SAP-Datenbank

Die meisten HANA-Installationen sind unsicher

19.06.2015

Thomas Cloer war Redakteur der Computerwoche.

SAPs In-Memory-Datenbank stellt offenbar ein nicht zu unterschätzendes Sicherheitsrisiko dar.

Nicht per se allerdings, sondern weil die Administratoren es offenbar nicht für nötig erachten, die Schlüssel zu ändern, welche die Datei "hdbuserstore" schützen. Standardmäßig kommt dafür ein statischer Master Key zum Einsatz, der für alle Installationen der gleiche ist - SAP empfiehlt zwar ausdrücklich (PDF-Link), diesen zu ändern, doch laut Alexander Polyakov von ERPScan tut das kaum jemand.

"Die Leute denken, HANA würde als In-Memory-Datenbank keine sensiblen Daten auf Platte schreiben", sagt der Experte. "Einige Daten sind aber tatsächlich auf der Disk gespeichert." Sobald sich ein Angreifer Zugang zu der hdbuserstore-Datei verschaffe und sie mit dem Standardschlüssel entschlüssele, erhalte er System-Nutzerpasswörter und die Schlüssel für die Disk-Verschlüsselung und könne damit sämtliche Daten auslesen. Bei sämtlichen von ERPScan untersuchten Kunden sei der Master Key für den Schutz der hdbuserstore unverändert gewesen.

Polyakov verriet dies laut Branchendienst "The Register" während Blackhat Technical Talks in den Niederlanden, wo er auch noch weitere Sicherheitslücken in HANA präsentierte (unter anderem eine seitdem bereits behobenee SQL-Injection-Schwachstelle im XS Server).

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren