Sicherheit
SAP-Software NetWeaver ist angreifbar
von
Thorsten
Eggeling - 10.08.2011
Foto: SAP
Nach Einschätzung eines Sicherheitsexperten gibt es eine gravierende Sicherheitslücke in der SAP-Software NetWeaver. Angreifer könnten dadurch über das Internet in Unternehmens-Netzwerke eindringen.
Der IT-Sicherheitsexperte Alexander Polyakov von der auf SAP-Software spezialisierten Sicherheitsfirma ERPScan, hat die gefährlichen Schwachstellen entdeckt. Am Rande der IT-Sicherheitskonferenz Black Hat in Las Vegas teilte er mit, dass es ihm gelungen sei, über das Internet in die Firmen-Netzwerke einzudringen.
Die Schwachstelle befindet sich in der Fernwartungs-Software, die von SAP bereitgestellt wird. Über eine Suchanfrage bei Google ist es Polyakov möglich gewesen, potentiell verwundbare SAP-Systeme zu identifizieren und darüber einen gezielten Angriff zu starten. Um Zugriff auf die Systeme zu erlangen, hat er fiktive Benutzerkonten erstellt. Auch Datendiebe könnten so in großem Umfang an sensible Firmendaten in SAP-Systemen gelangen. Auch sei es möglich, die Inhalte der Datenbanken zu überschreiben.
Die Quelle des Problems, so Polyakov, ist die Java-Engine von NetWeaver. „Die Java-Engine ist das schwarze Loch der SAP-Sicherheit“, merkt er an.
Zu den Erkenntnissen von Polyakov äußerte sich SAP bisher nicht konkret. Allerdings versicherte das Unternehmen, dass die Sicherheitslücke binnen einer Woche durch eine Software-Aktualisierung geschlossen würde.
