Categories: Marketing

SAP-Kassensysteme einfach zu hacken

Mit geringem Aufwand konnten Point-of-Sale-Systeme (POS) gehackt werden. Voraussetzung ist aber, dass der Angreifer physischen Zugriff auf das Netz hatte, in dem das Kassensystem aufgestellt ist. Allerdings gibt es in vielen Ladengeschäften oder Einkaufshäusern Geräte, über die man sich unbemerkt einklinken kann. Ein Angreifer benötigte dafür lediglich einen kleinen PC wie das Raspberry Pi oder einen vergleichbaren Rechner.

Entdeckt wurde dieser schwerwiegende Fehler von dem ERP-Sicherheitsexperten von ERPScan, die dieses Leck auch auf der Konferenz Hack in the Box in Singapur vorgestellt haben. Zuvor aber wurde SAP von dem Problem informiert. Das Leck wurde vor der Veröffentlichung behoben. Erste Hinweise auf Probleme in SAP POS wurden jedoch bereits im Mai bekannt. Auch am Patch-Day für den Juli hatte SAP bereits Lecks in SAP POS behoben.

Einmal im System konnte ein Angreifer über das Leck in SAP POS sämtliche administrativen Funktionen steuern und sogar Prozesse abändern oder für Produkte neue Preise festsetzen. (Bild: ERPScan)

Das Problem für diesen Fehler lag vor allem darin, dass der SAP POS Xpress Server keinerlei Authentifizierungsabfragen einforderte. Somit konnte auch ein unangemeldeter Nutzer kritische Funktionen kontrollieren oder gleich das gesamte System übernehmen. Der Angreifer kann dann sämtliche Einstellungen, die das System unterstützt vornehmen und so beispielsweise die Kreditkarteninformationen auf den Kassenzettel drucken oder diese Informationen an den Server des Angreifers schicken.

In der Folge konnte ein erfolgreicher Angreifer nicht nur die Fernsteuerung über die Kasse übernehmen, sondern auch sensible Kreditkarteninformationen auslesen. So hätte ein Angreifer damit zum Beispiel ein hochpreisiges Gerät in dem Kassensystem zum Beispiel für 1 Euro einpreisen können.

Auch DOS-Attacken sind auf diese Weise möglich. Ein Angreifer, der entweder über das Internet oder über ein anderes angeschlossenes Gerät, wie etwa eine Waage in der Gemüseabteilung, auf das Netz zugreifen und sämtliche Kassen herunterfahren. Gerade für große Einzelhändler kann das schnell zu einem kostspieligen Ausfall werden.

SAP POS ist eine Client-Server-Technologie und gehört zur Handelslösung von SAP. Die Lösung ist vor allem bei sehr großen Händlern weit verbreitet. So nutzen derzeit etwa 80 Prozent der Händler der Forbes 2000-Liste diese Technologie.

Ob auch Lösungen anderer Hersteller von diesem Problem betroffen sind, hätten die Forscher von ERP SCAN noch nicht eruieren können. Viele POS-Systeme aber würden auf ähnlichen Architekturen basieren und könnten daher auch an ähnlichen Lecks leiden.

SAP hat das entsprechende Leck bereits am 21. August behoben. Der Hersteller rät Anwendern schnell betroffene Systeme zu aktualisieren.

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

View Comments

  • Dieser Artikel benötigt Präzisierungen. 1. Die angreifbare Software ist die alte SAP POS-Lösung, die 2006 von SAP gekauft wurde und vorher von Triversity entwickelt worden ist. Diese Lösung ist seit Jahren abgekündigt. Sie läuft noch in Nord- und Zentralamerika bei mehr als 100 Kunden. Inzwischen gibt es eine neue Kassensoftware von SAP, die von einem Unternehmen in Deutschland entwickelt worden ist. 2. Die Aussage mit den 80 Prozent der Händler lt. Forbes-Liste ist in dieser Form falsch. Dort läuft mit Sicherheit nicht die alte Kassenlösung, sondern sie nutzen irgendein Modul von SAP und stehen damit auf der Kundenliste.

    • Sehr geehrter Herr Victor,

      vielen Dank für die Hinweise. Wir haben uns da auf die Aussagen von ERP-Scan verlassen.

      Liebe Grüße

      Martin Schindler

Recent Posts

Backup-Lücken in der Cloud

Für Backup und Recovery ihrer Daten sind SaaS-Anwenderunternehmen selbst verantwortlich. Verlassen sie sich nur auf…

28 Minuten ago

Wie gut ist Deutschland gegen Cyberangriffe gerüstet?

Potsdamer Konferenz für Nationale CyberSicherheit 2022 des Hasso-Plattner-Instituts.

38 Minuten ago

Prävention von Post-Quantum-Cyber-Attacken

BlackBerry unterstützt quantenresistente sichere Boot-Signaturen für die kryptoagilen S32G-Fahrzeugnetzwerkprozessoren von NXP Semiconductors.

1 Stunde ago

BSI veröffentlich Whitepaper zur Prüfbarkeit von KI-Systemen

Methode zur Erfassung der Prüfbarkeit der IT-Sicherheit von KI-Systemen.

6 Stunden ago

Blick in die Blackbox: Transparente Künstliche Intelligenz

Funktionsweisen von KI-Anwendungen für Autonomen Fahren oder in der Industrie 4.0 müssen transparent und nachvollziehbar…

9 Stunden ago

Silicon Security Day: Künstliche Intelligenz in der Cyber-Security

Cyberangreifer setzen zunehmend KI als Waffe ein, um ihre Angriffe noch zielführender zu starten –…

2 Tagen ago