Schwere Sicherheitslücken in SAP HANA

Der auf ERP-Sicherheit spezialisierte Anbieter Onapsis veröffentlicht 21 Lecks in SAP HANA und sämtlichen HANA-basierten Applikationen. Auch die neue Suite S/4HANA sowie HANA-basierten Cloud-Lösungen sind von den Lecks betroffen. Rund 10.000 Unternehmen nutzen inzwischen Produkte auf Basis von SAP HANA.

Acht dieser Lecks werden als kritisch eingestuft. Dabei sollen sechs Lecks sich nur über die Änderung in der Systemkonfiguration beheben lassen. Über diese Lecks können Angreifer vollständig die Kontrolle über die SAP-HANA-Systeme übernehmen und damit auch wertvolle und vertrauliche Informationen entwenden, löschen oder ändern. Zudem, so warnt der Sicherheitsspezialist, könnten geschäftskritische Prozesse unterbrochen werden.

Weitere sechs Lecks sind mit hohem Risiko und sieben mit mittleren Risiko bewertet. Die Schwachstellen stehen unter anderem mit den TrexNet-Schnittstellen im Kern der HANA-Software im Zusammenhang. TrexNet steuert die Kommunikation zwischen Servern in Hochverfügbarkeitsumgebungen. Dadurch sind auch S/4HANA und auch die SAP HANA Cloud-Plattform von den Sicherheitsproblemen betroffen.

In jüngster Zeit werden häufiger Sicherheitslecks in SAP HANA bekannt. (Bild: SAP)

Weil sich einige dieser Schwachstellen sich nicht durch das Einspielen von Patches beheben lassen und auch der TrexNet-Service nicht heruntergefahren werden kann, müssen die Systeme in den meisten Fällen rekonfiguriert werden. Von SAP gibt es entsprechende Sicherheitshinweise.

Parallel dazu empfehlen die Sicherheitsspezialisten von Onapsis, zunächst die TrexNet-Kommunikation korrekt zu konfigurieren. Die Kommunikation über diese Schnittstellen müsse über Netzwerke stattfinden, die von Endanwendern isoliert sind und auf die von keinem anderen Netzwerk aus zugegriffen werden kann. Auf der Transportebene müsse zudem eine Verschlüsselung wie auch eine Authentifizierung installiert sein. Wenn nur eine SAP HANA-Instanz eingerichtet ist, dürfen alle TrexNet-Schnittstellen nur mit der Localhost-Netzwerkschnittstelle kommunizieren.

Einige der kritischen Sicherheitslücken können zudem von legitimierten Anwendern und Hackern ausgenutzt werden, die versuchen, sich mit den verwundbaren Komponenten zu verbinden (SQL und HTTP). Daher sollte der HTTP-Datenverkehr auf ungewöhnliche Aktivitäten überprüft werden. Zudem sollte Unternehmen über SIEM- oder GRC-Tools eine umfassende Informations-Sicherheitsstrategie sicherstellen.

Onapsis arbeitet eng mit SAP zusammen, um Patches für Lecks zu veröffentlichen, bevor diese einer breiteren Öffentlichkeit bekannt werden und gegen Anwender genutzt werden. Nachdem SAP im Februar über diese Lecks informiert wurde, hat der Software-Hersteller jetzt Fixes für die Sicherheitslecks veröffentlicht.

“Die nächste große Angriffswelle zielt auf geschäftswichtige Anwendungen auf der Basis von SAP und Oracle – für Cyber-Kriminelle sind dies die ultimativen Angriffsziele. Gleichzeitig sind es derzeit die größten Unbekannten für viele Chief Information Security Officer (CISO). SAP-bezogene Datenpanne stehen aber mehr und mehr im Fokus der Öffentlichkeit, wie die veröffentlichte Datenpanne rund um das USIS zeigt, einen Anbieter von Recherchen für DHS und OPM”, kommentiert Mariano Nunez, CEO von Onapsis.

Lesen Sie auch : Quo vadis SAP-Berater?
Redaktion

Recent Posts

KI als Pairing-Partner in der Software-Entwicklung

Pair Programming ist eine verbreitete Methode in der Softwareentwicklung mit vielen positiven Effekten, erklärt Daniel…

2 Tagen ago

Confare #ImpactChallenge 2024 – jetzt einreichen und nominieren

Mit der #ImpactChallenge holt die IT-Plattform Confare IT-Verantwortliche auf die Bühne, die einen besonderen Impact…

2 Tagen ago

Ransomware: Zahlen oder nicht zahlen?

Sollen Unternehmen mit den Ransomware-Angreifern verhandeln und das geforderte Lösegeld zahlen?

3 Tagen ago

KI-gestützter Cobot automatisiert Sichtprüfung

Die manuelle Qualitätsprüfung von Industrieprodukten ist ermüdend und strengt an.  Eine neue Fraunhofer-Lösung will Abhilfe…

3 Tagen ago

Digitalisierungsberufe: Bis 2027 fehlen 128.000 Fachkräfte

Studie des Instituts der deutschen Wirtschaft (IW) zeigt, in welchen Digitalisierungsberufen bis 2027 die meisten…

4 Tagen ago

Angriffe auf Automobilbranche nehmen zu

Digitalisierung und Vernetzung der Fahrzeuge, Elektromobilität und autonomes Fahren bieten zahlreiche Angriffspunkte.

4 Tagen ago