Wer nicht umgehend, die jüngsten Security-Patches von SAP einspielt, dem droht die Kompromittierung zentraler Datenbestände. Das schreibt 'Heise' unter die Lupe genommen. Demnach lauert in einigen dieser 25 Security-Notes erhebliches Gefahrenpotential.

Als Beispiel zeichnet das Blatt eine Lücke in den SAP GUIs der Versionen 7.2 bis 7.5 nach, die das Einschleusen bösartigen ABAP-Codes unter Umgehen der Sicherheits-Policies zulässt. ABAP ist die Standard-Programmiersprache für SAP-Anwendungen. "Ermöglicht wird die Remote Code Execution durch einen Fehler im Regelwerk der SAP-GUI: das Programm regsvr32.exe darf ohne Sicherheitsabfrage ausgeführt werden. Abhilfe schafft das Einspielen von Security Note 2407616", so 'Heise'. Sei der bösartige Code erst einmal eingespielt, habe ein Angreifer dadurch bei jeden Aufruf des SAP-GUI Zugriff auf die Geschäftsdaten sowie Konfiguration und Quellcode und könne sogar durch Ransomware den Betrieb stilllegen.

Hingewiesen wird weiter auf inzwischen gestopfte Löcher, die "unter anderem die Big-Data-Erweiterung HANA und Cross-Site-Scripting im Web-GUI" betreffen. Und einmal mehr weist der Bericht auf die oft zögerlichen Reaktion auf bekannt gewordene SAP-Sicherheitslücken hin, weil "das zum Patchen oft notwendige Herunterfahren des Systems unangenehme Störungen des Geschäftsbetriebs nach sich" zieht.

Inhaltlich nimmt SAP übrigens keine Stellung. Die angesprochenen Sicherheitslücken seien mittlerweile bereinigt und die Patches stünden zum Herunterladen bereit, teilt man auf Anfrage von inside-it.ch lediglich. Angefügt ist der Hinweis auf die Webseite SAP Product Security Response.

Weiter schreibt SAP nur, dass man "seit Jahren eng mit verschiedenen externen Unternehmen zusammen arbeitet, die sich auf die Sicherheit von SAP-Lösungen spezialisiert haben. Dazu zählen auch die Firmen Onapsis und ERPScan." Daran schliesst sich dann noch die obligate Empfehlung an, "alle verfügbaren Patches einzuspielen, sobald sie verfügbar sind". Gegenüber 'Heise' hat man inzwischen immerhin noch verlauten lassen, "dass es keine Anhaltspunkte dafür gebe, dass diese Lücke bei einem Anwender bereits ausgenutzt worden sei". (vri)