Lücke bei SAP-Software: Hunderttausende Unternehmen gefährdet

31. März 2016, 12:30
8 Postings

Deutsche Behörden stufen die Mängel als "kritisch" ein, erst seit Oktober behoben

Sicherheitsforscher haben massive Schwachstellen beim Update-Prozess von SAP-Software aufgedeckt. Technisch hochversierte Angreifer hätten durch sie Kundendaten ausspionieren können. SAP ist einer der größten IT-Konzerne weltweit. Zwar ist die Firma im Konsumentenbereich kaum bekannt, viele Unternehmen vertrauen jedoch auf die Softwaredienste des deutschen SAP. So läuft jede zweite Anwendung bei Finanzdiensten über SAP-Programme, auch Geheimdienste nutzen SAP-Datenbanken wie Hana.

"Übersehen"

Laut Hacker Andreas Wiegenstein ist der Update-Prozess für diese Anwendungen nicht ausreichend gesichert worden. Kunden konnten Aktualisierungen auch unverschlüsselt erhalten. Ebenso gab es keine automatische Prüfung der Signatur; es musste also manuell überprüft werden, ob die Programme tatsächlich von SAP stammen. "Wir haben das tatsächlich übersehen", sagt SAP-Sicherheitschef Gerold Hübner zur Süddeutschen Zeitung. Seit Oktober sind die Lücken allerdings gestopft.

"Kritische Lücke"

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von einer "kritischen" Lücke, SAP selbst hatte der Angelegenheit "hohe Priorität" eingeräumt. Allerdings sind bisher keine Angriffe bekannt. Deren Nachweis gilt jedoch als schwierig. Genutzt haben könnten die Mängel vor allem Geheimdienste, die Industriespionage betreiben. So ist durch die Snowden-Unterlagen bekannt, dass die NSA – auch mit Hilfe des deutschen BND – ausländische Firmen überwacht hat. (fsc, 31.3.2016)

Links

SAP

SZ

  • Hunderttausende Unternehmen weltweit vertrauen auf SAP-Anwendungen
    foto: reuters/mcnaughton

    Hunderttausende Unternehmen weltweit vertrauen auf SAP-Anwendungen

Share if you care.