Categories: Marketing

SAP-Kassensysteme einfach zu hacken

Mit geringem Aufwand konnten Point-of-Sale-Systeme (POS) gehackt werden. Voraussetzung ist aber, dass der Angreifer physischen Zugriff auf das Netz hatte, in dem das Kassensystem aufgestellt ist. Allerdings gibt es in vielen Ladengeschäften oder Einkaufshäusern Geräte, über die man sich unbemerkt einklinken kann. Ein Angreifer benötigte dafür lediglich einen kleinen PC wie das Raspberry Pi oder einen vergleichbaren Rechner.

Entdeckt wurde dieser schwerwiegende Fehler von dem ERP-Sicherheitsexperten von ERPScan, die dieses Leck auch auf der Konferenz Hack in the Box in Singapur vorgestellt haben. Zuvor aber wurde SAP von dem Problem informiert. Das Leck wurde vor der Veröffentlichung behoben. Erste Hinweise auf Probleme in SAP POS wurden jedoch bereits im Mai bekannt. Auch am Patch-Day für den Juli hatte SAP bereits Lecks in SAP POS behoben.

Einmal im System konnte ein Angreifer über das Leck in SAP POS sämtliche administrativen Funktionen steuern und sogar Prozesse abändern oder für Produkte neue Preise festsetzen. (Bild: ERPScan)

Das Problem für diesen Fehler lag vor allem darin, dass der SAP POS Xpress Server keinerlei Authentifizierungsabfragen einforderte. Somit konnte auch ein unangemeldeter Nutzer kritische Funktionen kontrollieren oder gleich das gesamte System übernehmen. Der Angreifer kann dann sämtliche Einstellungen, die das System unterstützt vornehmen und so beispielsweise die Kreditkarteninformationen auf den Kassenzettel drucken oder diese Informationen an den Server des Angreifers schicken.

In der Folge konnte ein erfolgreicher Angreifer nicht nur die Fernsteuerung über die Kasse übernehmen, sondern auch sensible Kreditkarteninformationen auslesen. So hätte ein Angreifer damit zum Beispiel ein hochpreisiges Gerät in dem Kassensystem zum Beispiel für 1 Euro einpreisen können.

Auch DOS-Attacken sind auf diese Weise möglich. Ein Angreifer, der entweder über das Internet oder über ein anderes angeschlossenes Gerät, wie etwa eine Waage in der Gemüseabteilung, auf das Netz zugreifen und sämtliche Kassen herunterfahren. Gerade für große Einzelhändler kann das schnell zu einem kostspieligen Ausfall werden.

SAP POS ist eine Client-Server-Technologie und gehört zur Handelslösung von SAP. Die Lösung ist vor allem bei sehr großen Händlern weit verbreitet. So nutzen derzeit etwa 80 Prozent der Händler der Forbes 2000-Liste diese Technologie.

Ob auch Lösungen anderer Hersteller von diesem Problem betroffen sind, hätten die Forscher von ERP SCAN noch nicht eruieren können. Viele POS-Systeme aber würden auf ähnlichen Architekturen basieren und könnten daher auch an ähnlichen Lecks leiden.

SAP hat das entsprechende Leck bereits am 21. August behoben. Der Hersteller rät Anwendern schnell betroffene Systeme zu aktualisieren.

Redaktion

View Comments

  • Dieser Artikel benötigt Präzisierungen. 1. Die angreifbare Software ist die alte SAP POS-Lösung, die 2006 von SAP gekauft wurde und vorher von Triversity entwickelt worden ist. Diese Lösung ist seit Jahren abgekündigt. Sie läuft noch in Nord- und Zentralamerika bei mehr als 100 Kunden. Inzwischen gibt es eine neue Kassensoftware von SAP, die von einem Unternehmen in Deutschland entwickelt worden ist. 2. Die Aussage mit den 80 Prozent der Händler lt. Forbes-Liste ist in dieser Form falsch. Dort läuft mit Sicherheit nicht die alte Kassenlösung, sondern sie nutzen irgendein Modul von SAP und stehen damit auf der Kundenliste.

    • Sehr geehrter Herr Victor,

      vielen Dank für die Hinweise. Wir haben uns da auf die Aussagen von ERP-Scan verlassen.

      Liebe Grüße

      Martin Schindler

Recent Posts

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

6 Minuten ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

17 Stunden ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

17 Stunden ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

19 Stunden ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

2 Tagen ago

Privates 5G-Netz für Rheinhäfen Karlsruhe

Über das private 5G-Campusnetz will das Unternehmen logistische Prozesse digitalisieren und künftig in Echtzeit steuern.

2 Tagen ago