Rufen Sie uns an

+49 (0) 6196 97344 - 00

Close
Kontakt per Mail

information@entplexit.com

Close

Newsroom
SAP

Zurück
23. August 2019

Alte Kennwort-Hashes gefährden die Geschäftsprozesse und die Sicherheit der SAP Systeme!

Bei unseren Projekten fallen uns immer wieder SAP sicherheitskritische Zustände auf. Es wird wieder Zeit, im SAP System aufzuräumen!   

Kennwörter in SAP

Kennwörter werden in SAP Systemen nicht in Klartext gespeichert. So weit, so gut. Es werden kryptografische Verfahren verwendet, um diese sensiblen Daten sicher im SAP System abzulegen. Dies schützt vor Diebstahl durch einen Angreifer, aber auch vor zu neugierigen Augen der Datenbank- und SAP Administratoren (die in der heutigen Zeit oft auch nicht mehr Angestellte im eigenen Unternehmen sind).  

Die verwendeten Hashing-Verfahren haben sich im Laufe der Zeit verändert und weiterentwickelt, um mit der Verarbeitungsgeschwindigkeit heutiger Computersysteme mitzuhalten und eine Offenlegung der Kennwörter zu verhindern. Einige Verfahren sind heute nicht mehr zeitgemäß und lassen sich mit frei erhältlichen Programmen wie Hashcat oder John the Ripper innerhalb von wenigen Minuten oder gar Sekunden (abhängig von der Länge und Komplexität des Kennwortes) auslesen.

Das älteste und lange Zeit in SAP Systemen verwendete Hashing-Verfahren basiert auf dem Message Digest Verfahren (MD5), welches schon sehr lange als unsicher eingestuft wird. Trotzdem finden sich in vielen Systemen noch entsprechende Hashes.  Erschwerend kommt hinzu, dass auch in vergleichsweise aktuellen SAP Releases durch eine ungünstige Standard-Parametrisierung immer noch solche alten Hashes erzeugt werden.

Achten Sie auf technische SAP User

Besonders kritisch im Zusammenhang mit alten Kennwort-Hashes sind technische Benutzer (z.B. Benutzer für die Hintergrundverarbeitung oder Schnittstellen-User). Diese haben meist sehr weitreichende Rechte und unterliegen sehr oft nicht der SAP-internen Kennwort-Änderungspflicht (Usertyp SYSTEM / SERVICE). Somit sind solche Benutzer ein lohnendes Ziel für Angriffe auf das System.

Selbst beim Einsatz von Single Sign-On gibt es häufig noch Benutzer, die nach wie vor die Möglichkeit haben, sich mittels Kennwort am System anzumelden (Emergency- und Firefighter- sowie Support-User), oder es wird schlicht vergessen, bei der Einführung von SSO die Kennwort-Anmeldung für die SSO-Benutzer zu deaktivieren, was dazu führt, dass die Kennwort-Hashes im System verbleiben, obwohl die Anmeldung in der Praxis nur noch mit anderen Verfahren geschieht.

Selbst wenn Kennwörter nicht mehr gültig sind und der alte Hash zur Anmeldung im System gar nicht mehr verwendet wird, kann diese Information ein Problem darstellen. Genauso verhält es sich, wenn Teile eines Kennworts bekannt werden. Solche Informationen verraten einem Angreifer viel Nützliches über die Gewohnheiten von Benutzern im Umgang mit der Kennwortvergabe. Mit diesen Informationen oder Passwort-Teilen können Angreifer durch Variation viel schneller das aktuelle Kennwort ermitteln. Zudem versuchen Angreifer oft, sich mit alten Kennwörtern bei anderen Diensten oder Konten des Benutzers anzumelden.

Was ist zu tun? Rufen Sie uns einfach an.

Sollten Sie dazu Fragen haben, so sprechen Sie uns ruhig an. Einer unserer SAP Security Spezialisten führt mit Ihnen ein unverbindliches Fachgespräch mit und gibt eine erste Einschätzung.

Telefon +49 6196 97344 00 oder weitere Informationen auf unserer Homepage in der Rubrik SAP www.entplexit.com/sap/

entplexit GmbH
Kölner Straße 12
65760 Eschborn

Telefon: +49 (0) 6196 97344 - 00
Mail: