Deutsch | English | Español

Software-Updates in SAP: Eine Einladung für jeden Hacker

30. Juli 2018 | Von Thomas Fritsch, Virtual Forge GmbH

Kaum jemand wird wohl bestreiten, dass das Einspielen externer Transporte in ein SAP-System immer mit einem leicht mulmigen Gefühl verbunden ist. In der Regel muss man darauf vertrauen, dass der Hersteller des Transportauftrags vertrauenswürdig ist und weder absichtlich, noch unabsichtlich Code oder Tabelleninhalte mitbringt, die die Systemsicherheit beeinträchtigen oder gar vollends aushebeln. Ebenso denkbar ist das unbemerkte Manipulieren oder Ersetzen des Transportauftrags durch Fremde während der Lieferkette. 

Nicht ohne Grund signiert SAP® selbst seit einiger Zeit eigene Hinweise, um Kunden vor solchen Manipulationen durch Dritte zu schützen (SAP-Hinweis 2408073).

Eine aktuell im Spiegel veröffentlichte Befragung führender IT-Entscheider und Experten verdeutlicht, dass im Bewusstsein der IT-Verantwortlichen hauptsächlich klassische Angriffsmethoden wie Phishing oder Ransomware im Fokus stehen – Sicherheitsprobleme durch Software-Updates spielen dagegen eher eine untergeordnete Rolle.

Oft ist den Security-Verantwortlichen nicht bewusst, wie viele Quellen externer Transportaufträge existieren und wie lang die Lieferkette ist:

External_Software_Delivery 

 

Darüber hinaus existiert weder das Wissen über die Möglichkeiten SAP-Systeme mit schadhaften Inhalten anzugreifen oder für einen Angriff vorzubereiten, noch die Erfahrung, wie man diese Angriffe gegebenenfalls erkennt.

Einige Beispiele:

  • Ein SAP-System kann bereits durch einen einzigen Eintrag in der Objektliste eines Transportauftrags komplett gelöscht werden
  • Inhalte zu beliebigen Tabellen können unbemerkt eingeschleust und manipuliert werden, ohne dass diese im Transportauftrag sichtbar sind oder vom Transport-Infosystem erkannt werden
  • Es existieren vielfache Möglichkeiten, ABAP Code so zu importieren, dass er entweder direkt beim Import eines Transportauftrags, oder aber zu einem späteren Zeitpunkt unbemerkt von einem unbeteiligten und ahnungslosen Benutzer ausgeführt wird

Jeder, der für die Sicherheit von SAP-Systemen in Unternehmen verantwortlich ist, sollte sich dieser Gefahren bewusst sein und sich entsprechend schützen. Mit der Security Suite as a Service bietet Virtual Forge SAP-Kunden einen sofortigen, vollumfassenden Schutz vor Angriffen durch externe Transporte.

Erfahren Sie mehr.

 

Update: Weitere Informationen der SAP (SAP Note 2671160).



@Virtual_Forge auf Social Media:

social_twitter_active.png social_xing_active.png social_linkedin_active.png social_google_active.png