SAP-Hana-Apps enthalten viele Sicherheitslücken

Der auf Security für Geschäftsanwendungen auf SAP- und Oracle-Basis spezialisierte Anbieter Onapsis Research Labs hat 21 neue Sicherheitsempfehlungen (Security Advisories) veröffentlicht, die eine große Zahl von Sicherheitslücken beschreiben.

Diese betreffen alle SAP-Hana-basierten Applikationen – auch SAP-S/4-Hana und SAP-Cloud-Lösungen auf der Basis von Hana. Onapsis hebt in seinen Sicherheitsempfehlungen acht als "Critical Risks" eingestufte Schwachstellen hervor. Sechs davon betreffen konstruktive Schwachstellen in SAP Hana, die sich nur über Änderungen in der Systemkonfiguration entschärfen lassen.

Es ist gemäß Onapsis das erste Mal, dass Empfehlungen mit dem höchsten Risiko für SAP Hana veröffentlicht werden. Zudem handelt es sich dabei um die bisher höchste Zahl an bisher bekannt gegebenen Sicherheitslücken für SAP Hana.

Unterbleiben die notwendigen Systemkonfigurationen, können nicht authentifizierte Angreifer die vollständige Kontrolle über verwundbare SAP-Hana-Systeme übernehmen sowie Geschäftsinformationen stehlen, löschen oder ändern. Darüber hinaus sind sie in der Lage, die gesamte SAP-Plattform herunterzufahren oder geschäftliche Schlüsselprozesse zu  unterbrechen.

Im Detail: Die neuen, von Onapsis veröffentlichten Hana-Sicherheitsempfehlungen betreffen acht kritische Schwachstellen, sechs davon mit hohem Risiko und sieben mit einem mittlerem Risiko. Viele der kritischen Schwachstellen stehen in Verbindung mit den TrexNet-Schnittstellen im Kern der Hana-Software, die die Kommunikation zwischen Servern in Hochverfügbarkeits-Umgebungen steuern und großvolumige Geschäfte unterstützen.

Da SAP Hana sich zur Basistechnologie für alle SAP-Applikationen inklusive S4/HANA und die SAP-Hana-Cloud-Plattform entwickelt und auch ein umfassendes Angebot an mobilen Applikationen von Drittanbietern unterstützt, wächst die Angriffsfläche exponentiell.

Die SAP-Sicherheitsexperten von Onapsis haben mit hunderten Unternehmen weltweit zusammengearbeitet, um die Auswirkungen dieser und anderer schwerwiegender Sicherheitslücken mithilfe des "Business Risk Illustration"-Tools (BRI) zu ermitteln.

Einige dieser Schwachstellen lassen sich laut Onapsis nicht durch das Einspielen von Patches beheben, und der betroffene TrexNet-Service kann dann nicht heruntergefahren werden. Eine saubere, korrekt implementierte Rekonfiguration des Systems ist in diesen Fällen die einzige Abwehrmöglichkeit.

Zusätzlich zum Verarbeiten der veröffentlichten SAP-Sicherheitshinweise empfiehlt Onapsis den SAP-Kunden folgende Schritte:

Die Sicherheitslücken setzen nach Einschätzung von Onapsis mehr als 10.000 SAP-Kunden, die unterschiedliche Versionen von SAP Hana betreiben, einem Risiko aus. Zu den Betroffenen gehören viele der größten Unternehmen aller Branchen, so unter anderen etwa aus den Sektoren Energie und Pharmazie sowie Behörden.

Experten schätzen, dass eine SAP-Datenpanne oder ein Ausfall eines SAP-Systems Organisationen viele Millionen Euro pro Minute Schaden verursachen können – zum Beispiel durch eine Unterbrechung der Produktion und des Vertriebs sowie durch den Verlust geistigen Eigentums und geschäftswichtiger Daten.

Das Ausnutzen von SAP-Hana-Schwachstellen könne die globale Wirtschaft erheblich beeinflussen, da diese Lücken Einfallstrassen für Angriffe auf Nationalstaaten, Industriespionage, finanziellen Betrug und Sabotage der wichtigsten Geschäftssysteme liefern, warnt Onapsis.

"Die nächste grosse Angriffswelle zielt auf geschäftswichtige Anwendungen auf der Basis von SAP und Oracle – für Cyber-Kriminelle sind dies die ultimativen Angriffsziele. Gleichzeitig sind es derzeit die größten Unbekannten für viele Chief Information Security Officer (CISO)", sagt Mariano Nunez, CEO von Onapsis.

"Die neuen kritischen Schwachstellen gehörten zu den gefährlichsten in Bezug auf den Schaden, den ein nicht authentifizierter Hacker darüber einem Unternehmen zufügen kann", so Nunez. "Werden sie ausgenutzt, kann jegliche von einem Hana-basierten System gespeicherte oder verwaltete Geschäftsinformation aufgerufen, verändert oder gelöscht werden", fügt Juan Perez-Etchegoyen, CTO von Onapsis, an. Das betreffe Kundendaten, Produktpreise, Finanzaussagen, Mitarbeiterinformationen, Lieferketten, Business Intelligence, geistiges Eigentum, Budget, Planungen und Forecasts. "Darüber hinaus können Hacker das System komplett herunterfahren oder vollständig übernehmen", warnt er.