"SAP hat einen großartigen Job gemacht und die Korrekturen viel schneller geliefert als früher", sagte der Chef des Datensicherheits-Dienstleisters Onapsis, Mariano Nunez, der Nachrichtenagentur Reuters.

Die US-Firma, die als digitaler Wachdienst unter anderem für Schlumberger, Sony oder die US-Armee arbeitet, hatte die Schwächen in der SAP-Datenbank Hana entdeckt. Das Einfallstor für Hacker ist Onapsis zufolge sehr riskant. Sobald eine Firma die seit 2014 erhältliche Funktion namens USS "User Self Service" aktiviert, hätten Übeltäter ohne Nutzername oder Passwort Zugang. Seit Jahresbeginn meldete Onapsis an SAP zehn Sicherheitslecks, die die Walldorfer nach Angaben von Experten beider Unternehmen umgehend stopften. "Wir gehen davon aus, dass nicht viele Kunden von der Sache betroffen sind", sagte SAP-Produktsicherheitsexperte Siddhartha Rao. In den sechs Jahren, die er dafür verantwortlich sei, habe es keinen einzigen Schadensfall gegeben bei Kunden, die die empfohlenen Sicherheitsupdates aufspielten.

SAP drängt seine Firmenkunden, trotz des manchmal größeren Zeitaufwands, die Patches zu installieren. Im vergangenen Jahr musste die US-Heimatschutzbehörde eine Warnung an SAP-Kunden aussprechen, eine schon 2010 herausgebrachte Korrektursoftware einzupflegen. Drei Dutzend Firmen hatten Onapsis zufolge verdächtige Anzeichen für unerlaubte Zugriffe auf die veralteten Programme. Hackerangriffe auf Firmensoftware sorgen nicht für soviel Aufsehen wie Sicherheitslücken oder Datenklau bei Smartphones oder Mail-Programmen, können aber viel gravierendere Auswirkungen haben. Schließlich nutzen fast 90 Prozent der 2000 größten Unternehmen weltweit die Software von SAP für ihre Geschäftsprozesse. So sollen von chinesischer und russischer Regierungsseite angesetzte Hacker Ermittlern zufolge SAP-Software in den vergangenen Jahren angegriffen haben - darunter ein Programm zur Überprüfung von Staatsangestellten in den USA.

rtr