Es ist ein großes Wort, das der Hacker Andreas Wiegenstein für diese Bedrohung benutzt hat: Skyfall. Es klingt nach großem Unheil. Der Himmel stürzt ein, so wie beinahe in dem gleichnamigen James-Bond-Streifen. Tatsächlich hatte die Angelegenheit Skyfall das Potenzial zu großem Schaden - im digitalen Himmel gewissermaßen. Über mehrere Jahre waren alle Kunden des deutschen Software-Konzerns SAP von einer gravierenden Sicherheitslücke betroffen, die für Experten eigentlich so offensichtlich sein sollte wie das Blau des Himmels. Aber eben unentdeckt blieb, bis Wiegenstein und seine Kollegen Alarm schlugen.
Wiegenstein ist einer von den Guten, solche Hacker heißen White Hats. Er macht mit seiner Heidelberger Firma Virtual Forge auf Lücken aufmerksam und verdient damit sein Geld. "Die Schwachstelle ist kritisch", bestätigt das Bundesamt für Sicherheit in der Informationstechnik (BSI) seine Erkenntnis. Von einem Vorkommnis "sehr hoher Priorität", spricht auch Gerold Hübner, SAP-Sicherheitschef. Nachdem mittlerweile alle Lücken gestopft sind, lässt sich dieser Fall nachzeichnen.
SAP kennen viele nur vom Hörensagen, es ist den Menschen nicht so präsent wie Microsoft oder Facebook, aber ähnlich wichtig. Mit SAP-Software werden Unternehmen komplett gesteuert: Die Personalverwaltung, die Produkte in den Lagern, die Buchhaltung, der Onlineshop, die Reisekosten.
SAP ist ein Weltkonzern mit unzähligen Großkunden
So ziemlich alle Großkonzerne und großen Institutionen dieser Welt benutzen Teile dieser Software: Coca-Cola, die Nasa, Daimler, Pfizer, GM, BP oder RWE, um nur ein paar zu nennen. Die Hälfte aller weltweiten Finanzgeschäfte durchläuft SAP-Programme. SAP aus dem kurpfälzischen Walldorf ist Weltmarktführer für solche Software, die viel komplexer ist als ein Schreibprogramm auf dem PC oder irgendwelche iPhone-Spielchen.
Natürlich müssen auch SAP-Programme stets auf dem neuesten Stand sein, und die Computerspezialisten bei den anwendenden Konzernen benötigen ab und an Zusatzprogramme für neue Funktionen. Bei SAP werden Updates über den Service Market Place abgewickelt, eine Internetseite mit Programmen, die sich per Klick herunterladen lassen. Das funktioniert so ähnlich wie ein App-Store. Und hier ist die Sicherheitslücke: der Update-Prozess. Er war jahrelang extra simpel, dadurch aber auch extra gefährlich, weil SAP diesen Prozess nicht immer abgesichert hatte.
Angreifer hätten sich in diesen Update-Prozess einklinken und Schadsoftware installieren können, um sensible Kundeninformationen auszulesen: etwa Personal- und Finanzdaten, Baupläne, Belege und Bestellungen oder chemische Formeln. Alles eben, was in SAP-System abgespeichert und verarbeitet wird. Sechs Jahre stand dieses Tor offen. Zwar können damit nur die besten Hacker etwas anfangen, aber das BSI teilt mit: "So ein Einfallstor macht es simpel, das ist unbestritten." Damit scheint der Name Skyfall, der Name, für den sich Wiegenstein entschied, nicht abwegig zu sein.
Perfekt absichern lässt sich ein Programm nie, dafür ist es zu komplex
Daten, die im Internet verschickt werden, liegen standardmäßig offen, wie eine Postkarte. Hacker können deshalb den Datenverkehr abhören und gegebenenfalls auch Datenpakete abfangen, mit Schadsoftware ausstatten und in fremde Unternehmen einschleusen.
Ein solcher Angriff wäre auch bei SAP-Downloads möglich gewesen, sagt Sebastian Schinzel, IT-Professor an der Fachhochschule Münster, der die Skyfall-Lücke mit aufdeckte: SAP stellte es seinen Nutzern frei, auf Verschlüsselung zu verzichten, die selbst ganz normale Nutzer kennen: Das kleine Schloss im Fenster des Internet-Browsers zeigt etwa, wenn man mit seinem E-Mail-Anbieter geschützt kommuniziert. Ohne Schutz hätten Hacker die Anfragen beobachten können und neue Softwareprodukte von SAP durch veränderte ersetzen können.
Kein "HTTPS" zu verwenden, so der Fachausdruck, war also das erste Problem. "Ein relevanter Schritt war damit unverschlüsselt", sagt Wiegenstein. Normalerweise bemerken moderne Computersysteme zudem solche Manipulationen, weil heruntergeladene Software-Pakete mit einer digitalen Signatur versehen werden, also einer Unterschrift: Wenn der Windows-PC oder der Mac ein neues Update lädt, prüft der Computer, ob die Software tatsächlich vom Hersteller stammt und nicht verändert wurde.
Die SAP-Sicherheitsleute haben Fehler gemacht
Doch hier war das zweite Problem: "Die Signatur bei SAP wird nicht automatisch geprüft", sagt Professor Schinzel. Das habe man tatsächlich übersehen - "bis wir eben darauf aufmerksam gemacht wurden", sagt SAP-Sicherheitschef Hübner. Er war auf Dienstreise in Nizza, als er von den deutschen Forschern am 15. Oktober 2015 vom Fall erfuhr.
Mehrere Hundert Leute arbeiten für ihn, prüfen in jedem Stadium die Softwareprogramme auf Angreifbarkeit, und dazu engagiert er immer wieder externe Sicherheitsexperten wie Wiegenstein. Solche Leute haben eine andere Perspektive, sehen Fehler, die den eigenen Programmierern entgehen. Perfekt absichern lässt sich dennoch nichts, das weiß Hübner, das gilt für alle Softwareprogramme jedes Herstellers. Zumal die wichtigste SAP-Software aus 319 Millionen Zeilen Programmcode besteht. Fehler schleichen sich da zwangsläufig ein. Stets geht es also um die weitestgehende Minimierung von Risiken.
Rasch schaute Hübner sich also die ersten Unterlagen am Rechner durch - und leitet sie sogleich an Sid Rao weiter, den Chef des rund um die Uhr einsatzbereiten SAP-Sicherheitsteams. "Am 22. Oktober haben wir dann unsere Kunden benachrichtigt", am 30. Oktober seien dann die ersten Updates ausgeliefert worden, um die Lücke zu beheben, sagt Hübner. Das sei "sehr rasant, in solchen Fällen gilt dann natürlich nicht der Acht-Stunden-Arbeitstag." Erst vor zwei Wochen dann, Mitte März, berichteten Wiegenstein und seine beiden Kollegen auf einer Sicherheitskonferenz in Heidelberg der Fachwelt von dem Fall. Die Hacker-Ehre gebietet die Zurückhaltung, damit die Lücken nicht von den böswilligen Hackern genutzt werden können.
Die Snowden-Dokumente haben gezeigt, dass die NSA Schwachstellen ausnutzt
Doch war es schnell genug, angesichts einer Lücke, die es seit sechs Jahren gibt? Kann es nicht sein, dass in dieser Zeit in manche Konzernen eingebrochen wurde? "Nach unserer Kenntnis hat es keine Angriffe über diese Stelle gegeben", sagt Hübner. Es lasse sich zwar nicht ausschließen, aber es gebe überhaupt keinen Anhaltspunkt dafür. Gut eingestellte Virenscanner hätten etwaige Manipulationen in den heruntergeladenen Softwarepaketen mit großer Sicherheit erkannt, glaubt der SAP-Mann.
"Ein sehr interessanter" Fall, sagt hingegen Joris van de Vis, ebenfalls White-Hat-Hacker, der sein Geld damit verdient, SAP und deren Kunden auf Sicherheitslücken aufmerksam zu machen. Aber, sagt von de Vis: "Es ist nicht die kritischste Schwachstelle." Die Voraussetzungen seien so hoch, dass es nur wenige Angreifer gebe, die in der Lage sind, die Schwachstelle auszunutzen: vor allem staatliche Geheimdienste. Auch das BSI und Sicherheitsforscher Schinzel nennen vor allem Geheimdienste als mögliche Angreifer. In den Dokumenten des Whistleblowers Edward Snowden tauchten Folien auf, in denen solche Angriffe durch den amerikanischen Geheimdienst NSA beschrieben werden.
Wie heikel der Fall ist, sowohl für SAP als auch die Industrie weltweit und in Deutschland, zeigt sich daran, dass kein Dax-Konzern über die Lücke sprechen wollte. Lediglich die Telekom-Tochter T-Systems, die SAP-Systeme für ein Drittel der Dax-Unternehmen betreibt, erklärt: Man habe die Schwachstelle bemerkt, aber nicht als besonders schwerwiegend eingestuft. Was wohl auch daran liegt, dass T-Systems stets auf verschlüsselte Verbindungen achtet und die Signaturen der Downloads überprüft. Wie weit verbreitet dieses Verhalten bei den insgesamt 300 000 Kunden von SAP ist, ist unklar. Als vor zwei Wochen Computerspezialisten in Heidelberg zusammensaßen, stellte FH-Professor Schinzel die Frage: Wer prüft die "digitale Unterschrift" bei Downloads? Niemand meldete sich.
