R/3-Sicherheit kommt nicht von selbst

15.02.2005
Von Ralph Behr
Von Angriffen auf Systeme wie SAPs R/3 hört man nur selten. Das heißt nicht, dass derartige Lösungen keine Schwachstellen besitzen -- schon die Komplexität der Software kann Probleme schaffen. Diese lassen sich vermeiden, wenn Anwender bei Installation und Betrieb auf die Einhaltung bestimmter Sicherheitsempfehlungen achten.

Hier lesen Sie ..

  • wieso auch ERP-Systeme Ziel von Hacker-Attacken sein können;

  • dass die zunehmende Öffnung des SAP-Systems nicht nur von Vorteil ist;

  • welche Fehler bei einer R/3-Installation zu vermeiden sind und

  • welche Hilfsmittel SAP seinen Kunden an die Hand gibt.

ERP-Systeme wie SAP/3 weisen eine hohe Komplexität auf und sind nur schwer abzusichern.
ERP-Systeme wie SAP/3 weisen eine hohe Komplexität auf und sind nur schwer abzusichern.

Immer wieder tauchen Meldungen auf, die sich auf Schwachstellen in ERP-Systemen beziehen. Dabei scheint insbesondere SAP R/3 zusehends in den Fokus der Hacker-Szene zu rücken, wie ein Vortrag des Hackers "FX" über Sicherheitslücken in SAP-Software anlässlich des "20. Chaos Communication Congress" (20C3) Ende letzten Jahres in Berlin zeigte.

Das hängt sicher auch damit zusammen, dass noch vor einigen Jahren leistungsfähige Unix-Server für den Betrieb einer R/3-Installation benötigt wurden. Entsprechend rar waren Versuche, ein SAP-System zu hacken. Heutzutage lässt sich R/3 jedoch problemlos auf einem Notebook oder PC installieren. Schon diese Tatsache macht SAP-Software für Hacker interessanter.

Für den sicheren Betrieb einer R/3-Installation ist es notwendig, alle denkbaren Zugriffsmöglichkeiten auf die Daten des SAP-Systems abzusichern. Beim Schutz der SAP-Server, der Datenbank sowie des Netzwerks gegen interne und externe Angriffe verlassen sich die meisten R/3-Anwender komplett auf die Möglichkeiten und Einstellungen der jeweiligen Programme und übernehmen unbesehen unsichere Default-Einstellungen.

Inhalt dieses Artikels