaktive Informationen“ Angriffsflächen zu minimieren und im Notfall schnellstmöglich zu beseitigen. Für FX, der die mangelnde Informationspolitik der Walldorfer kritisierte, ist die Lehre dagegen klar: „Nur weil eine Plattform obskur ist und eine Menge undokumentierter Sachen benutzt, bedeutet das nicht, dass sie nicht kompromittierbar ist.“STEFAN KREMPL

Ein Beitrag von:

  • Stefan Krempl

Themen im Artikel

Stellenangebote im Bereich Softwareentwicklung

KWS Berlin GmbH-Firmenlogo
KWS Berlin GmbH SPS-Entwickler / Softwareentwickler für Steuerungssysteme (m/w/d) Einbeck
THD - Technische Hochschule Deggendorf-Firmenlogo
THD - Technische Hochschule Deggendorf Professur (W2) für das Lehrgebiet "Energieinformatik" Deggendorf
RTB GmbH & Co. KG-Firmenlogo
RTB GmbH & Co. KG Senior-Entwicklungs-Ingenieur/in Embedded-Software (m/w/d) Bad Lippspringe, Kamen
SKF GmbH-Firmenlogo
SKF GmbH Fertigungsingenieur (m/w/d) Betriebstechnik (OT) / Digitalisierung Schweinfurt
B. Braun Melsungen AG-Firmenlogo
B. Braun Melsungen AG Applikationsingenieur (w/m/d) MES Melsungen
MED-EL Medical Electronics-Firmenlogo
MED-EL Medical Electronics Development Engineer, Signal Processing (m/f) Innsbruck (Österreich)
Deutsches Elektronen-Synchrotron DESY-Firmenlogo
Deutsches Elektronen-Synchrotron DESY Software Engineer Beamline P11 (m/f/d) Hamburg
Murrelektronik GmbH-Firmenlogo
Murrelektronik GmbH Applikationsingenieur / -Techniker (m/w/d) Kirchheim/Teck, Oppenweiler / Mobile working / remote
Innoma System GmbH-Firmenlogo
Innoma System GmbH Softwareentwickler*in (m/w/d) Schwalbach-Hülzweiler
OPTIMA packaging group GmbH-Firmenlogo
OPTIMA packaging group GmbH HMI / SCADA Programmierer (m/w/d) Schwäbisch Hall

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.