Sicherheit
Anwaltssoftware Datev mit kritischer Lücke
von
Dorothee
Chlumsky - 25.01.2011
Die Rechnungswesen-Software Datev hat eine Sicherheitslücke, die es Angreifern möglich macht, schädlichen Code in ein System zu schleusen. Das ist besonders kritisch, da Berufsgruppen die Software nutzen, die mit vertraulichen Daten arbeiten: Anwälte, Steuerberater, Wirtschaftsprüfer und die öffentliche Hand.
Die Datev-Software kommt überall dort zum Einsatz, wo auch persönliche Daten von Kunden, Klienten oder Bürgern verwaltet werden. Der Sicherheitsexperte Nikolas Sotiriu weist nun darauf hin, dass die die Datev-Softwarekomponente "Grundpaket Basis" unter einer altbekannten Sicherheitslücke leidet, die viele andere Programme ebenfalls betrifft: Die Art und Weise, wie die Software Bibliotheken nachlädt, die ihr nicht auf Anhieb zur Verfügung stehen. Unter bestimmten Bedingungen greift sie bei der Suche nach einer fehlenden Bibliothek (etwa DVBSKNLANG101.dll oder DvZediTermSrvInfo004.dll) auch auf ein .smb- oder Webdav-Laufwerk zu. Ein Angreifer kann sich dieses Verhalten zunutze machen und dem System einen Schädling unterschieben, der sich als die gesuchte Bibliothek ausgibt.
Sotiriu hatte den Fehler bereits im August 2010 gefunden und Datev auf das Problem aufmerksam gemacht. Auf Wunsch des Unternehmens hatte er die Veröffentlichung der Sicherheitslücke mehrfach verschoben, bis er das Problem am 20. Januar bekannt machte.
Das Unternehmen hat den Fehler mit der neuen Programm-DVD 25.0 behoben, die seit Mitte Januar erhältlich ist. Wenn Sie Datev nutzen, sollten Sie schnellstmöglich auf die aktuelle Version umsteigen.
