Suchen

Lässt sich ein vernetztes Land komplett lahmlegen?

Strategisches Angriffsziel SAP

Seite: 2/5

Fehler bedrohen Datenbanken und Betriebssysteme

Beute lässt sich nicht nur mit Trojanern machen; zum Diebeswerkzeug des Informationszeitalters gehören auch noch SQL-Injektionen und Bedrohungen durch "Command Injection" oder „Directory Traversals“ – um nur mal einige Möglichkeiten zu nennen.

Nun hat Virtual Forge, ein Heidelberger Sicherheitsunternehmen mit Ausrichtung auf SAP, selbst erstellten Quellcode von über 88 Kunden-Anwendungen in der SAP Programmiersprache „ABAP“ untersucht. Dabei fand sich pro 1000 Zeilen durchschnittlich ein „kritischer“ Fehler.

Bildergalerie

Bildergalerie mit 18 Bildern

Ein kleiner Fehler im Code kann dabei große Konsequenzen nach sich ziehen: Die Angreifer können – so Virtual Forge – „SAP_All“-Rechte erhalten. Und: Wer „alles“ in SAP dürfe, könne dann noch dazu die damit verbundene Datenbank und sogar das Betriebssystem manipulieren.

Das schafft vielfältige Risiken: Am Donnerstag, 8. Januar 2014, hat der Grafikspezialist Nvidia seine mit SAP NetWeaver betriebene Kunden-Website vom Netz genommen, nachdem ein Schwäche in diesem Unterbau („Backend“) öffentlich wurde. Das Loch soll bereits drei Jahre lang bestanden haben und wurde auch von SAP gestopft – nur hat Nvidia den Flicken angeblich nicht eingebaut.

Im November vergangenen Jahres wurde bekannt, dass Unberechtigte auf eine Datenbank der englischen Polizei hätten zugreifen können. Dadurch hätten Interessierte die Privatadressen von Führungskräften der Behörde herausfinden können. Der Fehler sei allerdings nicht bei SAP sondern bei denen zu suchen, die die Walldorfer Software implementiert hätten.

Im Sommer 2012 soll ein Schädling namens „Shamoon“ 30.000 Computer von Saudi Aramco, dem weltgrößten Ölförderers mit Sitz in Saudi Arabien „komplett zerstört“ haben. Die Angreifer wurden im Iran vermutet. Der Sicherheitsberater Jeffrey Carr berichtete seinerzeit von einem Insider, der Saudi Aramco für die Beschäftigung von Zeitarbeitsfirmen kritisierte, die ihrerseits wiederum Billiglöhner in Asien angeheuert haben sollen.

Diese Billiglöhner seien für Angebote Dritter nur allzu empfänglich. Außerdem soll Saudi Aramco Sicherheitsfunktionen mit SAP-basierten betrieblichen Informationen verknüpft haben. Steffen Bukold, Analyst von Energycomment, einem Beratungshaus für Ölmärkte in Hamburg glaubt, es wäre der „GAU in der Ölindustrie", falls Saudi Aramco zum Stillstand käme.

(ID:42494798)