Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

IT-Sicherheit: Standardschlüssel gefährdet SAPs Datenbank Hana

Bei der Installation wird die Benutzerdatenbank in SAPs Hana mit dem stets gleichen Standardschlüssel abgesichert. Weil dieser nur selten geändert wird, könnten sich Unberechtigte leicht Zugriff auf die dort gespeicherten Administratorkonten verschaffen.
/ Jörg Thoma
9 Kommentare News folgen (öffnet im neuen Fenster)
Nicht geänderte Standardschlüssel gefährden die Sicherheit von SAPs Datenbank Hana. (Bild: SAP)
Nicht geänderte Standardschlüssel gefährden die Sicherheit von SAPs Datenbank Hana. Bild: SAP

Ein Schlüssel, um sie alle zu identifizieren: Bei der Installation von SAPs In-Memory-Datenbank Hana wird zunächst ein Standardschlüssel verwendet, um die integrierte Benutzerdatenbank Hdbuserstore abzusichern. Dieser Schlüssel werde später nur selten geändert, daher könnten sich Unbefugte mit dem allgemein bekannten Standardschlüssel Zugriff auf sämtliche Verwaltungskonten verschaffen, warnt der IT-Sicherheitsexperte Alexander Polyakov(öffnet im neuen Fenster) .

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT-Architekt/in (w/m/d) mit Schwerpunkt Data Engineering IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
IT-Administrator (m/w/d) Telekommunikation Leipziger Messe GmbH, Leipzig (öffnet im neuen Fenster)
Systemingenieur Naval & Ground (w/m/d) Hensoldt, Ulm (öffnet im neuen Fenster)
IT-Trainer*in / - Ausbilder*in & -Administrator*in (m/w/d) Deutsche Blindenstudienanstalt e.V., Marburg (öffnet im neuen Fenster)
Head of IT-Operations (w/m/d) Pro-Idee GmbH & Co. KG, Aachen (öffnet im neuen Fenster)
Senior Financial Reporting Specialist (m/w/d) PHOENIX Pharmahandel GmbH & Co KG, Mannheim (öffnet im neuen Fenster)
Softwarearchitekt/-in mit Schwerpunkt Systemintegration (w/m/d) Statistisches Bundesamt, Bonn,Wiesbaden (öffnet im neuen Fenster)
IT-Architekt:in (m/w/d) mit Spezialisierung für Enterprise- oder Lösungsarchitekturen Föderale IT-Kooperation (FITKO), Frankfurt am Main (öffnet im neuen Fenster)

In der Hana-Komponente Hdbuserstore, die auf Datenträgern gespeichert wird, werden nicht nur Benutzernamen und Passwörter der Datenbankadministratoren gespeichert, sondern auch die Schlüssel, mit denen die regelmäßig erstellten Sicherungen der Datenbank verschlüsselt werden. Wer also den Standardschlüssel besitzt, könne sich Zugriff auf die Sicherungen und damit auf sämtliche Daten verschaffen, sagt Polyakov. Untersuchungen seiner Beratungsfirma ERPScan zufolge wird dieser Standardschlüssel nach der Installation nur selten durch einen eigenen ausgetauscht.

SAPs Richtlinien zur Absicherung

SAP beschreibt die Vorgehensweise in seinen Richtlinien und Sicherheitshinweisen(öffnet im neuen Fenster) : Mit dem beigelegten Werkzeug Rsecssfx lässt sich der sogenannte SSFS Master Key ändern. Anschließend sollten mit Hdbnsutil die Hauptschlüssel für die Sicherungen geändert werden. Zuletzt sollten die Zugriffe auf Hdbuserstore und den Schlüssel selbst weitestmöglich eingeschränkt werden.

Das Problem statischer und einprogrammierter Schlüssel gebe es nicht nur bei der Hana-Datenbank(öffnet im neuen Fenster) , sagt Polyakov. In SAPs Mobile Platform würden Anwendungspasswörter anhand eines bekannten statischen Schlüssels gespeichert. Über eine inzwischen geschlossene Sicherheitslücke sei es möglich gewesen, sich auch von außen Zugriff auf die Konfigurationsdatei zu verschaffen, in der Passwörter abgelegt werden. Diese Konfigurationsdatei habe sich mit dem bekannten Schlüssel dechiffrieren lassen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Generell warnt Polyakov davor, die Sicherheit in Geschäftsapplikationen nicht ernst zu nehmen. Vor wenigen Tagen hat SAP auch die Freak-Schwachstelle in seinen Komponenten geschlossen, Monate nachdem sie bekannt wurde .

Zur Startseite 9 Kommentare

Relevante Themen

SAPSoftwareUnternehmenssoftwareSecuritySicherheitslückeVerschlüsselungWirtschaftUnternehmenOnlinehandelDatensicherheit