Lässt sich ein vernetztes Land komplett lahmlegen?

Strategisches Angriffsziel SAP

| Autor / Redakteur: Joachim Jakobs / Stephan Augsten

Fehler bedrohen Datenbanken und Betriebssysteme

Beute lässt sich nicht nur mit Trojanern machen; zum Diebeswerkzeug des Informationszeitalters gehören auch noch SQL-Injektionen und Bedrohungen durch "Command Injection" oder „Directory Traversals“ – um nur mal einige Möglichkeiten zu nennen.

Nun hat Virtual Forge, ein Heidelberger Sicherheitsunternehmen mit Ausrichtung auf SAP, selbst erstellten Quellcode von über 88 Kunden-Anwendungen in der SAP Programmiersprache „ABAP“ untersucht. Dabei fand sich pro 1000 Zeilen durchschnittlich ein „kritischer“ Fehler.

Ein kleiner Fehler im Code kann dabei große Konsequenzen nach sich ziehen: Die Angreifer können – so Virtual Forge – „SAP_All“-Rechte erhalten. Und: Wer „alles“ in SAP dürfe, könne dann noch dazu die damit verbundene Datenbank und sogar das Betriebssystem manipulieren.

Das schafft vielfältige Risiken: Am Donnerstag, 8. Januar 2014, hat der Grafikspezialist Nvidia seine mit SAP NetWeaver betriebene Kunden-Website vom Netz genommen, nachdem ein Schwäche in diesem Unterbau („Backend“) öffentlich wurde. Das Loch soll bereits drei Jahre lang bestanden haben und wurde auch von SAP gestopft – nur hat Nvidia den Flicken angeblich nicht eingebaut.

Im November vergangenen Jahres wurde bekannt, dass Unberechtigte auf eine Datenbank der englischen Polizei hätten zugreifen können. Dadurch hätten Interessierte die Privatadressen von Führungskräften der Behörde herausfinden können. Der Fehler sei allerdings nicht bei SAP sondern bei denen zu suchen, die die Walldorfer Software implementiert hätten.

Im Sommer 2012 soll ein Schädling namens „Shamoon“ 30.000 Computer von Saudi Aramco, dem weltgrößten Ölförderers mit Sitz in Saudi Arabien „komplett zerstört“ haben. Die Angreifer wurden im Iran vermutet. Der Sicherheitsberater Jeffrey Carr berichtete seinerzeit von einem Insider, der Saudi Aramco für die Beschäftigung von Zeitarbeitsfirmen kritisierte, die ihrerseits wiederum Billiglöhner in Asien angeheuert haben sollen.

Diese Billiglöhner seien für Angebote Dritter nur allzu empfänglich. Außerdem soll Saudi Aramco Sicherheitsfunktionen mit SAP-basierten betrieblichen Informationen verknüpft haben. Steffen Bukold, Analyst von Energycomment, einem Beratungshaus für Ölmärkte in Hamburg glaubt, es wäre der „GAU in der Ölindustrie", falls Saudi Aramco zum Stillstand käme.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 42494798 / Datenbanken)