SAP-Systeme im Fadenkreuz der Hacker

SAP hat seine Software für das Internet geöffnet, die Hacker-Gemeinde johlt und ein Aufschrei des Entsetzens geht durch die Computer-Gemeinde. Dabei sind die angeblich so neuen Gefahren für SAP eigentlich die alten Gefahren aller zum Internet offenen Systeme. Bisher hat nur niemand seine SAP-Software über öffentliche Leitungen verfügbar gemacht. Daher kamen die Angriffe eher von innen und die Software ist auf die neuen Herausforderungen nur bedingt vorbereitet.

Kunden von SAP sollen ihre betriebswirtschaftliche Software in Zukunft auch dazu nutzen können, um ihre Geschäfte online abzuwickeln. Damit werden beispielsweise in der Warenwirtschaft oder dem Human Resources-Modul sensible Daten für fremde Nutzer zugänglich gemacht. Der Web Application Server und darauf aufbauend das SAP Enterprise-Portal ermöglichen Partnerfirmen den direkten Zugriff auf die hauseigenen Daten und schaffen damit ein Problem, das SAP-Software bisher nicht kannte: HTTP. „Mit der Öffnung nach Außen werden unsere Systeme verstärkt zum Angriffsziel“, weiß SAPs Sicherheitschef Sachar Paulus längst.

Plötzlich kommen auf SAP-Installationen Gefahren zu, die vorher kein Thema waren. Die klassischen R/3-Systeme werden innerhalb des Unternehmens eingesetzt. Ihre Kommunikation zwischen Client und Server oder Server und Server läuft über das proprietäre Netzprotokoll DIAG, das sich durch SNC (Secure Network Communication) verschlüsseln lässt. Hier sind in erster Linie interne Sniffing-Angriffe denkbar, bei denen die zur Anmeldung verwendeten Passwörter ausgelesen werden. Diese Systeme haben noch einen weiteren Vorteil: R/3 verwendet einen eigenen SQL-Dialekt, durch den SQL-Injection-Angriffe erschwert werden. Der jetzt so stark kritisierte Internet Transaction Server (ITS) ist seit Ende der neunziger auf dem Markt und läuft langsam aus. Er war in erster Linie dafür gedacht, Daten im Intranet verfügbar zu machen. Laut SAP war er anfällig für Buffer-Overflows, aber mit einem neuen Patch ist dieses Loch gestopft.