20. Chaos Computer Congress

SAP im Visier der Hacker

09.01.2004
BERLIN (CW) - Zwischen Weihnachten und Neujahr trafen sich bundesdeutsche Hacker zum traditionellen Chaos Communication Congress, kurz 20C3, in Berlin. Die Veranstaltung widmete sich unter anderem der wachsenden Datensammelwut von Behörden und Unternehmen sowie den Sicherheitslücken von SAP-Systemen.

Zum zwanzigsten Mal trafen sich in Berlin auf Einladung des Chaos Computer Clubs (CCC) Hacker und Netzaktivisten auf dem dreitägigen Fachkongress 20C3 zum Erfahrungsaustausch. Neben spaßorientierten Veranstaltungen wie der siebten Deutschen Meisterschaft im Schlossöffnen bestimmten ernsthafte Themen wie etwa die Sicherheit von Standardsoftware den Kongress.

Ins Visier der Hacker gerät dabei zunehmend die SAP-Standardsoftware R/3. Diese bekommt nach Meinung der Teilnehmer aufgrund ihrer Komplexität und Intransparenz in den nächsten Jahren vermehrt Sicherheitsprobleme. Zumal die Schonzeit für die Walldorfer in den Augen der Hacker langsam ablaufe, da in der IT-Branchenflaute zahlreiche Informatiker Fortbildungen für R/3-Systeme erhalten hätten. Ein Know-how, das nun eventuell auch zum Programmieren SAP-spezifischer Viren genutzt werde.

Dass die SAP-Plattform in Verbindung mit Windows Schwachstellen im Internet Transaction Server sowie im Web Application Server aufweist, demonstrierte auf dem 20C3 die Gruppe Phenoelit. Hierzu nutzten die Hacker vier Buffer Overflows auf einem SAP-Server, der unter Windows lief. Auf diese Weise, so hieß es weiter, sei der als Middleware fungierende Agate-Dienst von SAP fernsteuerbar. Weil dieser wiederum mit dem im Hintegrund arbeitenden R/3-System kommuniziere, sei ein Eindringling in der Lage, in der SAP-Personalsoftware Mitarbeiter zu feuern. Ebenso verwundbar seien Web-Shops auf Basis von Mysap. Dabei sei es einem Angreifer möglich, Tausende von Produkten für andere zu bestellen. Nach den Ausführungen der Phenoelit-Gruppe sind von der Verwundbarkeit SAP-Systeme auf Windows-Basis betroffen, da Schwachstellen des darunter liegenden Betriebssystems ausgenutzt würden. SAP-Rechner, die unter Linux laufen, seien dagegen vor den Problemen geschützt. Genauere Informationen zur Vorgehensweise der Gruppe sind im Internet auf der Homepage von Phenoelit (www.phenoelit.de/whatsap) zu finden.

Neben der Verwundbarkeit existierender Systeme befasste sich der Kongress auch mit der wachsenden Datensammelwut. Ein besonderer Dorn im Auge waren den Teilnehmern dabei die RFID-Tags, mit denen künftig nicht nur Waren, wie etwa von der Ladenkette Metro geplant, sondern womöglich auch Pässe ausgestattet werden. Da die RFID-Funkchips im Umkreis von zweieinhalb Metern unbemerkt ausgelesen werden können, sehen die Hacker eine Einschränkung der Bürgerrechte, wenn die RFID-Tags in Personalpapiere integriert werden. Falls auch die Waren RFID-Tags besitzen, könne ein gigantisches Verzeichnis entstehen, das Orts- und Personenangaben enthalte und Informationen darüber, wer wann was wo gekauft habe. Angesichts dieser Gefahren fordern dem CCC nahe stehende Gruppen und Bürgerrechtsorganisationen eine internationale Konferenz, auf der Spielregeln für den Einsatz der Transpondertechnologie festgelegt und ernsthaft die Technikfolgen abgeschätzt werden. Ferner wird darüber nachgedacht, für den Verbraucher eine Art "Dataprivatizer" zu entwickeln, der die RFID-Tags aufspürt. Noch offen ist, ob das Gerät einen Störsender bekommt, um die RFIDs zu beeinträchtigen. (hi)