Sicherheitsforscher haben massive Schwachstellen beim Update-Prozess von SAP-Software aufgedeckt. Technisch hochversierte Angreifer hätten durch sie Kundendaten ausspionieren können. SAP ist einer der größten IT-Konzerne weltweit. Zwar ist die Firma im Konsumentenbereich kaum bekannt, viele Unternehmen vertrauen jedoch auf die Softwaredienste des deutschen SAP. So läuft jede zweite Anwendung bei Finanzdiensten über SAP-Programme, auch Geheimdienste nutzen SAP-Datenbanken wie Hana.

"Übersehen"

Laut Hacker Andreas Wiegenstein ist der Update-Prozess für diese Anwendungen nicht ausreichend gesichert worden. Kunden konnten Aktualisierungen auch unverschlüsselt erhalten. Ebenso gab es keine automatische Prüfung der Signatur; es musste also manuell überprüft werden, ob die Programme tatsächlich von SAP stammen. "Wir haben das tatsächlich übersehen", sagt SAP-Sicherheitschef Gerold Hübner zur Süddeutschen Zeitung. Seit Oktober sind die Lücken allerdings gestopft.

"Kritische Lücke"

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von einer "kritischen" Lücke, SAP selbst hatte der Angelegenheit "hohe Priorität" eingeräumt. Allerdings sind bisher keine Angriffe bekannt. Deren Nachweis gilt jedoch als schwierig. Genutzt haben könnten die Mängel vor allem Geheimdienste, die Industriespionage betreiben. So ist durch die Snowden-Unterlagen bekannt, dass die NSA – auch mit Hilfe des deutschen BND – ausländische Firmen überwacht hat. (fsc, 31.3.2016)