Mit geringem Aufwand konnten Point-of-Sale-Systeme (POS) gehackt werden. Voraussetzung ist aber, dass der Angreifer physischen Zugriff auf das Netz hatte, in dem das Kassensystem aufgestellt ist. Allerdings gibt es in vielen Ladengeschäften oder Einkaufshäusern Geräte, über die man sich unbemerkt einklinken kann. Ein Angreifer benötigte dafür lediglich einen kleinen PC wie das Raspberry Pi oder einen vergleichbaren Rechner.
Entdeckt wurde dieser schwerwiegende Fehler von dem ERP-Sicherheitsexperten von ERPScan, die dieses Leck auch auf der Konferenz Hack in the Box in Singapur vorgestellt haben. Zuvor aber wurde SAP von dem Problem informiert. Das Leck wurde vor der Veröffentlichung behoben. Erste Hinweise auf Probleme in SAP POS wurden jedoch bereits im Mai bekannt. Auch am Patch-Day für den Juli hatte SAP bereits Lecks in SAP POS behoben.
Das Problem für diesen Fehler lag vor allem darin, dass der SAP POS Xpress Server keinerlei Authentifizierungsabfragen einforderte. Somit konnte auch ein unangemeldeter Nutzer kritische Funktionen kontrollieren oder gleich das gesamte System übernehmen. Der Angreifer kann dann sämtliche Einstellungen, die das System unterstützt vornehmen und so beispielsweise die Kreditkarteninformationen auf den Kassenzettel drucken oder diese Informationen an den Server des Angreifers schicken.
In der Folge konnte ein erfolgreicher Angreifer nicht nur die Fernsteuerung über die Kasse übernehmen, sondern auch sensible Kreditkarteninformationen auslesen. So hätte ein Angreifer damit zum Beispiel ein hochpreisiges Gerät in dem Kassensystem zum Beispiel für 1 Euro einpreisen können.
Auch DOS-Attacken sind auf diese Weise möglich. Ein Angreifer, der entweder über das Internet oder über ein anderes angeschlossenes Gerät, wie etwa eine Waage in der Gemüseabteilung, auf das Netz zugreifen und sämtliche Kassen herunterfahren. Gerade für große Einzelhändler kann das schnell zu einem kostspieligen Ausfall werden.
SAP POS ist eine Client-Server-Technologie und gehört zur Handelslösung von SAP. Die Lösung ist vor allem bei sehr großen Händlern weit verbreitet. So nutzen derzeit etwa 80 Prozent der Händler der Forbes 2000-Liste diese Technologie.
Ob auch Lösungen anderer Hersteller von diesem Problem betroffen sind, hätten die Forscher von ERP SCAN noch nicht eruieren können. Viele POS-Systeme aber würden auf ähnlichen Architekturen basieren und könnten daher auch an ähnlichen Lecks leiden.
SAP hat das entsprechende Leck bereits am 21. August behoben. Der Hersteller rät Anwendern schnell betroffene Systeme zu aktualisieren.
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
View Comments
Dieser Artikel benötigt Präzisierungen. 1. Die angreifbare Software ist die alte SAP POS-Lösung, die 2006 von SAP gekauft wurde und vorher von Triversity entwickelt worden ist. Diese Lösung ist seit Jahren abgekündigt. Sie läuft noch in Nord- und Zentralamerika bei mehr als 100 Kunden. Inzwischen gibt es eine neue Kassensoftware von SAP, die von einem Unternehmen in Deutschland entwickelt worden ist. 2. Die Aussage mit den 80 Prozent der Händler lt. Forbes-Liste ist in dieser Form falsch. Dort läuft mit Sicherheit nicht die alte Kassenlösung, sondern sie nutzen irgendein Modul von SAP und stehen damit auf der Kundenliste.
Sehr geehrter Herr Victor,
vielen Dank für die Hinweise. Wir haben uns da auf die Aussagen von ERP-Scan verlassen.
Liebe Grüße
Martin Schindler