Gravierende Sicherheitslücke bei SAP

PeterCCM am Donnerstag 31. März 2016 14:55:09

Gravierende Sicherheitslücke bei SAP

IT-Sicherheitsexperten aus Heidelberg fanden eine ernste Sicherheitslücke, die anscheinend über Jahre hinweg existierte.

Die Software der deutschen Firma SAP wird weltweit in Tausenden Firmen, davon zahlreiche Großkonzerne, genutzt. Umso schockierender sind die Enthüllungen der drei IT-Experten der Heidelberger Firma Virtual Forge: Sechs Jahre war es versierten Hackern theoretisch möglich, über die Update-Funktion von SAP Schadsoftware einzuschleusen und auf diesem Weg an sensible Daten von Firmen zu gelangen. Sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch der SAP-Sicherheitschef Gerold Hübner bestätigten gegenüber der Süddeutsche Zeitung, dass es die Schwachstelle gab.

Der Fehler lag im Detail darin, dass die Software Updates nicht automatisch auf seine Herkunft überprüfte. Gelingt es Hackern, über die Update-Funktion Schadcodes einzuschleusen, fällt das im Normalfall auf, weil dem gefälschten Update die Signatur des Herstellers fehlt. Dass diese Überprüfung der Signatur des Updates fehlte, fiel erst auf, als die externen Sicherheitsexperten von Virtual Forge im Oktober letzten Jahres zur Überprüfung der SAP-Sicherheit hinzugezogen wurden. Laut SAP wurde die Sicherheitslücke daraufhin umgehend geschlossen.

Der Fall wurde erst jetzt, fünf Monate danach, bekannt, weil sowohl SAP als auch Virtual Forge sich aus Sicherheitsgründen zum Stillschweigen verpflichteten.

Foto: © iStock.


Kommentar hinzufügen

Kommentare

Kommentar hinzufügen