Anzeige
Nicht geänderte Standardschlüssel gefährden die Sicherheit von SAPs Datenbank Hana.
Nicht geänderte Standardschlüssel gefährden die Sicherheit von SAPs Datenbank Hana. (Bild: SAP)

IT-Sicherheit: Standardschlüssel gefährdet SAPs Datenbank Hana

Nicht geänderte Standardschlüssel gefährden die Sicherheit von SAPs Datenbank Hana.
Nicht geänderte Standardschlüssel gefährden die Sicherheit von SAPs Datenbank Hana. (Bild: SAP)

Bei der Installation wird die Benutzerdatenbank in SAPs Hana mit dem stets gleichen Standardschlüssel abgesichert. Weil dieser nur selten geändert wird, könnten sich Unberechtigte leicht Zugriff auf die dort gespeicherten Administratorkonten verschaffen.

Anzeige

Ein Schlüssel, um sie alle zu identifizieren: Bei der Installation von SAPs In-Memory-Datenbank Hana wird zunächst ein Standardschlüssel verwendet, um die integrierte Benutzerdatenbank Hdbuserstore abzusichern. Dieser Schlüssel werde später nur selten geändert, daher könnten sich Unbefugte mit dem allgemein bekannten Standardschlüssel Zugriff auf sämtliche Verwaltungskonten verschaffen, warnt der IT-Sicherheitsexperte Alexander Polyakov.

In der Hana-Komponente Hdbuserstore, die auf Datenträgern gespeichert wird, werden nicht nur Benutzernamen und Passwörter der Datenbankadministratoren gespeichert, sondern auch die Schlüssel, mit denen die regelmäßig erstellten Sicherungen der Datenbank verschlüsselt werden. Wer also den Standardschlüssel besitzt, könne sich Zugriff auf die Sicherungen und damit auf sämtliche Daten verschaffen, sagt Polyakov. Untersuchungen seiner Beratungsfirma ERPScan zufolge wird dieser Standardschlüssel nach der Installation nur selten durch einen eigenen ausgetauscht.

SAPs Richtlinien zur Absicherung

SAP beschreibt die Vorgehensweise in seinen Richtlinien und Sicherheitshinweisen: Mit dem beigelegten Werkzeug Rsecssfx lässt sich der sogenannte SSFS Master Key ändern. Anschließend sollten mit Hdbnsutil die Hauptschlüssel für die Sicherungen geändert werden. Zuletzt sollten die Zugriffe auf Hdbuserstore und den Schlüssel selbst weitestmöglich eingeschränkt werden.

Das Problem statischer und einprogrammierter Schlüssel gebe es nicht nur bei der Hana-Datenbank, sagt Polyakov. In SAPs Mobile Platform würden Anwendungspasswörter anhand eines bekannten statischen Schlüssels gespeichert. Über eine inzwischen geschlossene Sicherheitslücke sei es möglich gewesen, sich auch von außen Zugriff auf die Konfigurationsdatei zu verschaffen, in der Passwörter abgelegt werden. Diese Konfigurationsdatei habe sich mit dem bekannten Schlüssel dechiffrieren lassen.

Generell warnt Polyakov davor, die Sicherheit in Geschäftsapplikationen nicht ernst zu nehmen. Vor wenigen Tagen hat SAP auch die Freak-Schwachstelle in seinen Komponenten geschlossen, Monate nachdem sie bekannt wurde.


eye home zur Startseite
spambox 22. Jun 2015

Danke, genau das wollte ich auch eben schreiben.

exxo 22. Jun 2015

Der Artikel ist klassisches Clickbait. Das default Passwörter nicht geändert werden ist...

Kommentieren



Anzeige

  1. Mitarbeiter (m/w) Business Development
    Canada Life Assurance Europe Limited, Neu-Isenburg
  2. Data Scientist / Statistiker (m/w)
    Ford-Werke GmbH, Köln oder Aachen
  3. PowerPoint Profi (m/w)
    LBD-Beratungsgesellschaft mbH, Berlin
  4. Systemtechniker (m/w)
    ADG Apotheken-Dienstleistungsgesellschaft mbH, Hamburg, Oldenburg

Detailsuche



Anzeige
Top-Angebote
  1. NUR NOCH HEUTE: Logitech G610 Orion Brown
    92,52€ statt 112,52€ (Vergleichspreise ab ca. 109€)
  2. NUR NOCH HEUTE: Logitech G900 Chaos Spectrum (kabelgebunden/kabellos)
    159,00€ statt 179,00€ (Vergleichspreise ab ca. 179€)
  3. NUR NOCH HEUTE: Gratis Roccat Lua Tri-Button Maus + Kanga Cloth Mousepad Bundle bei Kauf einer ausgewählten Gainward-Grafikkarte

Weitere Angebote


Folgen Sie uns
       


  1. Charm

    Samsungs Fitness-Tracker mit langer Laufzeit kostet 30 Euro

  2. Nach Kritik

    Pornhub überarbeitet sein Bounty-Programm

  3. Forschung

    Forcephone macht jedes Smartphone Force-Touch-tauglich

  4. Unity

    Jobplattform für Entwickler und neues Preismodell

  5. Internetzugang

    Deutsche Telekom entschuldigt sich vergeblich bei Bushido

  6. Basistunnel

    Bestens vernetzt durch den Gotthard

  7. Kniterate

    Der Maker lässt stricken

  8. Maker Faire Hannover 2016

    Denkt denn keiner an die Kinder? Doch, alle!

  9. Sampling

    Hip-Hop bleibt erlaubt

  10. Tubeninja

    Youtube fordert Streamripper zur Schließung auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Business-Notebooks im Überblick: Voll ausgestattet, dockingtauglich und trotzdem klein
Business-Notebooks im Überblick
Voll ausgestattet, dockingtauglich und trotzdem klein
  1. Elitebook 1030 G1 HPs Core-M-Notebook soll 13 Stunden durchhalten
  2. Windows 7 und 8.1 Microsoft verlängert den Skylake-Support
  3. Intel Authenticate Fingerabdruck und Bluetooth-Smartphone entsperren PC

Cloudready im Test: Ein altes Gerät günstig zum Chromebook machen
Cloudready im Test
Ein altes Gerät günstig zum Chromebook machen
  1. Chrome OS Android-Apps kommen auf Chromebooks
  2. Acer-Portfolio 2016 Vom 200-Hz-Curved-Display bis zum 15-Watt-passiv-Detachable

Unternehmens-IT: Von Kabelsalat und längst überfälligen Upgrades
Unternehmens-IT
Von Kabelsalat und längst überfälligen Upgrades
  1. Sprachassistent Voßhoff will nicht mit Siri sprechen
  2. LizardFS Software-defined Storage, wie es sein soll
  3. HPE Hyper Converged 380 Kleines System für das schnelle Erstellen von VMs

  1. Der Unterschied zwischen Berlin und München

    wonoscho | 15:54

  2. Re: youtube-dl: Lokale Alternative

    Lala Satalin... | 15:54

  3. Re: Köpfen ist genial

    HubertHans | 15:54

  4. Re: Funktioniert auch mit VLC

    Lala Satalin... | 15:52

  5. Re: Ich bin froh über jeden Blitzer

    mfeldt | 15:52


  1. 15:40

  2. 14:13

  3. 13:50

  4. 13:10

  5. 12:29

  6. 12:04

  7. 11:49

  8. 11:41


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel