Verbesserte Tool-Tests Schwächen in der SAP-Sicherheit

Sapyto testet die Sicherheit von SAP-Systemen, wurde mit neuen Plugins aktualisiert, die laut Entwickler des Tools gründlichere Tests ermöglichen.

Version 0.99 von Sapyto läuft jetzt auf PCs mit Microsoft Windows, wo die vorherige Version nur unter Linux lief, sagte Mariano Nuñez Di Croce, Senior Security Researcher bei Cybsec Security Systems, einem Sicherheitsunternehmen mit Sitz in Buenos Aires, Argentinien. Er hat letzte Woche auf der Sicherheitskonferenz Black Hat in Amsterdam einen Vortrag gehalten.

Die neueste Version von Sapyto fügt neue Plugins hinzu, mit denen Informationen von Remote-SAP-Routern abgerufen und Remote-SAP-Systeme automatisch erkannt und anschließend getestet werden können. Entwickler können auch eigene Plugins erstellen.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Der deutsche Softwareentwickler SAP entwickelt Softwarelösungen für die Verwaltung von Lieferketten, Finanzfragen und Kundenbeziehungsmanagement andere Dinge. Das Unternehmen hat mehr als 40.000 Kunden weltweit, und laut Nuñez Di Croce gibt es mehr als 120.000 SAP-Implementierungen.

SAP-Systeme wurden von Hackern und Insidern ins Visier genommen, um ein Unternehmen zu schädigen, da die Software wertvolle interne Daten enthält Information. Die Vorfälle werden normalerweise nie öffentlich, weil Unternehmen sie nicht offenbaren, sagte Nuñez Di Croce.

Aber es passiert. Nuñez Di Croce kennt einen Fall vor zwei Jahren, in dem ein Unternehmen 250.000 US-Dollar aufgrund der unsachgemäßen Manipulation eines SAP-Finanzsystems verloren hat.

Einige CFOs sind sich immer noch nicht bewusst, wie wichtig gute Sicherheit auf SAP-Systemen ist, sagte Nuñez Di Croce. Da SAP-Systeme sehr teuer sind und eine große Anzahl von Geschäftsprozessen kontrollieren, werden Führungskräfte die Systeme ohne eine angemessene Sicherheitsüberprüfung in Produktion bringen, sagte er.

Nuñez Di Croce wusste von einem anderen Fall, in dem sich eine Führungskraft entschied haben drei Monate freien Zugang zu einem SAP-System. Das ist gefährlich, und es ist unwahrscheinlich, dass das System nach drei Monaten gesperrt wird, sagte er. Viele SAP-Systeme würden einfach in den Standard-Sicherheitskonfigurationen belassen, was ebenfalls unsicher sei.

"Sicherheit wird normalerweise als ein Block auf der Straße gesehen", Nuñez Di Croce. "Es gibt viele SAP-Systeme von großen Unternehmen, die nicht sicher sind."

Sapyto ist Open-Source-Software und ist kostenlos. Es kann von der Cybsec-Website heruntergeladen werden. Version 0.98 ist jetzt auf der Website und die neue Version sollte bald veröffentlicht werden. Sapyto war das erste Penetration Testing-Netzwerk für SAP-Software.