Hacker nehmen Kurs auf SAP-Systeme

Bisher ist Microsoft mit seinen Windows-Produkten die beliebteste Spielwiese der Hacker, doch das könnte sich bald ändern. Vor allem SAP hat es den Bösewichten des World Wide Web angetan. “SAP hat lange im Dunkeln gelebt. Das Interesse an Schwachstellen fängt gerade erst an”, sagte ein Berliner Hacker, der unter dem Pseudonym ‘FX’ in der Öffentlichkeit auftritt, gegenüber der Computerzeitung. Bei SAP zieht man bereits erste Konsequenzen.
“Die bekannten Löcher werden in der Praxis bereits durch bösartige Hacker ausgenutzt”, berichtet der Szene-Insider. Vor allem die Software ‘Internet-Transaction-Server’ (IST) weise “eine Unmenge von Löchern” auf. Bei SAP selbst ist man sich der Problematik durchaus bewusst. “Wir arbeiten permanent daran, Löcher zu finden und zu beheben”, sagte SAP-Sicherheitschef Sachar Paulus. Die IST sei ursprünglich für den Intranet-Einsatz entwickelt worden, wo Angriffe a la ‘Cross Site Scripting’ kein Thema sind. Man bessere jedoch mit Hochdruck nach.

Die Zeit drängt, den die SAP will ihre Software zunehmend nutzen, um Geschäftsprozesse der Kunden über das öffentliche Netz abzuwickeln. Doch sobald ein System ein Web-Frontend habe, steige die Gefahr von böswilligen Attacken, sind sich Experten einig. Die Anwendungsebene sei heute ein bevorzugter Tummelplatz für Hacker.

Die SAP-Nutzer selbst sind sich der Gefahr offenbar jedoch kaum bewusst. Es gebe lediglich ein “Grundrauschen an Schutzbedürfnis”, sagte Secorvo-Chef Dirk Fox. Das Unternehmen ist offizieller Ausbildungspartner der Walldorfer. “Unser Seminar zu SAP-Security mussten wir mangels Interesse einstellen”, so Fox.

Unterdessen demonstrierte Hacker FX auf einem Kongress des Chaos Computer Clubs bereits, wo SAP-Software auf Windows-Systemen Angriffspunkte bietet. “SAP auf Linux ist aber auch nicht sicherer, die Fehler sind alle in der Software aus Walldorf.”