Onapsis deckt drei neue, hochriskante Sicherheitslücken in SAP Mobile auf

13.08.2015

Fortune 1000-Unternehmen gefährdet: Cyber-Schwachstellen ermöglichen nicht autorisierten Benutzern das Entschlüsseln und Modifizieren sensibler, von SAP-Geschäftsanwendungen verwendeter Konfigurationsparameter

Onapsis, global agierender Experte für die Sicherheit geschäftswichtiger Anwendungen, hat neue Security Advisories veröffentlicht, die gefährliche Schwachstellen in SAP Mobile beschreiben. Drei dieser Sicherheitslücken sind besonders schwerwiegend: Hacker können sich darüber innerhalb von Organisationen, die SAP Mobile einsetzen, Zugriff auf geschäftswichtige Informationen verschaffen.

Unternehmen verwenden SAP Mobile für das Entwickeln und den Einsatz von Anwendungen, die tausenden von Benutzern über Endgeräte der bedeutendsten Mobile-Anbieter wie Apple, Samsung, Google und Microsoft den Zugriff auf geschäftswichtige SAP-Applikationen ermöglichen. Abhängig davon, wie ein Unternehmen diese Plattform nutzen, können als hochriskant eingestufte Sicherheitslücken von Cyber-Kriminellen ausgenutzt werden, um sich Zugriff auf geschäftswichtige Informationen zu verschaffen – inklusive Kundendaten, Produktpreise, Finanzaussagen, Personaldaten, Lieferketten, Business Intelligence, Budgetierungen, Planungen und Prognosen.

Drei von Onapsis veröffentlichte Security Advisories beschreiben als hochriskant eingestufte Schwachstellen im Data Vault der SAP Mobile-Plattform:

• Keystream Recovery: Ermöglicht es einem Angreifer, der Zugriff auf ein verwundbares mobiles Endgerät hat, die Zugangsdaten und weitere lokal gespeicherten sensiblen Informationen zu entschlüsseln. Potenziell besteht die Möglichkeit, sich mit anderen Geschäftssystemen zu verbinden und auf zusätzliche Daten zuzugreifen.
• Vorhersagbare Verschlüsselungspasswörter für Konfigurationsdaten: Hacker mit Zugriff auf ein verwundbares Endgerät sind darüber in der Lage, sensible Konfigurationsdaten von SAP-Unternehmensanwendungen zu entschlüsseln und zu modifizieren. Dadurch ist ein breites Spektrum wichtiger Geschäftsanwendungen potenziellen Angriffen ausgesetzt.
• Vorhersagbare Verschlüsselungspasswörter für sicheres Speichern: Diese Sicherheitslücke ermöglicht es einem Angreifer mit Zugriff auf ein verwundbares Endgerät sensible Informationen zu lesen, zum Beispiel verschlüsselte, auf dem Gerät gespeicherte Log-In-Zugangsdaten. Es besteht die Gefahr, darüber Zugang zu Unternehmensanwendungen zu erlangen und geschäftswichtige Informationen abzurufen oder zu verändern.

Diese drei als hochriskant eingestuften, von Onapsis berichteten Schwachstellen hat SAP mittlerweile behoben. Systeme, auf denen die aktuellen Patches noch nicht eingespielt sind, bieten Hackern über diese Sicherheitslücken die Möglichkeit, verschlüsselte, auf mobilen Endgeräten gespeicherte Informationen zu kompromittieren. Das bekannteste Beispiel für solche Informationen sind Zugangsdaten zu SAP-Systemen, die in der Regel geschäftswichtige Informationen des betroffenen Unternehmens enthalten und verarbeiten.

„Staaten und kriminelle Organisationen nehmen SAP-Unternehmensanwendungen ins Visier, da diese die sensibelsten Informationen über ein Unternehmen enthalten. Daher ist es für diese Firmen überlebenswichtig, lauofend proaktive Maßnahmen zum Schutz ihrer SAP-Infrastruktur vorzunehmen“, sagt Ezequiel Gutesman, Director of Research von Onapsis. „Eine aktuelle Untersuchung unseres Research Labs hat ergeben, dass 95 Prozent der untersuchten SAP-Systeme Sicherheitslücken aufwiesen, über die ein durchdringendes Kompromittieren der Geschäftsprozesse und -informationen betroffener Unternehmen möglich ist. Immer häufiger ist in den Medien von Datenpannen die Rede, bei denen Cyber-Kriminelle SAP-Schwachstellen ausgenutzt haben. Dies zeigt, dass es von größter Bedeutung ist, das SAP-Sicherheitsteams eng mit Informationssicherheitsabteilungen zusammenarbeiten, um das zunehmende Problem zu beheben.“

Die Advisories werden vom Onapsis Research Labs veröffentlicht, einem Team von IT-Sicherheitsspezialisten, das auf der Basis detaillierten Expertenwissens und langjähriger Erfahrung technische Analysen im geschäftlichen Kontext sowie Einschätzungen der aktuellen Sicherheitslage liefert. Bis heute hat Onapsis Research Labs mehr als 140 Advisories veröffentlicht und über 160 Unternehmenskunden von Onapsis beraten. Darüber hinaus hält Onapsis Research Labs regelmäßig Vorträge auf führenden IT-Security- und SAP-Konferenzen weltweit.

Jede Advisory beschreibt detailliert die Relevanz einer identifizierten Sicherheitslücke im geschäftlichen Kontext. Dazu zählen mögliche Auswirkungen auf das Geschäft, eine Beschreibung der betroffenen Komponenten und konkrete Handlungsanweisungen zum Lösen des Problems – etwa das Implementieren empfohlener Sicherheitsmaßnahmen und direkte Links zum Herunterladen verfügbarer Patches.

Die Advisories sind öffentlich verfügbar unter http://www.onapsis.com/research/advisories.

Am Donnerstag, 10. September 2015, wird Onapsis die aktuellen Sicherheitslücken in einem Webcast thematisieren. Weitere Informationen erhalten Sie unter http://www.onapsis.com/webcasts/preventing-cyberattacks-on-sap-mobile. Hier können Sie sich auch für den Webcast registrieren.