Der IT-Sicherheitsexperte Alexander Polyakov von der auf SAP-Software spezialisierten Sicherheitsfirma
ERPScan, hat
die gefährlichen Schwachstellen entdeckt. Am Rande der IT-Sicherheitskonferenz
Black Hat in Las Vegas teilte er mit, dass es ihm gelungen sei, über das Internet in die Firmen-Netzwerke einzudringen.
Die Schwachstelle befindet sich in der Fernwartungs-Software, die von SAP bereitgestellt wird. Über eine Suchanfrage bei Google ist es Polyakov möglich gewesen, potentiell verwundbare SAP-Systeme zu identifizieren und darüber einen gezielten Angriff zu starten. Um Zugriff auf die Systeme zu erlangen, hat er fiktive Benutzerkonten erstellt. Auch Datendiebe könnten so in großem Umfang an sensible Firmendaten in SAP-Systemen gelangen. Auch sei es möglich, die Inhalte der Datenbanken zu überschreiben.
Die Quelle des Problems, so Polyakov, ist die Java-Engine von NetWeaver. „Die Java-Engine ist das schwarze Loch der SAP-Sicherheit“, merkt er an.
Zu den Erkenntnissen von Polyakov äußerte sich SAP bisher nicht konkret. Allerdings versicherte das Unternehmen, dass die Sicherheitslücke
binnen einer Woche durch eine Software-Aktualisierung geschlossen würde.