Datenklau SAP hatte jahrelang massive Sicherheitslücke

Im Bond-Film "Skyfall" mit Daniel Craig kommt es zu apokalyptischen Szenen. Den Titel bemüht auch der Hacker, der das Sicherheitsleck bei SAP entdeckt hat.

(Foto: oh)
  • Drei IT-Sicherheitsforscher haben auf einer kleinen Fachkonferenz in Heidelberg gravierende Schwachstellen in SAP-Systemen enthüllt.
  • SAP ist als Software ähnlich wichtig wie Facebook und Produkte von Microsoft. Viele Großkonzerne nutzen Teile dieser Software.
  • Für staatliche Geheimdienste wäre es ein Leichtes gewesen, die Lücke auszunutzen, sagt das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Von Max Hägler und Hakan Tanriverdi

Es ist ein großes Wort, das der Hacker Andreas Wiegenstein für diese Bedrohung benutzt hat: Skyfall. Es klingt nach großem Unheil. Der Himmel stürzt ein, so wie beinahe in dem gleichnamigen James-Bond-Streifen. Tatsächlich hatte die Angelegenheit Skyfall das Potenzial zu großem Schaden - im digitalen Himmel gewissermaßen. Über mehrere Jahre waren alle Kunden des deutschen Software-Konzerns SAP von einer gravierenden Sicherheitslücke betroffen, die für Experten eigentlich so offensichtlich sein sollte wie das Blau des Himmels. Aber eben unentdeckt blieb, bis Wiegenstein und seine Kollegen Alarm schlugen.

Wiegenstein ist einer von den Guten, solche Hacker heißen White Hats. Er macht mit seiner Heidelberger Firma Virtual Forge auf Lücken aufmerksam und verdient damit sein Geld. "Die Schwachstelle ist kritisch", bestätigt das Bundesamt für Sicherheit in der Informationstechnik (BSI) seine Erkenntnis. Von einem Vorkommnis "sehr hoher Priorität", spricht auch Gerold Hübner, SAP-Sicherheitschef. Nachdem mittlerweile alle Lücken gestopft sind, lässt sich dieser Fall nachzeichnen.

Wie der Computer zur Hochsicherheitszone wird

Wirklich sicher gegen Angreifer sind nur spezielle Betriebssysteme wie Tails und Subgraph. Sie haben aber einen Haken. Von Jessica Binsch mehr ...

SAP kennen viele nur vom Hörensagen, es ist den Menschen nicht so präsent wie Microsoft oder Facebook, aber ähnlich wichtig. Mit SAP-Software werden Unternehmen komplett gesteuert: Die Personalverwaltung, die Produkte in den Lagern, die Buchhaltung, der Onlineshop, die Reisekosten.

SAP ist ein Weltkonzern mit unzähligen Großkunden

So ziemlich alle Großkonzerne und großen Institutionen dieser Welt benutzen Teile dieser Software: Coca-Cola, die Nasa, Daimler, Pfizer, GM, BP oder RWE, um nur ein paar zu nennen. Die Hälfte aller weltweiten Finanzgeschäfte durchläuft SAP-Programme. SAP aus dem kurpfälzischen Walldorf ist Weltmarktführer für solche Software, die viel komplexer ist als ein Schreibprogramm auf dem PC oder irgendwelche iPhone-Spielchen.

Natürlich müssen auch SAP-Programme stets auf dem neuesten Stand sein, und die Computerspezialisten bei den anwendenden Konzernen benötigen ab und an Zusatzprogramme für neue Funktionen. Bei SAP werden Updates über den Service Market Place abgewickelt, eine Internetseite mit Programmen, die sich per Klick herunterladen lassen. Das funktioniert so ähnlich wie ein App-Store. Und hier ist die Sicherheitslücke: der Update-Prozess. Er war jahrelang extra simpel, dadurch aber auch extra gefährlich, weil SAP diesen Prozess nicht immer abgesichert hatte.

Angreifer hätten sich in diesen Update-Prozess einklinken und Schadsoftware installieren können, um sensible Kundeninformationen auszulesen: etwa Personal- und Finanzdaten, Baupläne, Belege und Bestellungen oder chemische Formeln. Alles eben, was in SAP-System abgespeichert und verarbeitet wird. Sechs Jahre stand dieses Tor offen. Zwar können damit nur die besten Hacker etwas anfangen, aber das BSI teilt mit: "So ein Einfallstor macht es simpel, das ist unbestritten." Damit scheint der Name Skyfall, der Name, für den sich Wiegenstein entschied, nicht abwegig zu sein.

Perfekt absichern lässt sich ein Programm nie, dafür ist es zu komplex

Daten, die im Internet verschickt werden, liegen standardmäßig offen, wie eine Postkarte. Hacker können deshalb den Datenverkehr abhören und gegebenenfalls auch Datenpakete abfangen, mit Schadsoftware ausstatten und in fremde Unternehmen einschleusen.

Apple gegen FBI: Freut euch nicht zu früh

Die mächtigste westliche Sicherheitsbehörde hat sich im Streit um das verschlüsselte iPhone blamiert. Doch so schnell wird sie sich nicht geschlagen geben. Kommentar von Simon Hurtz mehr ...

Ein solcher Angriff wäre auch bei SAP-Downloads möglich gewesen, sagt Sebastian Schinzel, IT-Professor an der Fachhochschule Münster, der die Skyfall-Lücke mit aufdeckte: SAP stellte es seinen Nutzern frei, auf Verschlüsselung zu verzichten, die selbst ganz normale Nutzer kennen: Das kleine Schloss im Fenster des Internet-Browsers zeigt etwa, wenn man mit seinem E-Mail-Anbieter geschützt kommuniziert. Ohne Schutz hätten Hacker die Anfragen beobachten können und neue Softwareprodukte von SAP durch veränderte ersetzen können.

Kein "HTTPS" zu verwenden, so der Fachausdruck, war also das erste Problem. "Ein relevanter Schritt war damit unverschlüsselt", sagt Wiegenstein. Normalerweise bemerken moderne Computersysteme zudem solche Manipulationen, weil heruntergeladene Software-Pakete mit einer digitalen Signatur versehen werden, also einer Unterschrift: Wenn der Windows-PC oder der Mac ein neues Update lädt, prüft der Computer, ob die Software tatsächlich vom Hersteller stammt und nicht verändert wurde.