Kritische Sicherheitslücken bei SAP: „Das haben wir übersehen“

SAP, der viertgrößte Softwarehersteller der Welt, hat über sechs Jahre lang massive Sicherheitslücken in seinen Produkten gehabt: Im Update-Prozess seiner Programme ließ SAP seine Kunden entscheiden, ob diese eine unverschlüsselte oder verschlüsselte Verbindung nutzen wollten. Bei einer unverschlüsselten Verbindung lassen sich Datenpakete abfangen und manipulierte Pakete im Updateprozess einschleusen.

Doch damit nicht genug der Lücken, wie SZ.de berichtet:

Kein „HTTPS“ zu verwenden, so der Fachausdruck, war also das erste Problem. „Ein relevanter Schritt war damit unverschlüsselt“, sagt Wiegenstein. Normalerweise bemerken moderne Computersysteme zudem solche Manipulationen, weil heruntergeladene Software-Pakete mit einer digitalen Signatur versehen werden, also einer Unterschrift: Wenn der Windows-PC oder der Mac ein neues Update lädt, prüft der Computer, ob die Software tatsächlich vom Hersteller stammt und nicht verändert wurde. Doch hier war das zweite Problem: „Die Signatur bei SAP wird nicht automatisch geprüft“, sagt Professor Schinzel. Das habe man tatsächlich übersehen – „bis wir eben darauf aufmerksam gemacht wurden“, sagt SAP-Sicherheitschef Hübner.

Tätigkeitsschwerpunkt von SAP ist Software zur Abwicklung von Geschäftsprozessen in Unternehmen wie Buchführung, Controlling, Vertrieb, Einkauf, Produktion, Lagerhaltung und Personalwesen. Die Lücke dürfte vor allem für Wirtschaftsspionage interessant gewesen sein. SAP hat 300.000 Kunden, darunter viele große Unternehmen und DAX-Konzerne.

No Tracking. No Paywall. No Bullshit.

Unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze jetzt unsere Arbeit mit einer Spende.

Jetzt spenden

11 Ergänzungen

  1. Soweit ich weiß kooperiert SAP mit den US-Geheimdiensten. Ich glaube es stand in den Edward Snowden Dokumenten. Daher verwundert es mich nicht das SAP die Sicherheitlücken „übersehen“ hat. Da gibt es bestimmt noch mehr „übersehene Sicherheitslücken“!
    Ein Boykott der Software von SAP wäre schon lange das mindeste.

    1. Interessante Theorie. SAP liefert aber den (ABAP) Source-Code seiner Software mit aus. Im Gegensatz zur (meist amerikanischen) Konkurenz kann also jeder nachlesen, ob und wo da „Hintertürchen“ sein sollen. Also das mit dem Boykott klingt für mich eher wir Bumerang.

  2. Das ist doch lächerlich, signierte Updates werden unter Linux schon seit es Debian gibt verwendet. Das ein Konzern wie SAP erst jetzt darauf kommt finde ich schon einigermaßen verwunderlich. Was haben die in den letzten 15 Jahren gemacht ? Geschlafen ?

    1. Nicht geschlafen, sondern abkassiert ;)

      Desto besser es im Vertrieb läuft, desto mieser läuft es in der IT – zumindest meistens…

  3. Hm, habt ihr schon mal darüber nachgedacht, wie komplex die Bürokratie in Deutschland ist und wie hilfreich die Menschen von SAP sind?
    Wer blickt den bei dem Bürokratiechaos überhaupt noch durch? Politiker nicht, die kommen schon in ihren eigenen Ressorts nicht zurecht. Das ist medial belegt.
    Holt Euch einen SAP Berater ins Haus, wenn eure Bürokratie überbordend ist. Leider blickt das nicht jeder Beamte und meint noch weitere zusätzliche komplexe Arbeitsschritte einführen zu müssen.
    Wo leben wir heute? Oder darf man das schon nicht mehr fragen?
    Manchmal darf man das nicht, das habe ich auch erlebt.
    Lieben Gruß SUSI

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.