Nahezu täglich werden neue Sicherheitslücken entdeckt – im Zentrum der öffentlichen Aufmerksamkeit stehen dabei Fehler in Microsoft-Produkten. Aber auch andere große Softwareanbieter haben mit Schwachstellen zu kämpfen – insbesondere offenbar die SAP AG. Nach Angaben von WabiSabiLabi, einer seit Juli aktiven Schweizer Online-Auktionsplattform, auf der Informationen zu Sicherheitslücken gehandelt werden, geht dort der bislang größte Anteil an Schwachstellen mit zehn Security-Lecks auf das Konto des Walldorfer Softwareanbieters. "Einige haben wir von Sicherheitsforschern erhalten, andere beim Überprüfen der Lecks gefunden", berichtet Roberto Preatoni, Stratege bei dem Startup. Da viele dieser Fehler offenbar gepatcht werden müssten, sei dem Softwareanbieter dringend eine Generalüberholung in Sachen Sicherheit zu empfehlen. Nach Ansicht des Security-Experten können Schwachstellen in den weit verbreiteten SAP-Systemen aufgrund der darin enthaltenen, kritischen Unternehmensdaten katastrophale Folgen haben.
Die Tatsache, dass große Firmenanwendungen zunehmend via Web zugänglich sind, macht die Sache nicht besser – außer für Hacker. "Wem es um Industriespionage geht, der findet alle erforderlichen Informationen im Business-System", warnt Thomas Olofsson, Director Technology bei der Sicherheitsfirma Tadcom. Als grundlegendes Problem erachtet er, dass SAP-Systeme nicht mit Blick auf Sicherheit entwickelt wurden. Ihm zufolge könnten Hacker, die eine Schwachstelle etwa im Gehaltsmodul entdeckten, vollen Zugriff auf die Datenbank und die gesamte Organisation erlangen.
Allerdings sei SAP nicht der einzige Anbieter, dessen Plattformen Sicherheitsmängel aufweisen – das Thema Security komme bei großen Firmenanwendungen generell zu kurz. "Sie werden nicht so genau untersucht wie andere Systeme", erklärt Olofsson. Bei einem Exchange-Server etwa werde dazu das Oberste zuunterst gekehrt, bei Unternehmensplattformen hingegen nicht. Zudem seien die mit der Systeminstallation beauftragten Dienstleister meist nicht auf Sicherheit spezialisiert. Ferner werde mit Penetrationsstest betrauten Security-Consultants häufig mitgeteilt, dass Firmensysteme diesbezüglich tabu seien. "Das Management hat Bedenken, dass dabei etwas schief läuft", nennt Olofsson einen weiteren Aspekt, der die Sicherheitslage nicht gerade verbessert.
Der Walldorfer Softwareanbieter wollte zu den angeblichen Security-Mängeln keinen Kommentar abgeben, bezeichnet die Vorwürfe jedoch als unbegründet. "Ich verstehe die Kritik nicht: Wir sind der einzige Anbieter von Unternehmensanwendungen, der seine Plattform im Hinblick auf Security zertifiziert hat", so SAP-Produktmanager Tomas Andersson. Darüber hinaus habe man hart an der internen Sicherheit gearbeitet. (kf)