SAP-Kassensysteme einfach zu hacken

SAP (Bild: SAP)

Angreifer konnten nicht nur Preise verändern, sondern auch die Daten von Kreditkarten von Kunden auslesen. SAP hat den Fehler inzwischen behoben.

Mit geringem Aufwand konnten Point-of-Sale-Systeme (POS) gehackt werden. Voraussetzung ist aber, dass der Angreifer physischen Zugriff auf das Netz hatte, in dem das Kassensystem aufgestellt ist. Allerdings gibt es in vielen Ladengeschäften oder Einkaufshäusern Geräte, über die man sich unbemerkt einklinken kann. Ein Angreifer benötigte dafür lediglich einen kleinen PC wie das Raspberry Pi oder einen vergleichbaren Rechner.

Entdeckt wurde dieser schwerwiegende Fehler von dem ERP-Sicherheitsexperten von ERPScan, die dieses Leck auch auf der Konferenz Hack in the Box in Singapur vorgestellt haben. Zuvor aber wurde SAP von dem Problem informiert. Das Leck wurde vor der Veröffentlichung behoben. Erste Hinweise auf Probleme in SAP POS wurden jedoch bereits im Mai bekannt. Auch am Patch-Day für den Juli hatte SAP bereits Lecks in SAP POS behoben.

Einmal im System konnte ein Angreifer über das Leck in SAP POS sämtliche administrativen Funktionen steuern und sogar Prozesse abändern oder für Produkte neue Preise festsetzen. (Bild: ERPScan)
Einmal im System konnte ein Angreifer über das Leck in SAP POS sämtliche administrativen Funktionen steuern und sogar Prozesse abändern oder für Produkte neue Preise festsetzen. (Bild: ERPScan)

Das Problem für diesen Fehler lag vor allem darin, dass der SAP POS Xpress Server keinerlei Authentifizierungsabfragen einforderte. Somit konnte auch ein unangemeldeter Nutzer kritische Funktionen kontrollieren oder gleich das gesamte System übernehmen. Der Angreifer kann dann sämtliche Einstellungen, die das System unterstützt vornehmen und so beispielsweise die Kreditkarteninformationen auf den Kassenzettel drucken oder diese Informationen an den Server des Angreifers schicken.

In der Folge konnte ein erfolgreicher Angreifer nicht nur die Fernsteuerung über die Kasse übernehmen, sondern auch sensible Kreditkarteninformationen auslesen. So hätte ein Angreifer damit zum Beispiel ein hochpreisiges Gerät in dem Kassensystem zum Beispiel für 1 Euro einpreisen können.

Auch DOS-Attacken sind auf diese Weise möglich. Ein Angreifer, der entweder über das Internet oder über ein anderes angeschlossenes Gerät, wie etwa eine Waage in der Gemüseabteilung, auf das Netz zugreifen und sämtliche Kassen herunterfahren. Gerade für große Einzelhändler kann das schnell zu einem kostspieligen Ausfall werden.

SAP POS ist eine Client-Server-Technologie und gehört zur Handelslösung von SAP. Die Lösung ist vor allem bei sehr großen Händlern weit verbreitet. So nutzen derzeit etwa 80 Prozent der Händler der Forbes 2000-Liste diese Technologie.

Ob auch Lösungen anderer Hersteller von diesem Problem betroffen sind, hätten die Forscher von ERP SCAN noch nicht eruieren können. Viele POS-Systeme aber würden auf ähnlichen Architekturen basieren und könnten daher auch an ähnlichen Lecks leiden.

SAP hat das entsprechende Leck bereits am 21. August behoben. Der Hersteller rät Anwendern schnell betroffene Systeme zu aktualisieren.