Bundesamt für Sicherheit in der Informationstechnik

G 5.128 Unberechtigter Zugriff auf Daten durch Einbringen von Code in ein SAP System

Kann ein Angreifer ABAP -Code in ein SAP System einbringen, so sind unberechtigte Zugriffe auf Daten möglich, da die Sicherheit eines SAP Systems durch den ABAP-Code implementiert werden muss.

Beispiele:

  • Ein Entwickler bringt im Rahmen eins Software-Updates eigenen, zusätzlichen Code in ein SAP ein, welcher ihm entfernten Zugriff auf alle Programme des SAP Systems gewährt.
  • Einem externen Angreifer gelingt es, durch eine Schwäche in einer unternehmenseigenen Applikation eigene Transportdateien im SAP Transportverzeichnis abzulegen. Diese werden ohne Prüfung eingespielt und installiert und können so ihre Schadwirkung entfalten.

Stand: Stand 2006