Kritische Sicherheitslücken bei SAP: „Das haben wir übersehen“

SAP, der viertgrößte Softwarehersteller der Welt, hat über sechs Jahre lang massive Sicherheitslücken in seinen Produkten gehabt: Im Update-Prozess seiner Programme ließ SAP seine Kunden entscheiden, ob diese eine unverschlüsselte oder verschlüsselte Verbindung nutzen wollten. Bei einer unverschlüsselten Verbindung lassen sich Datenpakete abfangen und manipulierte Pakete im Updateprozess einschleusen.

Doch damit nicht genug der Lücken, wie SZ.de berichtet:

Kein „HTTPS“ zu verwenden, so der Fachausdruck, war also das erste Problem. „Ein relevanter Schritt war damit unverschlüsselt“, sagt Wiegenstein. Normalerweise bemerken moderne Computersysteme zudem solche Manipulationen, weil heruntergeladene Software-Pakete mit einer digitalen Signatur versehen werden, also einer Unterschrift: Wenn der Windows-PC oder der Mac ein neues Update lädt, prüft der Computer, ob die Software tatsächlich vom Hersteller stammt und nicht verändert wurde. Doch hier war das zweite Problem: „Die Signatur bei SAP wird nicht automatisch geprüft“, sagt Professor Schinzel. Das habe man tatsächlich übersehen – „bis wir eben darauf aufmerksam gemacht wurden“, sagt SAP-Sicherheitschef Hübner.

Tätigkeitsschwerpunkt von SAP ist Software zur Abwicklung von Geschäftsprozessen in Unternehmen wie Buchführung, Controlling, Vertrieb, Einkauf, Produktion, Lagerhaltung und Personalwesen. Die Lücke dürfte vor allem für Wirtschaftsspionage interessant gewesen sein. SAP hat 300.000 Kunden, darunter viele große Unternehmen und DAX-Konzerne.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

11 Ergänzungen

  1. Wenn’s nicht die Rechtschreibfehler und deren promte Korrektur gäbe wär’s richtig traurig und ernst

  2. Soweit ich weiß kooperiert SAP mit den US-Geheimdiensten. Ich glaube es stand in den Edward Snowden Dokumenten. Daher verwundert es mich nicht das SAP die Sicherheitlücken „übersehen“ hat. Da gibt es bestimmt noch mehr „übersehene Sicherheitslücken“!
    Ein Boykott der Software von SAP wäre schon lange das mindeste.

    1. Interessante Theorie. SAP liefert aber den (ABAP) Source-Code seiner Software mit aus. Im Gegensatz zur (meist amerikanischen) Konkurenz kann also jeder nachlesen, ob und wo da „Hintertürchen“ sein sollen. Also das mit dem Boykott klingt für mich eher wir Bumerang.

  3. Das ist doch lächerlich, signierte Updates werden unter Linux schon seit es Debian gibt verwendet. Das ein Konzern wie SAP erst jetzt darauf kommt finde ich schon einigermaßen verwunderlich. Was haben die in den letzten 15 Jahren gemacht ? Geschlafen ?

    1. Nicht geschlafen, sondern abkassiert ;)

      Desto besser es im Vertrieb läuft, desto mieser läuft es in der IT – zumindest meistens…

  4. Hm, habt ihr schon mal darüber nachgedacht, wie komplex die Bürokratie in Deutschland ist und wie hilfreich die Menschen von SAP sind?
    Wer blickt den bei dem Bürokratiechaos überhaupt noch durch? Politiker nicht, die kommen schon in ihren eigenen Ressorts nicht zurecht. Das ist medial belegt.
    Holt Euch einen SAP Berater ins Haus, wenn eure Bürokratie überbordend ist. Leider blickt das nicht jeder Beamte und meint noch weitere zusätzliche komplexe Arbeitsschritte einführen zu müssen.
    Wo leben wir heute? Oder darf man das schon nicht mehr fragen?
    Manchmal darf man das nicht, das habe ich auch erlebt.
    Lieben Gruß SUSI

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.