17.09.2014, 15:41 Uhr

Sicherheitslücken in SAP ERP

Eine typische SAP-Installation enthält im Mittel etwa 2200 Sicherheitslücken, sagt Markus Schuhmacher von Virtualforge. Er demonstrierte live, wie man sich recht einfach Zugang zum SAP ERP verschafft und Daten manipuliert.
Bei SAP ERP kann in Sachen Sicherheit einiges schief gehen, und dann tut es richtig weh. Dieser Meinung ist ist Markus Schuhmacher, CEO der Security-Spezialistin Virtualforge. Schuhmacher sprach auf dem Ekho-Roundtable am Dienstagabend in Zürich, und nahm einen längeren Anlauf. 248500 Kunden-Unternehmen weltweit benutzen Software aus Walldorf. Damit produzieren Automobilfabrikanten 77000 Fahrzeuge pro Tag. SAP Software bewegt, direkt oder indirekt, 1,1 Millionen Passagiere pro Jahr und publiziert 52 Prozent aller Filme. Last but not least hängt etwa 72 Prozent der weltweiten Bierproduktion von der Software aus Walldorf ab. Wenn etwas schief läuft, dann tut es richtig weh. Und die Chancen dafür scheinen leider recht gut zu stehen. Virtualforge hat den Sourcecode von 171 SAP-Kunden per Software auf Sicherheitslücken untersucht. Jede SAP-Implementation der Kunden besteht aus etwa 2,2 Millionen Codezeilen. Das Ergebnis des Sicherheitschecks: Im Durchschnitt enthalten 1000 Codezeilen einen potenziellen Programmierfehler (critical issue), also eine Ungenauigkeit, die als Einfallstor für Attacken dienen könnte. Bei 2,2 Millionen Zeilen macht das 2200 Sicherheitslücken pro SAP-Installation in einem typischen Schweizer Anwenderunternehmen.

SAP Login aushebeln

Schuhmacher demonstrierte im Live-Hack, wie man sich per SQL-Injection Zugang zum System verschafft, um dort Daten abzurufen oder sogar zu verändern. Als erster Schritt diente ihm eine simple Google-Suche nach "SAP Login". Viele Kunden stellen für ihre Anwender frei zugängliche Login-Portale im Web zur Verfügung, auf die man mit einem einfachen Brwoser zugreifen kann. Danach brachte bereits ein einfaches Apostroph im Eingabefeld den Parser im Hintergrund ins Schleudern und produzierte eine Fehlermeldung, die professionellen Eindringlingen Hinweise für das weitere Hacking gibt. Als Sicherheitsrisiko bewertet Schuhmacher insbesondere SAPs proprietäre Programmiersprache Abap, im Wesentlichen eine Interpretersprache, deren Sourcecode im Klartext auf den Servern des Kunden vorliegt. Hat sich ein Eindringling erst einmal Zugang zum System verschafft, kann er Abap-Quellcode verändern, zu seinen Gunsten manipulieren und im schlimmsten Fall das gesamte SAP-System lahmlegen.

Abap-Quellcode: 60 Prozent überflüssig

Natürlich stellt sich die Frage, ob es - wie auf einem vorbereiteten "Live"-Hacking - wirklich so einfach ist, ein SAP-System zu kapern. Ein weiterer Fakt aber brachte die Zuhörer ins Nachdenken. Schuhmacher erzählte von einem Kunden, bei dem 60 Prozent des SAP-Sourcecodes gar nicht benutzt wurden und ergo gelöscht werden konnte, ohne die Funktionsweise des Systems zu beeinträchtigen. Mit dem gelöschten Quellcode sind dann praktischerweise auch die darin enthaltenen Sicherheitslücken - eine auf 1000 Zeilen - beseitigt. Zwar sei die Marke von 60 Prozent ein Extremfall. Im Durchschnitt seien jedoch, so schätzt Schuhmacher, etwa 20 Prozent der Programmierzeilen einer SAP-Implementation überflüssig. Sie werden nicht benutzt, erhöhen lediglich das Sicherheitsrisiko und senken die Performance.



Das könnte Sie auch interessieren