SAP-Datenbank

Die meisten HANA-Installationen sind unsicher

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
SAPs In-Memory-Datenbank stellt offenbar ein nicht zu unterschätzendes Sicherheitsrisiko dar.

Nicht per se allerdings, sondern weil die Administratoren es offenbar nicht für nötig erachten, die Schlüssel zu ändern, welche die Datei "hdbuserstore" schützen. Standardmäßig kommt dafür ein statischer Master Key zum Einsatz, der für alle Installationen der gleiche ist - SAP empfiehlt zwar ausdrücklich (PDF-Link), diesen zu ändern, doch laut Alexander Polyakov von ERPScan tut das kaum jemand.

"Die Leute denken, HANA würde als In-Memory-Datenbank keine sensiblen Daten auf Platte schreiben", sagt der Experte. "Einige Daten sind aber tatsächlich auf der Disk gespeichert." Sobald sich ein Angreifer Zugang zu der hdbuserstore-Datei verschaffe und sie mit dem Standardschlüssel entschlüssele, erhalte er System-Nutzerpasswörter und die Schlüssel für die Disk-Verschlüsselung und könne damit sämtliche Daten auslesen. Bei sämtlichen von ERPScan untersuchten Kunden sei der Master Key für den Schutz der hdbuserstore unverändert gewesen.

Polyakov verriet dies laut Branchendienst "The Register" während Blackhat Technical Talks in den Niederlanden, wo er auch noch weitere Sicherheitslücken in HANA präsentierte (unter anderem eine seitdem bereits behobenee SQL-Injection-Schwachstelle im XS Server).