Mit geringem Aufwand konnten Point-of-Sale-Systeme (POS) gehackt werden. Voraussetzung ist aber, dass der Angreifer physischen Zugriff auf das Netz hatte, in dem das Kassensystem aufgestellt ist. Allerdings gibt es in vielen Ladengeschäften oder Einkaufshäusern Geräte, über die man sich unbemerkt einklinken kann. Ein Angreifer benötigte dafür lediglich einen kleinen PC wie das Raspberry Pi oder einen vergleichbaren Rechner.
Entdeckt wurde dieser schwerwiegende Fehler von dem ERP-Sicherheitsexperten von ERPScan, die dieses Leck auch auf der Konferenz Hack in the Box in Singapur vorgestellt haben. Zuvor aber wurde SAP von dem Problem informiert. Das Leck wurde vor der Veröffentlichung behoben. Erste Hinweise auf Probleme in SAP POS wurden jedoch bereits im Mai bekannt. Auch am Patch-Day für den Juli hatte SAP bereits Lecks in SAP POS behoben.
Das Problem für diesen Fehler lag vor allem darin, dass der SAP POS Xpress Server keinerlei Authentifizierungsabfragen einforderte. Somit konnte auch ein unangemeldeter Nutzer kritische Funktionen kontrollieren oder gleich das gesamte System übernehmen. Der Angreifer kann dann sämtliche Einstellungen, die das System unterstützt vornehmen und so beispielsweise die Kreditkarteninformationen auf den Kassenzettel drucken oder diese Informationen an den Server des Angreifers schicken.
In der Folge konnte ein erfolgreicher Angreifer nicht nur die Fernsteuerung über die Kasse übernehmen, sondern auch sensible Kreditkarteninformationen auslesen. So hätte ein Angreifer damit zum Beispiel ein hochpreisiges Gerät in dem Kassensystem zum Beispiel für 1 Euro einpreisen können.
Auch DOS-Attacken sind auf diese Weise möglich. Ein Angreifer, der entweder über das Internet oder über ein anderes angeschlossenes Gerät, wie etwa eine Waage in der Gemüseabteilung, auf das Netz zugreifen und sämtliche Kassen herunterfahren. Gerade für große Einzelhändler kann das schnell zu einem kostspieligen Ausfall werden.
SAP POS ist eine Client-Server-Technologie und gehört zur Handelslösung von SAP. Die Lösung ist vor allem bei sehr großen Händlern weit verbreitet. So nutzen derzeit etwa 80 Prozent der Händler der Forbes 2000-Liste diese Technologie.
Ob auch Lösungen anderer Hersteller von diesem Problem betroffen sind, hätten die Forscher von ERP SCAN noch nicht eruieren können. Viele POS-Systeme aber würden auf ähnlichen Architekturen basieren und könnten daher auch an ähnlichen Lecks leiden.
SAP hat das entsprechende Leck bereits am 21. August behoben. Der Hersteller rät Anwendern schnell betroffene Systeme zu aktualisieren.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.
View Comments
Dieser Artikel benötigt Präzisierungen. 1. Die angreifbare Software ist die alte SAP POS-Lösung, die 2006 von SAP gekauft wurde und vorher von Triversity entwickelt worden ist. Diese Lösung ist seit Jahren abgekündigt. Sie läuft noch in Nord- und Zentralamerika bei mehr als 100 Kunden. Inzwischen gibt es eine neue Kassensoftware von SAP, die von einem Unternehmen in Deutschland entwickelt worden ist. 2. Die Aussage mit den 80 Prozent der Händler lt. Forbes-Liste ist in dieser Form falsch. Dort läuft mit Sicherheit nicht die alte Kassenlösung, sondern sie nutzen irgendein Modul von SAP und stehen damit auf der Kundenliste.
Sehr geehrter Herr Victor,
vielen Dank für die Hinweise. Wir haben uns da auf die Aussagen von ERP-Scan verlassen.
Liebe Grüße
Martin Schindler