Abo
  • Services:
Anzeige
Nicht geänderte Standardschlüssel gefährden die Sicherheit von SAPs Datenbank Hana.
Nicht geänderte Standardschlüssel gefährden die Sicherheit von SAPs Datenbank Hana. (Bild: SAP)

IT-Sicherheit: Standardschlüssel gefährdet SAPs Datenbank Hana

Nicht geänderte Standardschlüssel gefährden die Sicherheit von SAPs Datenbank Hana.
Nicht geänderte Standardschlüssel gefährden die Sicherheit von SAPs Datenbank Hana. (Bild: SAP)

Bei der Installation wird die Benutzerdatenbank in SAPs Hana mit dem stets gleichen Standardschlüssel abgesichert. Weil dieser nur selten geändert wird, könnten sich Unberechtigte leicht Zugriff auf die dort gespeicherten Administratorkonten verschaffen.

Anzeige

Ein Schlüssel, um sie alle zu identifizieren: Bei der Installation von SAPs In-Memory-Datenbank Hana wird zunächst ein Standardschlüssel verwendet, um die integrierte Benutzerdatenbank Hdbuserstore abzusichern. Dieser Schlüssel werde später nur selten geändert, daher könnten sich Unbefugte mit dem allgemein bekannten Standardschlüssel Zugriff auf sämtliche Verwaltungskonten verschaffen, warnt der IT-Sicherheitsexperte Alexander Polyakov.

In der Hana-Komponente Hdbuserstore, die auf Datenträgern gespeichert wird, werden nicht nur Benutzernamen und Passwörter der Datenbankadministratoren gespeichert, sondern auch die Schlüssel, mit denen die regelmäßig erstellten Sicherungen der Datenbank verschlüsselt werden. Wer also den Standardschlüssel besitzt, könne sich Zugriff auf die Sicherungen und damit auf sämtliche Daten verschaffen, sagt Polyakov. Untersuchungen seiner Beratungsfirma ERPScan zufolge wird dieser Standardschlüssel nach der Installation nur selten durch einen eigenen ausgetauscht.

SAPs Richtlinien zur Absicherung

SAP beschreibt die Vorgehensweise in seinen Richtlinien und Sicherheitshinweisen: Mit dem beigelegten Werkzeug Rsecssfx lässt sich der sogenannte SSFS Master Key ändern. Anschließend sollten mit Hdbnsutil die Hauptschlüssel für die Sicherungen geändert werden. Zuletzt sollten die Zugriffe auf Hdbuserstore und den Schlüssel selbst weitestmöglich eingeschränkt werden.

Das Problem statischer und einprogrammierter Schlüssel gebe es nicht nur bei der Hana-Datenbank, sagt Polyakov. In SAPs Mobile Platform würden Anwendungspasswörter anhand eines bekannten statischen Schlüssels gespeichert. Über eine inzwischen geschlossene Sicherheitslücke sei es möglich gewesen, sich auch von außen Zugriff auf die Konfigurationsdatei zu verschaffen, in der Passwörter abgelegt werden. Diese Konfigurationsdatei habe sich mit dem bekannten Schlüssel dechiffrieren lassen.

Generell warnt Polyakov davor, die Sicherheit in Geschäftsapplikationen nicht ernst zu nehmen. Vor wenigen Tagen hat SAP auch die Freak-Schwachstelle in seinen Komponenten geschlossen, Monate nachdem sie bekannt wurde.


eye home zur Startseite
spambox 22. Jun 2015

Danke, genau das wollte ich auch eben schreiben.

exxo 22. Jun 2015

Der Artikel ist klassisches Clickbait. Das default Passwörter nicht geändert werden ist...



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Berlin, Frankfurt am Main
  2. Daimler AG, Fellbach
  3. operational services GmbH & Co. KG, Frankfurt am Main, München, Nürnberg, Wolfsburg
  4. operational services GmbH & Co. KG, Frankfurt, Berlin


Anzeige
Hardware-Angebote
  1. (Core i5-6500 + Geforce GTX 1060)
  2. 94,90€ statt 109,90€
  3. 699,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Tipps für IT-Engagement in Fernost
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  2. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  3. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie

  4. Gigabit-Breitband

    Google Fiber soll Alphabet zu teuer sein

  5. Google-Steuer

    EU-Kommission plädiert für europäisches Leistungsschutzrecht

  6. Code-Gründer Thomas Bachem

    "Wir wollen weg vom Frontalunterricht"

  7. Pegasus

    Ausgeklügelte Spyware attackiert gezielt iPhones

  8. Fenix Chronos

    Garmins neue Sport-Smartwatch kostet ab 1.000 Euro

  9. C-94

    Cratoni baut vernetzten Fahrradhelm mit Crash-Sensor

  10. Hybridluftschiff

    Airlander 10 streifte Überlandleitung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xfel: Riesenkamera nimmt Filme von Atomen auf
Xfel
Riesenkamera nimmt Filme von Atomen auf
  1. US Air Force Modifikation der Ionosphäre soll Funk verbessern
  2. Teilchenbeschleuniger Mögliches neues Boson weist auf fünfte Fundamentalkraft hin
  3. Materialforschung Glas wechselt zwischen durchsichtig und schwarz

Deus Ex Mankind Divided im Test: Der Agent aus dem Hardwarelabor
Deus Ex Mankind Divided im Test
Der Agent aus dem Hardwarelabor
  1. Summit Ridge AMDs Zen-Chip ist so schnell wie Intels 1.000-Euro-Core-i7
  2. Doom Denuvo schützt offenbar nicht mehr
  3. Deus Ex angespielt Eine Steuerung für fast jeden Agenten

Avegant Glyph aufgesetzt: Echtes Kopfkino
Avegant Glyph aufgesetzt
Echtes Kopfkino

  1. Re: Nur um das nochmal klar zu stellen

    Shoopi | 15:23

  2. Re: Das ist nicht das Problem! Im Gegenteil.

    HerrMannelig | 15:19

  3. Re: Hat sich eigentlich die Compression beim...

    Kleine Schildkröte | 15:16

  4. Re: Konzept nicht neu

    BLi8819 | 15:15

  5. Re: Dann doch "nur" schwarze Löcher?

    cuthbert34 | 15:15


  1. 15:33

  2. 15:17

  3. 14:29

  4. 12:57

  5. 12:30

  6. 12:01

  7. 11:57

  8. 10:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel