SAP, der viertgrößte Softwarehersteller der Welt, hat über sechs Jahre lang massive Sicherheitslücken in seinen Produkten gehabt: Im Update-Prozess seiner Programme ließ SAP seine Kunden entscheiden, ob diese eine unverschlüsselte oder verschlüsselte Verbindung nutzen wollten. Bei einer unverschlüsselten Verbindung lassen sich Datenpakete abfangen und manipulierte Pakete im Updateprozess einschleusen.
Doch damit nicht genug der Lücken, wie SZ.de berichtet:
Kein „HTTPS“ zu verwenden, so der Fachausdruck, war also das erste Problem. „Ein relevanter Schritt war damit unverschlüsselt“, sagt Wiegenstein. Normalerweise bemerken moderne Computersysteme zudem solche Manipulationen, weil heruntergeladene Software-Pakete mit einer digitalen Signatur versehen werden, also einer Unterschrift: Wenn der Windows-PC oder der Mac ein neues Update lädt, prüft der Computer, ob die Software tatsächlich vom Hersteller stammt und nicht verändert wurde. Doch hier war das zweite Problem: „Die Signatur bei SAP wird nicht automatisch geprüft“, sagt Professor Schinzel. Das habe man tatsächlich übersehen – „bis wir eben darauf aufmerksam gemacht wurden“, sagt SAP-Sicherheitschef Hübner.
Tätigkeitsschwerpunkt von SAP ist Software zur Abwicklung von Geschäftsprozessen in Unternehmen wie Buchführung, Controlling, Vertrieb, Einkauf, Produktion, Lagerhaltung und Personalwesen. Die Lücke dürfte vor allem für Wirtschaftsspionage interessant gewesen sein. SAP hat 300.000 Kunden, darunter viele große Unternehmen und DAX-Konzerne.