Auf dem Weg zum Internet der Dinge

SAP als Bedrohung für das Gebäudemanagement

Die Vernetzung von TGA-Systemen, Unternehmens- und Verwaltungssoftware bietet Angreifern neue Möglichkeiten des digitalen Angriffs. Oft fehlt das Sicherheitsdenken, für das dieser Beitrag neu sensibilisieren will.

Bei der US-Einzelhandelskette Target wurden im Jahr 2013 110 Mio. Kundendaten gestohlen – darunter 40 Mio. Kreditkartendaten. Im Februar 2014 wurde bekannt, dass die Angreifer offenbar den Hausmeister von Target – Fazio Mechanical Services – als Lücke zum Einstieg benutzt haben: Fazio verfügt – nach eigener Aussage – fürs Projektmanagement, die Abrechnung und weitere Funktionen über einen elektronischen Fernzugriff auf die Target-Systeme, könne allerdings nicht die Heiz- und Kälteanlagen des Unternehmens auf diese Weise steuern. Hausmeister-Chef Ross E. Fazio hat außerdem zugegeben: „Wie Target sind auch wir Opfer einer raffinierten Cyber-Attacke. Wir arbeiten voll mit dem Secret Service und Target zusammen, um die mögliche Ursache für die Sicherheitsverletzung zu identifizieren.“ Target seinerseits bekannte, SAP-Software für die Verwaltung seiner Immobilien zu nutzen. SAP äußerte sich gegenüber dem Autor nicht zu der Frage, ob Fazio über einen SAP-Zugang bei Target verfügt und ob der Angriff auf diese Weise stattgefunden haben könnte.

SAP-Systeme hängen am Netz

Mindestens 3000 SAP-Systeme sollen weltweit mit dem Internet verbunden sein – schreibt die Internetzeitung TheRegister unter Berufung auf den Sicherheitsberater Rapid7. Dessen Marketing-Manager Christian Kirsch hat festgestellt, dass das Knacken von SAP-Systemen ein Massenphänomen sei – schließlich enthielten die Walldorfer ERP-Systeme auch Finanz-, Kun­den-, Mitarbeiter- und Produk­tions­daten der anwendenden Unternehmen. Dessen sollten sich – so Kirsch – 248 500 Kunden in 188 Ländern bewusst sein.

Beute lässt sich mit Schadsoftware machen, die speziell nach SAP-Installationen Ausschau hält; zum Diebeswerkzeug des Informationszeitalters gehören darüber hinaus auch noch SQL-Injektionen und Bedrohungen durch Cross-Site-Scripting oder „Directory Traversals“ – um nur mal einige Möglichkeiten zu nennen. Nun hat Virtual Forge, ein Heidelberger Sicherheitsberater, pro 1000 Zeilen Code in der SAP-Programmiersprache „ABAP“ durchschnittlich einen „kritischen“ Fehler festgestellt. Bei 100 Mio. Programmzeilen, die in der SAP-Programmiersprache „ABAP“ geschrieben wurden, wären das 100 000 kritische Fehler.

Technik und Mensch sind angreifbar

Die Technik ist das eine. Kritisch kann’s aber auch werden, wenn die Angreifer einen gedankenlosen SAP-Nutzer finden und dessen Rechner kapern können. Anschließend verfügen sie über die gleichen Rechte wie die Berechtigten. Sollten diese Privilegien nicht ausreichen, können die Eindringlinge mit allerlei Tricks die Rechte dieser Person erweitern oder auch auf die digitale Identität ihrer Kollegin wechseln. Am Ende können die Kriminellen „SAP ALL“-Privilegien genießen und vollständigen Zugriff nicht nur auf die Datenbank, sondern auch noch das darunterliegende Betriebssystem erhalten.

Nun glaubt womöglich der eine oder andere Unternehmer, er sei zu „klein“, als dass seine Firma von Kriminellen als attraktive Beute wahrgenommen werden könnte. Da könnte man aber fix die Rechnung ohne die Datenkriminalität machen: „Bonesaw“ ist ein Werkzeug aus dem Hause Endgame Systems zur Erkennung von Schwachstellen: Es soll in Echtzeit Zielkarten von Netzwerken liefern – einschließlich installiertem Betriebssystem und Anwendungen sowie erfolgversprechender Angriffsmöglichkeiten. Das jedenfalls behauptet das Branchenmagazin der Spione „C4ISR & Networks“. So scheint es plausibel, dass der US-Geheimdienst NSA mithilfe von „Turbine“ Millionen Endgeräte infizieren kann. Die „Bonesaw“-Entwickler dürfen ihre Software an jeden verkaufen, der über das notwendige Kleingeld verfügt.

Mangelndes Sicherheitsdenken

Wie stark die SAP-Anwendungen mit dem Internet verknüpft sind, ist den Menschen aber nicht immer bewusst: In seiner Studie „12 years of SAP Security in figures: a global survey“ schreibt der Sicherheitsberater ERPScan: „Unter vielen Leuten, die mit SAP arbeiten, ist der Mythos weit verbreitet, dass SAP nicht übers Internet zu erreichen sei; deshalb seien alle Schwächen nur mithilfe eines Insiders ausnutzbar.“ Sebastian Schinzel, Professor an der Fachhochschule Münster ergänzt: „Die Entscheider in den Unternehmen verstehen das Problem mit der Sicherheit nicht. Sie kennen ja auch nicht den Unterschied zwischen Safety und Security und meinen stattdessen, nur weil ein System funktioniert, sei es auch sicher.“

Bei so viel Sorglosigkeit scheint der Angriff bei Target ein Kinderspiel gewesen zu sein – Alexander Polyakov, der Chef von ERPScan, erläutert mit Blick auf den Vorfall des Einzelhändlers: „Wenn Du Zugang zum Gebäudemanagementsystem hast, kannst Du Deine Privilegien ausweiten – falls es tatsächlich über SAP gelaufen sein sollte, gibt’s Hunderte von Wegen dazu, weil nicht geprüft wird, ob der Nutzer zu seinem Handeln berechtigt ist; somit ist das die größte Schwäche von SAP – 22 % der Schwächen von (der Programmiersprache, [Anm. d. Autors]) ABAP sind darauf zurückzuführen. Dann arbeitest Du Dich zum Betriebssystem vor, lädst dort eine Hintertür und beginnst mit dem Angriff auf Dein eigentliches Ziel bei Target.“

Polyakov schränkt allerdings ein: „Als Experte kann ich nicht garantieren, dass der Angriff über SAP’s Gebäudemanagement stattgefunden hat oder ob es ein Gebäudemanagementsystem eines anderen Entwicklers war oder ob es sich um ein anderes SAP-System (wie CRM, die SAP-Software zur Kundenpflege) handelt. Aber das ist auch egal! Entscheidend ist: Es war eine geschäftskritische Anwendung, über die vertraglich festgelegte Rechnungen eingereicht werden; das bedeutet: Diese Systeme sind jetzt in der Schusslinie, und selbst wenn es in diesem Fall nicht über SAP geschehen sein sollte, so müssen wir damit rechnen, dass es in naher Zukunft über SAP geschieht!“

Was tut SAP zur Kundensensibilisierung?

Auf die Frage, was die Walldorfer unternehmen, um die Kunden für das Thema Sicherheit zu sensibilisieren, schreibt die Pressestelle in Walldorf: „Wir weisen unsere Kunden grundsätzlich immer darauf hin, dass neben einer sicheren Software auch die richtige Integration der Systeme gewährleistet sein muss. Die SAP ist regelmäßig in Kontakt mit ihren Kunden und kann dadurch gezielt über sicherheitsrelevante Sachverhalte informieren. Zudem hat die SAP bei ihren Kunden dedizierte Sicherheitskontakte identifiziert, über die allgemeine Informationen zur Produktsicherheit ausgerollt werden. Darüber hinaus dienen diese Sicherheitskontakte auch als direkte Ansprechpartner in dem Fall, dass eine identifizierte Sicherheitsschwachstelle durch das umgehende Einspielen einer Korrektur geschlossen werden muss.“

Wie viel Luft den Walldorfern bei der Information der Kunden über sicherheitsrelevante Sachverhalte noch bleibt, lässt sich an einer einzigen Zahl erkennen: 85 % aller SAP-Router seien noch ein halbes Jahr löchrig gewesen, nachdem ein virtueller Flicken zum Stopfen angeboten worden sei, so ERPScan. Dadurch sei es möglich gewesen, in das interne Netz von etwa 4600 verschiedenen Firmen weltweit einzudringen. Sachar Paulus, ehemaliger Leiter der Produktsicherheit bei SAP und heute Professor für Wirtschaftsinformatik der FH Brandenburg, gab bereits vor Jahren zu bedenken: „SAP arbeitet sehr hart an der Sicherheit und sie sind gut dabei, aber die Kunden müssen in der Lage sein, da hinterherzu­kommen.“

Die Ursachen für die Schwächen sind auch historisch bedingt: Der erste funktionsfähige Digitalrechner wurde 1941 gebaut. Die kommerzielle Nutzung des Internets begann 1989. 1994 begann SAP seine Software ans Internet zu klemmen. 2003 notierte das Bundeskriminalamt in seiner Polizeilichen Kriminalstatistik 1705 Fälle von Computersabotage. 2013 waren es 12 766 Fälle. Die Aufklärungsquote in diesem Deliktbereich ging in diesen zehn Jahren von 39,3 auf 17,5 % zurück. Es wird deutlich: Erst in den letzten zehn Jahren hat sich die Angriffsqualität auf ihr heutiges Niveau entwickelt – ein Ende dieses Prozesses ist nicht in Sicht. Somit kam es früher vor allem darauf an, dass die Technik funktionierte – ihre Manipulationssicherheit stand nicht im Vordergrund. Die „alte“ Technik ist aber – einschließlich ihrer Schwächen – bis heute noch im Einsatz. Bis die Schwäche identifiziert, eine Gegenmaßnahme entwickelt und implementiert ist, kann viel Zeit vergehen.

Kriminelle profitieren von der Leistungsfähigkeit des „Business Warehouse“

Die beschaulichen Zeiten der Jahrtausendwende sind un­wie­der­bring­lich vorbei – Sebastian Schinzel weist darauf hin, dass mit bestimmten SAP-Komponenten – etwa der „SAP NetWeaver Business Intelligence“ – ein gesamtes Unternehmen weltweit einsehbar ist: Einkauf, Lager, Entwicklung, Produktion, Versand und Abrechung – alles ließe sich einsehen und steuern. Der Informatiker fürchtet um die Existenz eines Konzerns, wenn Informationen mit solcher Detailtiefe an die Wettbewerber gerieten. Auch große Unternehmen müssten mit Schwierigkeiten rechnen, wenn sie Opfer von Spionage geworden seien und beispielsweise in den USA für ihr Recht kämpfen wollten. Zum Beleg seiner Aussage verweist Sebastian Schinzel auf den Windanlagenbauer Enercon. Das Unternehmen wurde vom kalifornischen Wettbewerber Kenetech ausspioniert und dessen Entwicklung unter eigenem Namen in den USA zum Patent angemeldet. Anschließend wurde Enercon der Zugang zum US-Markt verwehrt. Den Verlust bezifferte das Unternehmen 1996 auf 200 Mio. DM.

Derweil träumen die Entscheider in Walldorf vom „Internet der Dinge“: „Alltägliche Gegenstände und Maschinen, sogar Häuser und Gewerbegebäude, kommunizieren über eingebaute Sensoren miteinander via Internet. Dieses Zukunftsszenario liegt nicht so fern, wie es klingen mag. SAP Research hat bereits mit der Arbeit am sogenannten „Internet der Dinge“ begonnen – einem Aspekt des „Future Internet“.

Ein Kommentar zur Datensicherheit

Mit freundlicher Genehmigung von security-insider.de wurde uns ein Kommentar des Autors zur Verfügung gestellt:

x

Thematisch passende Artikel:

Ausgabe 09/2017

Datensicherheit

Nur das Beste kann teure Geldbußen vermeiden!

Im Mai 2017 zahlte der Gebäudedienstleister Fazio Mechanical Services dem US-Lebensmittelhändler Target nach einem Datenangriff 18,5 Mio. US-$. Durch etwaige Fehler sollen beide Unternehmen den...

mehr

SAP im Feuer der Kritik

Anwendervereinigung warnt vor Clouddiensten

Der Hamburger Beauftragte für den Datenschutz Johannes Caspar und Marco Lenck, Vorstandsvorsitzender der Deutschsprachigen SAP-Anwendergruppe (DSAG) e.V. kritisieren den Softwarekonzern SAP: „Die...

mehr

Interne Kommunikation an verteilten Standorten

Firmennetzwerk für Datenaustausch

Das in zweiter Generation geführte Familienunternehmen Goldbeck hat 38 Standorte in Deutschland, Österreich, in der Schweiz, in Großbritannien, Tschechien, Polen und der Slowakei. Das verkürzt den...

mehr

Mindesthygieneanforderungen für Materialien und Produkte im Kontakt mit Trinkwasser werden harmonisiert

Nachdem im Januar 2021 die Neufassung der EU-Trinkwasserrichtlinie in Kraft getreten ist, wird diese nun um Regelungen ergänzt, die die Mindesthygieneanforderungen an Materialien und Produkte im...

mehr
Ausgabe 11/2013

Das Internet der Dinge

„KIT-Campus-Guide“ für „OpenIoT“

Um etwa an einer Universität optimal lernen zu können, benötigen viele Studenten einen Arbeitsraum mit Internetanschluss, Drucker, Zugang zu Fachbüchern, Berichten, Zeit­schrif­ten und Zugang zu...

mehr