Abo
  • Services:

IT-Sicherheit: Standardschlüssel gefährdet SAPs Datenbank Hana

Bei der Installation wird die Benutzerdatenbank in SAPs Hana mit dem stets gleichen Standardschlüssel abgesichert. Weil dieser nur selten geändert wird, könnten sich Unberechtigte leicht Zugriff auf die dort gespeicherten Administratorkonten verschaffen.

Artikel veröffentlicht am ,
Nicht geänderte Standardschlüssel gefährden die Sicherheit von SAPs Datenbank Hana.
Nicht geänderte Standardschlüssel gefährden die Sicherheit von SAPs Datenbank Hana. (Bild: SAP)

Ein Schlüssel, um sie alle zu identifizieren: Bei der Installation von SAPs In-Memory-Datenbank Hana wird zunächst ein Standardschlüssel verwendet, um die integrierte Benutzerdatenbank Hdbuserstore abzusichern. Dieser Schlüssel werde später nur selten geändert, daher könnten sich Unbefugte mit dem allgemein bekannten Standardschlüssel Zugriff auf sämtliche Verwaltungskonten verschaffen, warnt der IT-Sicherheitsexperte Alexander Polyakov.

Stellenmarkt
  1. CRM Partners AG, München, Frankfurt am Main
  2. EidosMedia GmbH, Frankfurt am Main

In der Hana-Komponente Hdbuserstore, die auf Datenträgern gespeichert wird, werden nicht nur Benutzernamen und Passwörter der Datenbankadministratoren gespeichert, sondern auch die Schlüssel, mit denen die regelmäßig erstellten Sicherungen der Datenbank verschlüsselt werden. Wer also den Standardschlüssel besitzt, könne sich Zugriff auf die Sicherungen und damit auf sämtliche Daten verschaffen, sagt Polyakov. Untersuchungen seiner Beratungsfirma ERPScan zufolge wird dieser Standardschlüssel nach der Installation nur selten durch einen eigenen ausgetauscht.

SAPs Richtlinien zur Absicherung

SAP beschreibt die Vorgehensweise in seinen Richtlinien und Sicherheitshinweisen: Mit dem beigelegten Werkzeug Rsecssfx lässt sich der sogenannte SSFS Master Key ändern. Anschließend sollten mit Hdbnsutil die Hauptschlüssel für die Sicherungen geändert werden. Zuletzt sollten die Zugriffe auf Hdbuserstore und den Schlüssel selbst weitestmöglich eingeschränkt werden.

Das Problem statischer und einprogrammierter Schlüssel gebe es nicht nur bei der Hana-Datenbank, sagt Polyakov. In SAPs Mobile Platform würden Anwendungspasswörter anhand eines bekannten statischen Schlüssels gespeichert. Über eine inzwischen geschlossene Sicherheitslücke sei es möglich gewesen, sich auch von außen Zugriff auf die Konfigurationsdatei zu verschaffen, in der Passwörter abgelegt werden. Diese Konfigurationsdatei habe sich mit dem bekannten Schlüssel dechiffrieren lassen.

Generell warnt Polyakov davor, die Sicherheit in Geschäftsapplikationen nicht ernst zu nehmen. Vor wenigen Tagen hat SAP auch die Freak-Schwachstelle in seinen Komponenten geschlossen, Monate nachdem sie bekannt wurde.



Anzeige
Spiele-Angebote
  1. (-80%) 3,99€
  2. (-58%) 24,99€
  3. 19,99€

spambox 22. Jun 2015

Danke, genau das wollte ich auch eben schreiben.

exxo 22. Jun 2015

Der Artikel ist klassisches Clickbait. Das default Passwörter nicht geändert werden ist...


Folgen Sie uns
       


Kabellose Bluetooth-Ohrstöpsel - Test

Wir haben vier komplett kabellose Bluetooth-Ohrstöpsel getestet. Mit dabei sind Apples Airpods, Boses Soundsport Free, Ankers Zolo Liberty Plus sowie Googles Pixel Buds. Dabei bewerteten wir die Klangqualität, den Tragekomfort und die Akkulaufzeit sowie den allgemeinen Umgang mit den Stöpseln.

Kabellose Bluetooth-Ohrstöpsel - Test Video aufrufen
Thermalright ARO-M14 ausprobiert: Der den Ryzen kühlt
Thermalright ARO-M14 ausprobiert
Der den Ryzen kühlt

Mit dem ARO-M14 bringt Thermalright eine Ryzen-Version des populären HR-02 Macho Rev B. Der in zwei Farben erhältliche CPU-Kühler leistet viel und ist leise, zudem hat Thermalright die Montage etwas verbessert.
Ein Hands on von Marc Sauter


    Ryzen 7 2700X im Test: AMDs Zen+ zieht gleich mit Intel
    Ryzen 7 2700X im Test
    AMDs Zen+ zieht gleich mit Intel

    Der neue Ryzen 7 2700X gehört zu den schnellsten CPUs für 300 Euro. In Anwendungen schlägt er sich sehr gut und ist in Spielen oft überraschend flott. Besonders schön: die Abwärtskompatibilität.
    Ein Test von Marc Sauter und Sebastian Grüner

    1. Ryzen 2400GE/2200GE AMD veröffentlicht sparsame 35-Watt-APUs
    2. AMD-Prozessor Ryzen-Topmodell 7 2700X kostet 320 Euro
    3. Spectre v2 AMD und Microsoft patchen CPUs bis zurück zum Bulldozer

    Patscherkofel: Gondelbahn mit Sicherheitslücken
    Patscherkofel
    Gondelbahn mit Sicherheitslücken

    Die Steuerungsanlage der neuen Gondelbahn am Innsbrucker Patscherkofel ist ohne Sicherheitsmaßnahmen im Netz zu finden gewesen. Ein Angreifer hätte die Bahn aus der Ferne übernehmen können - trotzdem beschwichtigt der Hersteller.
    Von Hauke Gierow

    1. Hamburg Sensoren melden freie Parkplätze
    2. Edge Computing Randerscheinung mit zentraler Bedeutung
    3. Software AG Cumulocity IoT bringt das Internet der Dinge für Einsteiger

      •  /