Security-Alert
11.11.2015, 08:45 Uhr
SAP-Hana-Apps enthalten viele Sicherheitslücken
Der Security-Experte Onapsis Research Labs hat kritische Cyber-Sicherheitslücken entdeckt, die SAP-S/4-Hana und darauf basierende Applikationen betreffen.
Der auf Security für Geschäftsanwendungen auf SAP- und Oracle-Basis spezialisierte Anbieter Onapsis Research Labs hat 21 neue Sicherheitsempfehlungen (Security Advisories) veröffentlicht, die eine grosse Zahl von Sicherheitslücken beschreiben.
Diese betreffen alle SAP-Hana-basierten Applikationen – auch SAP-S/4-Hana und SAP-Cloud-Lösungen auf der Basis von Hana. Onapsis hebt in seinen Sicherheitsempfehlungen acht als "Critical Risks" eingestufte Schwachstellen hervor. Sechs davon betreffen konstruktive Schwachstellen in SAP Hana, die sich nur über Änderungen in der Systemkonfiguration entschärfen lassen.
Es ist gemäss Onapsis das erste Mal, dass Empfehlungen mit dem höchsten Risiko für SAP Hana veröffentlicht werden. Zudem handelt es sich dabei um die bisher höchste Zahl an bisher bekannt gegebenen Sicherheitslücken für SAP Hana.
Unterbleiben die notwendigen Systemkonfigurationen, können nicht authentifizierte Angreifer die vollständige Kontrolle über verwundbare SAP-Hana-Systeme übernehmen sowie Geschäftsinformationen stehlen, löschen oder ändern. Darüber hinaus sind sie in der Lage, die gesamte SAP-Plattform herunterzufahren oder geschäftliche Schlüsselprozesse zu unterbrechen.
Im Detail: Die neuen, von Onapsis veröffentlichten Hana-Sicherheitsempfehlungen betreffen acht kritische Schwachstellen, sechs davon mit hohem Risiko und sieben mit einem mittlerem Risiko. Viele der kritischen Schwachstellen stehen in Verbindung mit den TrexNet-Schnittstellen im Kern der Hana-Software, die die Kommunikation zwischen Servern in Hochverfügbarkeits-Umgebungen steuern und grossvolumige Geschäfte unterstützen.
Da SAP Hana sich zur Basistechnologie für alle SAP-Applikationen inklusive S4/HANA und die SAP-Hana-Cloud-Plattform entwickelt und auch ein umfassendes Angebot an mobilen Applikationen von Drittanbietern unterstützt, wächst die Angriffsfläche exponentiell.