Sicherheit von SAP-Systemen ist nicht nur „Einstellungssache“

Gezielte Spionage-Attacken auf SAP verhindern

Seite: 4/5

Firma zum Thema

Der Default ist kein guter Ratgeber

Hingegen keine gute Idee ist es, die herstellerseitigen Standardeinstellungen und -services unbedacht beizubehalten. Aus der Hacker-Perspektive stellen diese günstige Einfallstore dar, die ohne viel Aufwand ausgenutzt werden können, um einen Zugang zu SAP-Systemen und -Anwendungen zu erlangen.

Allein 1.300 sicherheitskritische Einstellungen pro SAP-System zählt Patrick Boch, ein Kollege von Wiegenstein, der für eine sicherheitsbewusste Vornahme dieser Einstellungen wirbt und seinen Kunden dazu rät, nicht benötigte Anwendungen und Dienste zu deaktivieren.

Bildergalerie

Als prominentes Beispiel verweist Boch auf den sogenannten „Dilbert-Dienst“, den Sicherheitsforscher vor zwei Jahren in produktiven SAP-Anwendungen ausfindig gemacht hatten. Benannt nach der berühmten Comic-Figur handelte es sich um einen inoffiziellen SAP-Testservice, der vom Internet aus ohne weitere Berechtigungsprüfung via XML-Schnittstelle abgefragt werden konnte und als Antwort lustige Dilbert-Anekdoten zurückgab.

„Vereinfacht dargestellt“, führt Boch aus, „konnte durch diese Schwachstelle schadhafter XML-Code ins System eingeschleust und somit unbemerkt ein ‚Tunnel‘ errichtet werden, der es einem Hacker ermöglicht, die weitere Infrastruktur eines SAP-Systems zu kompromittieren.“

Boch beobachtet häufig bei seinen SAP-Kunden eine Art Leichtsinn im Glauben daran, SAP-Systeme könnten alleine durch Firewalls und eine strikte Berechtigungsvergabe ausreichend geschützt werden: „Der Dilbert-Dienst ist keine Ausnahme. Es gibt eine Vielzahl solcher Einstellungen und Dienste, die eine potentielle Angriffsfläche bieten, selbst wenn sie weit hinter einer Firewall betrieben werden.“

(ID:42658220)