Lässt sich ein vernetztes Land komplett lahmlegen? Strategisches Angriffsziel SAP

Autor / Redakteur: Joachim Jakobs / Stephan Augsten

Wenn Unternehmen ihre Aufbau- und Ablauforganisation detailliert in einer Software abbilden, kann das die Effizienz steigern. Doch das digitalisierte Wissen ist gefährdet, vor allem wenn sich die Industrie eines ganzen Landes vernetzt. Daher ist es wichtig, die „digitalen Nervenbahnen“ von SAP in Deutschland „sauber“ zu halten.

Anbieter zum Thema

Laut der Suchmaschine ShodanHQ sind viele SAP-Anwendungen deutscher Unternehmen übers Internet erreichbar.
Laut der Suchmaschine ShodanHQ sind viele SAP-Anwendungen deutscher Unternehmen übers Internet erreichbar.
(Bild: ShodanHQ)

Im vergangenen November machte ein Trojaner namens „Shiz“ auf sich aufmerksam: Im Gegensatz zu seinem bisherigen Verhalten bedrohte die neue Variante des Schädlings nicht einfach nur Windows-Systeme, sondern hielt Ausschau nach SAP-Installationen.

Die Malware-Autoren könnten aus Shiz tatsächlich Gold gemacht haben: Mindestens 3000 SAP-Systeme sollen mit dem Internet verbunden sein, meldete die Internetzeitung TheRegister unter Berufung auf das Beratungsunternehmen Rapid7.

Ein Angriff auf SAP wäre laut Christian Kirsch, Marketing Manager bei Rapid7, nicht verwunderlich. Immerhin enthielten die Walldorfer ERP-Systeme auch Finanz-, Kunden-, Mitarbeiter und Produktionsdaten der anwendenden Unternehmen. Dessen sollten sich „248.500 Kunden in 188 Ländern“ bewusst sein, so Kirsch.

Virtuelle Daten haben einen reellen Gegenwert

Letztlich sind alle Daten von Wert für die Schattenwirtschaft – jede Information, jedes Passwort, jede PIN und jede Zugangsberechtigung bringt Bares: Das Geburtsdatum einer Person ist Kriminellen drei US-Dollar, Kreditkartendaten 1,50 Dollar und der Mädchenname einer Frau sechs Dollar wert. Eine ganze Krankenakte kostet schon 50 Dollar.

Den Grund dafür sieht die Sicherheitsfirma RSA unter anderem darin, dass die Krankenakte eine Vielzahl von Informationen (wie Adresse, Bank- und Krankenversicherten und Krankenhistorie) enthielte. Diese könnten nicht nur missbraucht, sondern auch dazu benutzt werden, um den Patienten zu erpressen.

RSA stuft hier insbesondere Besserverdienende als gefährdet ein. Der Wert einer Mitarbeiterdatenbank lässt sich etwa so kalkulieren: „∑ Datensätze * ∑ Datenfelder * Durchschnittsbetrag in Euro“.

Fehler bedrohen Datenbanken und Betriebssysteme

Beute lässt sich nicht nur mit Trojanern machen; zum Diebeswerkzeug des Informationszeitalters gehören auch noch SQL-Injektionen und Bedrohungen durch "Command Injection" oder „Directory Traversals“ – um nur mal einige Möglichkeiten zu nennen.

Nun hat Virtual Forge, ein Heidelberger Sicherheitsunternehmen mit Ausrichtung auf SAP, selbst erstellten Quellcode von über 88 Kunden-Anwendungen in der SAP Programmiersprache „ABAP“ untersucht. Dabei fand sich pro 1000 Zeilen durchschnittlich ein „kritischer“ Fehler.

Ein kleiner Fehler im Code kann dabei große Konsequenzen nach sich ziehen: Die Angreifer können – so Virtual Forge – „SAP_All“-Rechte erhalten. Und: Wer „alles“ in SAP dürfe, könne dann noch dazu die damit verbundene Datenbank und sogar das Betriebssystem manipulieren.

Das schafft vielfältige Risiken: Am Donnerstag, 8. Januar 2014, hat der Grafikspezialist Nvidia seine mit SAP NetWeaver betriebene Kunden-Website vom Netz genommen, nachdem ein Schwäche in diesem Unterbau („Backend“) öffentlich wurde. Das Loch soll bereits drei Jahre lang bestanden haben und wurde auch von SAP gestopft – nur hat Nvidia den Flicken angeblich nicht eingebaut.

Im November vergangenen Jahres wurde bekannt, dass Unberechtigte auf eine Datenbank der englischen Polizei hätten zugreifen können. Dadurch hätten Interessierte die Privatadressen von Führungskräften der Behörde herausfinden können. Der Fehler sei allerdings nicht bei SAP sondern bei denen zu suchen, die die Walldorfer Software implementiert hätten.

Im Sommer 2012 soll ein Schädling namens „Shamoon“ 30.000 Computer von Saudi Aramco, dem weltgrößten Ölförderers mit Sitz in Saudi Arabien „komplett zerstört“ haben. Die Angreifer wurden im Iran vermutet. Der Sicherheitsberater Jeffrey Carr berichtete seinerzeit von einem Insider, der Saudi Aramco für die Beschäftigung von Zeitarbeitsfirmen kritisierte, die ihrerseits wiederum Billiglöhner in Asien angeheuert haben sollen.

Diese Billiglöhner seien für Angebote Dritter nur allzu empfänglich. Außerdem soll Saudi Aramco Sicherheitsfunktionen mit SAP-basierten betrieblichen Informationen verknüpft haben. Steffen Bukold, Analyst von Energycomment, einem Beratungshaus für Ölmärkte in Hamburg glaubt, es wäre der „GAU in der Ölindustrie", falls Saudi Aramco zum Stillstand käme.

Manipulationsmöglichkeiten und „perfekte“ Angriffswaffen

Kürzlich warnte die Gesellschaft für Informatik davor, dass Geheimdienste 10.000 Server in Deutschland infiltriert haben könnten. Der Informatikerverein sieht eine „akute Gefahr für Leib und Leben der Bürgerinnen und Bürger – so besteht z.B. die Manipulationsmöglichkeit der Steuerungsdaten in Kernkraftwerken“. Das sollten wohl vor allem auch die SAP-Kunden aus der Versorgungswirtschaft zur Kenntnis nehmen, die die „SAP for Utilities“ nutzen.

Alexandr Polyakov, Technik-Chef des Russischen Sicherheitsdienstleisters ERPScan formuliert es drastisch: „Wenn ich die perfekte Cyberwaffe bauen will, greife ich das ERP-System an!“ Der Fachdienst Darkreading sieht bereits einen ganzen Schädlings-„Tsunami“ Richtung SAP Anwender rollen.

Die Schädlinge sind clever und setzen „kundenfreundlich“ auf die Automatisierung ihrer Prozesse: Seit zwei Jahren ist die Rede von Automatic-Transfer-Systemen (ATS), die ohne jede Interaktion den Bankkunden vollautomatisch Geld aus den virtuellen Taschen ziehen sollen.

Andere versuchen es mit Erpressung: Der Cryptolocker verschlüsselt die Daten seiner Opfer mit einem 256 Bit starken AES-Schlüssel. Wer die verlangten 300 Euro nicht zahlt, sieht seine Daten nicht wieder – wobei eine Zahlung auch nicht zwingend zur erhofften Entschlüsselung der Daten führt.

Die Höhe erpresserischer Forderungen richtet sich nach der wirtschaftlichen Potenz des Opfers: 300 Euro sollen Privatanwender zahlen – bei Firmen wird“s teurer: Von der Belgischen Dexia Bank wurde die Zahlung von 150.000 Euro gefordert. Falls nicht gezahlt werde, würden Kundendaten im Internet veröffentlicht, die der Bank zuvor geklaut wurden.

Angesichts einer Bilanzsumme von nur 360 Milliarden Euro dürfte so manchem Zeitgenossen die schiere Existenz des Instituts bislang entgangen sein. Die Deutsche Bank ist sechsmal so groß. Bei einem vergleichbaren Angriff würde das vermutlich bei der Höhe der Forderung berücksichtigt.

Das Sicherheitsbewusstsein der Angegriffenen

Soweit zum Niveau der Angreifer. Zum Vergleich dazu das Sicherheitsbewusstsein der Angegriffen: In der Studie „12 Years of SAP Security in Figures: A Global Survey“ (PDF) schreibt ERPScan: „Unter vielen Leute, die mit SAP arbeiten, ist der Mythos weit verbreitet, dass SAP nicht übers Internet zu erreichen sei; deshalb seien alle Schwächen nur mit Hilfe eines Insiders auszunutzbar.“

Sebastian Schinzel, Professor an der Fachhochschule Münster ergänzt: „Die Entscheider in den Unternehmen verstehen das Problem mit der Sicherheit nicht. Sie kennen ja auch nicht den Unterschied zwischen Safety und Security und meinen stattdessen, nur weil ein System funktioniert, sei es auch sicher.“

Was tut SAP zur Sensibilisierung seiner Kunden?

Auf die Frage, was der Konzern unternehme, um die Kunden für das Thema Sicherheit zu sensibilisieren, schreibt die Pressestelle in Walldorf: „Wir weisen unsere Kunden grundsätzlich immer darauf hin, dass neben einer sicheren Software und auch die richtige Integration der Systeme gewährleistet sein muss.“ Die SAP sei regelmäßig in Kontakt mit ihren Kunden und könne dadurch gezielt über sicherheitsrelevante Sachverhalte informieren.

„Zudem hat die SAP hat bei ihren Kunden dedizierte Sicherheitskontakte identifiziert, über die allgemeine Informationen zur Produktsicherheit ausgerollt werden“, so die Pressestelle weiter. „Diese Sicherheitskontakte dienen auch als direkte Ansprechpartner in dem Fall, dass eine identifizierte Sicherheitsschwachstelle durch das umgehende Einspielen einer Korrektur geschlossen werden muss.“

Wieviel Luft den Walldorfern bei der Information der Kunden über sicherheitsrelevante Sachverhalte noch bleibt, lässt sich an einer einzigen Zahl erkennen: 85 Prozent aller SAP-Router seien noch ein halbes Jahr löchrig gewesen, nachdem ein virtueller Flicken zum Stopfen angeboten worden sei, so ERPScan. Dadurch sei es möglich gewesen, in das interne Netz von etwa 4600 verschiedenen Firmen weltweit einzudringen.

Sachar Paulus, ehemaliger Leiter der Produktsicherheit bei SAP und heute Professor für Wirtschaftsinformatik der FH Brandenburg, gab bereits vor Jahren zu bedenken: "SAP arbeitet sehr hart an der Sicherheit und sie sind gut dabei, aber die Kunden müssen in der Lage sein, da hinterher zu kommen".

Kriminelle profitieren von Leistungsfähigkeit der Systeme

Der Mangel an Bewusstsein geht Hand in Hand mit einer gewaltigen Leistungsfähigkeit. Sebastian Schinzel weist darauf hin, dass mit bestimmten SAP Komponenten – etwa der "SAP NetWeaver Business Intelligence" – ein gesamtes Unternehmen einsehbar ist: Einkauf, Lager, Entwicklung, Produktion, Versand und Abrechung – alles ließe sich mit Hilfe von SAP einsehen und steuern.

Hinzu kämen branchenspezifische Anwendungen für Autohersteller, Behörden, Chemiekonzerne oder Energieversorger. Der Informatiker fürchtet um die „Existenz“ eines Konzerns, wenn Informationen mit solcher Detailtiefe an die Wettbewerber gerieten. Auch große Unternehmen müssten mit Schwierigkeiten rechnen, wenn sie Opfer von Spionage geworden seien und beispielsweise in den USA für ihr Recht kämpfen wollten.

Zum Beleg seiner Aussage verweist Schinzel auf den Windanlagenbauer Enercon. Das Unternehmen wurde vom kalifornischen Wettbewerber Kenetech ausspioniert und dessen Entwicklung unter eigenem Namen in den USA zum Patent angemeldet. Anschließend wurde Enercon der Zugang zum US-Markt verwehrt. Den Verlust bezifferte das Unternehmen 1996 auf 200 Millionen DM.

Bereits 2008 stellte Sachar Paulus fest: „Der Unterschied mit Unternehmenssoftware ist, dass die Größe der Schaufel massiv zunimmt. Wenn Du Zugang zu einem System dieser Größe hast, wird die Sicherheit kritischer. Aber besondere Sicherheitsbedenken – wie Angriffsgröße und die Schwierigkeit, ein Bewusstsein bei den Mitarbeitern zu entwickeln, die Vollständigkeit der Kontrollen, die Reife der IT Sicherheitsmethoden und -technologien – das ist überall genau das Gleiche in allen Umgebungen, in Unternehmens- und sonstigen Anwendungen.“

Wer über einen „Generalschlüssel“ zu SAP verfügt, kann mit ein wenig Fantasie Rückschlüsse auf die Leistungsfähigkeit eines Unternehmens. Das jedenfalls glaubt Paulus. ERPScan geht noch einen Schritt weiter: „Stellen Sie sich vor, wie gefährlich es sein könnte, wenn einer die Kontrolle über alle SAP-Systeme eines ganzen Landes erhielte.“

SAP träumt von Sensoren für das Internet der Dinge

Die Antwort auf die Frage, ob unwissende SAP-Anwender ein ganzes Land destabilisieren könnten, blieb SAP bislang schuldig. Stattdessen wirbt Walldorf blumig fürs „Internet der Dinge“.

„Alltägliche Gegenstände und Maschinen, sogar Häuser und Gewerbegebäude, kommunizieren über eingebaute Sensoren miteinander via Internet. Dieses Zukunftsszenario liegt nicht so fern, wie es klingen mag. SAP Research hat bereits mit der Arbeit am so genannten Internet der Dinge begonnen – einem Aspekt des „Future Internet“.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:42494798)