Static Keys: SAP-HANA meist unsicher konfiguriert

Anwender von SAP HANA verlassen sich bei der Installation ihrer neuen Systeme auf die Voreinstellungen. Damit können Hacker über universelle Default-Keys zum Beispiel verschlüsselte Passwörter in Klartext einsehen, warnt der Sicherheitsexperte Alexander Polyakov, CTO des Sicherheitsunternehmens ERPScan auf der Blackhat-Session-Konferenz in Ede in Niederlanden.

HANA ist SAPs Index-basiertes, In-Memory Datenbank-Management-System. Wie Polyakov erklärt, sehen offenbar viele Administratoren keine Veranlassung, die Schlüssel zu verändern, die die Datei hdbuserstore schützen. In diesem Bereich werden sichere Nutzer-Daten abgelegt und auch Passwörter sowie Schlüssel für Speicherpunkte.

Wie Polyakov erklärt, gehen Anwender davon aus, dass “SAP HANA als eine In-Memory-Datenbank, keine sensiblen Daten auf einem Plattenlaufwerk ablegt, aber manche Daten werden tatsächlich auf Disk abgelegt.”

Wenn nun ein Angreifer Zugriff auf die Datei hdbuserstore bekommt und mit dem statischen Master-Key entschlüsselt, dann habe er auch Zugriff auf die Passwörter von Nutzern und auch die Passwörter für die Verschlüsselung von Festplatten. Der statische Master-Key für die über die mit dem 3DES-Algorithmus verschlüsselte Datei ist aber bei sämtlichen Installationen identisch.

“Laut unserem Beratungsservice nutzen 100 Prozent der Anwender, die wir analysiert haben, nach wie vor den Default Master Key, um hdbuserstore zu verschlüsseln”, warnt Polyakov.

Tatsächlich hält HANA den Großteil der Daten in In-Memory, natürlich um die Performance zu steigern. Aber die Datenbank-Lösung speichert als Fallback auch in persistenten Disk-Storage für den Fehlerfall. Die Daten werden regelmäßig bei bestimmten Speicherpunkten aus dem Arbeitsspeicher auf die Platte geladen. Eine detaillierte Analyse dieses Sicherheitsproblems gibt ERPScan in einem Blog.

Welche Daten legt HANA auf der Festplatte ab? (Bild: ERPScan)

Die Daten dieser Speicherpunkte umfassen einen konsistenten Status der gespeicherten Daten. Dieser Informationen werden so lange gehalten, bis der nächste Speicherpunkt gesichert wird. Daher werden eben auch einige Daten in diesem File-System gespeichert und ein Angreifer kann dann auf diese Daten zugreifen.

Tatsächlich empfiehlt SAP in den Sicherheitsrichtlinien für HANA ausdrücklich, diese statischen Master-Keys zu ändern. Doch wie die Sicherheitsexperten von ERPScan in der Praxis feststellen, setzen nur wenige Unternehmen die folgenden Ratschläge auch um:

  • Der SSFS Master Key sollte über das rsecssfx-Tool geändert werden.
  • Der Data Volume Encryption Root Key sollte über das Tool hdbnsutil geändert werden.
  • Ebenfalls über hdbnsutil sollte auch der Root Key des Data Encryption Services geändert werden.
  • Der Zugriff auf die Key-Datei und auf das DAT File sollte verhindert werden.

Für Hacker sind solche voreingestellten Sicherheits-Keys natürlich niedrig hängende Früchte. Denn sie brauchen, um diese ausnutzen zu können, lediglich die Dokumentation des Hersteller zu studieren. Daher, so warnen die Experten von ERPScan, versuchen Hacker auch immer häufiger nicht mehr alte und bekannte Systeme wie Netweaver anzugreifen, sondern konzentrieren sich auf neue Produkte wie HANA.

SAP hat vor wenigen Tagen den Service Pack 10 für SAP HANA vorgestellt und bei dieser Gelegenheit auch aktuelle Nutzerzahlen veröffentlicht: So nutzen derzeit mehr als 815.000 Anwender Dienste auf Basis von HANA. Etwa 6400 Unternehmen setzen bereits HANA ein. Zudem meldet der IT-Dienstleister Atos einen Großauftrag, bei dem in den nächsten Jahren 100.000 Mitarbeiter von Siemens auf HANA migriert werden sollen.

Lesen Sie auch : Angriffsziel ERP
Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago