Hadmut Danisch

Ansichten eines Informatikers

Industriespionage: Spioniert die NSA durch SAP deutsche Unternehmen aus?

Hadmut
10.3.2015 19:19

Die ZEIT berichtet [Nachtrag] darüber, dass sich SAP die amerikanischen Geheimdienste gezielt als Kunden einsammelt. Es gab ja neulich auch schon Berichte, dass SAP auch den BND beliefert.

Wie schon angesprochen, bewerte ich damit einen – bisher nicht veröffentlichten – Vorgang aus dem Jahr 2003, in dem SAP und (mangelnde) IT-Sicherheit eine große Rolle spielten, inzwischen anders als damals. Auch hier habe ich damals nur an Korruption gedacht, heute halte ich Geheimdienste für die Ursache.

Die Frage ist aber nun: Belässt es SAP nur beim Beliefern? Oder verkaufen sie da auch gleich die »Dienstleistung«, über die SAP-Systeme deutsche Firmen auszuspionieren und Malware einzuschleusen?

Schon unfreiwillig werden Firmen von den US-Geheimdiensten angegriffen und unterwandert. Als ich damals zwischen 2002 und 2004 wegen RMX auf verschiedenen IETF- und anderen IT-Konferenzen in den USA unterwegs war, suchten einige der großen US-Firmen vertraulich, mündlich, im Hinterzimmer unter Security-Experten nach Leuten, die ihnen helfen, heimlich eingeschleuste Agenten der Geheimdienste zu finden, die Backdoors in Software einbauen und Kundendaten abdieseln. Heute berichtet der Heise-Newsticker über Geheimdienstangriffe auf Apple.

Wenn die Geheimdienste aber schon so scharf auf Firmen sind, die sie heimlich unterwandern und angreifen müssen, wie spitz werden die dann erst, wenn sich ein Brocken wie SAP, der ja nun fast sämtliche deutschen Industriedaten betüdelt, auch noch anbiedert, um mit ihnen ins Bett zu gehen?

Müsste man nicht spätestens jetzt alle SAP-Software schleunigst rauswerfen?

Interessantes Gedankenspiel: Was wäre, wenn konkrete Belege dafür auf den Tisch kämen? Große Industriespionage durch SAP? Möglichst schnell alle SAP-Software aus den Firmen explantieren?

Das wird lustig.

Nachtrag: Hach, hatte ich ganz vergessen: Heute abend Fakt gucken, da kommt was dazu.


23 Kommentare (RSS-Feed)

Ferabq
10.3.2015 19:30
Kommentarlink

Da fehlt was nach “und” im dritten Absatz.


Hadmut
10.3.2015 19:39
Kommentarlink

@Ferabq: Danke!


Manuel
10.3.2015 19:45
Kommentarlink

Mal abgesehen davon das viele Firmen eh besser dran wären wenn sie sich eine Individualsoftware bauen lassen würden, statt den SAP “Standard” so zu verbasteln das den keiner mehr erkennt …

Was wäre denn die Alternative?
IBM? Microsoft?? Oracle???

Dann doch wieder alles selber bauen


Pete
10.3.2015 19:45
Kommentarlink

Wenn SAP diese Vorwuerfe nicht gut genug entkraeften kann, und nach der Nachrichtenlage “nach Snowden” bin ich da pesimischtisch, koennen die sich nur noch einsargen lassen.
Verschwoerung: Da war doch mal ein Patentstreit Oracle vs. SAP. Am Ende nur “weichkochen” von SAP?


Hadmut
10.3.2015 19:56
Kommentarlink

@Pete:

> Da war doch mal ein Patentstreit Oracle vs. SAP. Am Ende nur “weichkochen” von SAP?

Guter Punkt.

Gut möglich.


Pete
10.3.2015 19:47
Kommentarlink

Zweimal druebergelesen und immer noch Typos :-/


Emil
10.3.2015 20:15
Kommentarlink

SAP kommt soweit ich weiß remote auf jedes Kundensystem und dort an alle Daten. Ich habe das selbst schon in der SAP-Zentrale gesehen. Wenn die ihre Kunden ausspionieren wollen, können sie es jederzeit. Die Frage ist, ob sie es auch tun. Der Image-Schaden und auch der finanzielle Schaden wäre beträchtlich, wenn sie es täten und das rauskäme.

Was anderes ist es, wenn sie ihre (zugekaufte) Software auch an die Geheimdienste verkaufen. Das ist zwar moralisch grenzwertig, hat aber mit Spionage erst mal nichts zu tun.


Hadmut
10.3.2015 20:32
Kommentarlink

@Emil:

Sicher sind es zwei (nicht sehr) verschiedene Sachen.

Fragt sich aber, ob sie die so wirklich getrennt halten können und wollen.


peter
10.3.2015 20:48
Kommentarlink

> Was wäre, wenn konkrete Belege dafür auf den Tisch kämen?

gar nix wäre dann. Es ginge weiter wie bisher. Kognitive Dissonanz auf allen Ebenen.


Kritikr
10.3.2015 21:29
Kommentarlink

Ich persönlich kann SAP als Datenverarbeitung eh nicht wirklich etwas abgewinnen, was man nicht auch selber in ein Datenbanksystem seiner Wahl klopfen könnte. Also jetzt bezogen auf einen Zulieferer aus der Automobilindustrie.


Leser X
10.3.2015 21:38
Kommentarlink

und was wollen die mit den “Daten”?

50.000 Gussteile an Firma XY zum beschichten mit X nach Vereinbarung vom .

Personal Z bekommt das und und das Salär mit den und den Spesen für die und die Reise.

Waschpulver A wird dort und dort in Karton B gefüllt und dann auf Palette Z zu Kunden W versendet.

Daraus sollen die Bürotypen in den NsaKgbBndCiaMi5 Zentralen ne Info basteln. Die? Die können ja nicht mal Phosphat von Phosphatierung unterscheiden?

Wer etwas verbergen möchte traut es so oder so keinem an, erst recht keinem elektronischen Gerät. Konfidential und elektronische Geräte sind nun mal inkompatibel.


Hadmut
10.3.2015 21:41
Kommentarlink

@Leser X: Ganz schön blauäugig

  • SAP-Rechner als fremdkontrollierter Rechner im LAN
  • Gehaltsdaten
  • Angebotsdaten
  • Produktionsdaten
  • Zugangssystem
  • usw.

Sind klassische Ziele von Industriespionage.


deejott
10.3.2015 22:38
Kommentarlink

Ähm LeserX – hier und da wird SAP als PLM-System genutzt. Da liegen dann alle produktionsrelevanten Daten (CAD-Dateien, Zeichnungen, Stücklisten usw) in SAP vor. Wenn das mal nicht Industriespionagerelevant ist, was dann?


Juan Gonzales
11.3.2015 0:07
Kommentarlink

Hi,

@Emil:
[Blockquote]SAP kommt soweit ich weiß remote auf jedes Kundensystem und dort an alle Daten.[/Blockquote]

Das ist durchaus üblich – wenn Du jemandem genug vertraust, ihm Remote-Zugriff auf Deine Kronjuwelen (Datenbank) zu geben, sollte er auch vertrauenswürdig genug sein, den Rest zu sehen. Eigentlich. Oder?

Und Remote-Zugriff aufs SAP (oder KHK, CRM, Warenwirtschaft, was auch immer) braucht der Support-Heinzi, um kundenspezifische Änderungen einzuspielen, um Probleme zu lokalisieren, oder auch nur um per Remote-Zuschauen & Telefon Mitarbeitern zu helfen.

Vertrauen ist das Schlüsselwort hier. Meine Kunden können sich darauf verlassen, daß ich nix sehe, höre oder weitersage (Ich = 3 Affen!) – auch wenn ich hier Admin-Remote-Zugang zu den Systemen mehrerer Firmen habe. Das gehört zu meinem Berufs-Ethos.
Und da bin ich halt echt noch old-school. Ich kann fremde EMails anschauen ohne sie zu lesen.

Allerdings habe ich schon bei Jung-Informatikern im Support/ Entwicklung größerer Anbieter recht zweifelhafte Erfahrungen gemacht. Da hält sich mein Vertrauen inzwischen in engen Grenzen, ohne daß ich harte Beweise vorlegen könnte – ich bin kein Forensiker.

Ich betreue MKUs, helfe da Warenwirtschaftssysteme zu implementieren, zu optimieren, am Laufen zu halten und zusätzliche Funktionalität zu schaffen – mittels kundenspezifischer Frontends, auch auf Mobil-Geräten. Viel zu oft bin ich dabei gezwungen, auch den Job des System-Admin zu übernehmen, wofür ich bei weitem nicht qualifiziert bin – “Das machst Du schon, kein Problem” …

Deshalb rate ich meinen Kunden nicht mehr zu den “großen Lösungen”. SAP kommt eh nicht in Frage, aber auch die anderen “renommierten Anbieter” werden von mir nicht mehr empfohlen. Es gibt genug, teilweise sehr gute, Warenwirtschaftssysteme, teilweise sogar OpenSource.

Auch wenn der Kunde eine OpenSource-WaWi nicht unbedingt umsonst bekommt (Support, Änderungen, erweiterte Funktionalität etc.), ich habe da sehr gute Erfahrungen dabei gemacht.

Viel Spaß!


Gast$FF
11.3.2015 1:12
Kommentarlink

Warum so umständlich? Liegen diese ganzen hochsensiblen Unternehmensdaten nicht ohnehin in Form von irgendwelchen ERP-, CRM- und Was-weiß-ich-Datenbanken irgendwie irgendwo auf irgendwelchen Servern in der “Cloud”, ferngewartet von irgendwelchen chinesischen oder indischen IT-Servicedienstleistern, ebenso wie der gesamte Rechner- und Mail-File-sonstwie-Serverpark der Unternehmen selbst (also zumindest der Großunternehmen)? Ich denke, dass da standardmäßig von verschiedenen Seiten industriespioniert wird, ist doch fast schon eine Binse. Und bei den Anwendern selbst ist’s mit Security Bewusstsein meistens auch nicht viel her. Da wird aller Security Policies zum Trotz (die fürs Tagesgeschäft meistens sowieso zu unpraktikabel sind) sensibles Material völlig bedenkenlos und unverschlüsselt per E-Mail zwischen Bürorechner und dem Rest der Welt hin und her geschossen. Hauptsache es steht irgendwo “Confidential” drauf… Und die Patentanmeldungsschriften gehen per Fax ans Amt. Nie war Industriespionage einfacher als heute.

Was ich mich allerdings frage: Wenn es die Geheimdienste sind, zum Beispiel die Amerikanischen, wie kommen die Daten dann (entsprechend aufbereitet) von denen zu den US-Konkurrenzunternehmen? Rufen die Leute aus Business Intelligence vom 2.ten Stock da bei “Sales NSA” an, um sich ein Angebot machen zu lassen? Geht das über Mittelsmänner, Zwischenhändler, oder über eine Art Schwarzmarkt? Das würde doch sicherlich irgendwann mal auffliegen, wenn sich ein bekanntes Großunternehmen regelmäßig “Market Research Reports” direkt oder indirekt von einem Geheimdienst holen würde. Wie funktioniert das in der Praxis?


Dirk S
11.3.2015 9:29
Kommentarlink

Warum sollte SAP nicht die NSA als Kunden haben wollen? Die NSA hat Finanzmittel ohne Ende und denen kann man dementsprechend Software und Services verkaufen. Betriebswirtschaftlich also vernünftig.

Zumal (soweit mir bekannt ist) ist SAP in seinem Marktsigment ohnehin Monopolist, was am Ende bedeutet, dass das Sicherheitskonzept von SAP löchrig wie ein Schweizer Käse (aber nicht so lecker) sein dürfte. Außerdem kann man davon ausgehen, dass die NSA die SAP-Software ohnehin schon längst untersucht hat und alle Schwachstellen kennt. Möglich, dass die NSA ein legales System haben will, um verschiedene Testangriffe im Hause durchführen zu können, bevor diese “in the wild” gefahren werden. Die richtige Vorbereitung ist der halbe Erfolg eines Einsatzes.

Dass SAP mit der NSA über das übliche Maß hinaus zusammenarbeitet, halte ich für unwahrscheinlich, zum einen, weil SAP vom Vertrauen seiner Kunden lebt, zum anderen, weil ein deutsches Unternehmen für einen US-Geheimdienst viel zu vertrauensunwürdig wäre, die Paranoiker der NSA misstrauen doch auch “ihren eigenen” Unternehmen. Beide Seiten könnten sich so eine Zusammenarbeit über das übliche hinaus nicht leisten. Selbst die NSA darf es nicht übertreiben. Aber von einer Zusammenarbeit im üblichen Rahmen können beide profitieren. Wenn vielleicht auch anders als sonst üblich.

Übertreibungsfreie Grüße,

Euer Dirk


Dirk S
11.3.2015 10:03
Kommentarlink

@ Gast$FF

> Ich denke, dass da standardmäßig von verschiedenen Seiten industriespioniert wird, ist doch fast schon eine Binse.

Richtig, das machen alle, jeder spioniert jeden aus und keiner denkt sich was dabei. Nur weil einige sich stümperhaft anstellen oder das nicht gebacken bekommen, heißt das noch lange nicht, dass es Parteien gibt, die das “aus Prinzip” nicht machen. Wer so etwas von sich behauptet, ist meist der schlimmste. Oder zu doof dazu.

> Was ich mich allerdings frage: Wenn es die Geheimdienste sind, zum Beispiel die Amerikanischen, wie kommen die Daten dann (entsprechend aufbereitet) von denen zu den US-Konkurrenzunternehmen?

Gute Frage, ich vermute, dass die amerikanischen Unternehmen die Unterlagen mehr oder minder direkt von den Geheimdiensten bekommen, also die NSA, CIA oder welcher auch immer guckt nach, welches amerikanische Unternehmen mit dem ausspionierten in Konkurenz steht und liefert denen einfach die Unterlagen. Die US-Amerikaner haben da erheblich weniger Berührungsängste.
Wobei natürlich noch zu berücksichtigen ist, dass man auch das Unternehmen aussucht, an dem man selbst Anteile hat, soll sich doch auch lohnen. Alternativ geht natürlich auch, dass der Schwager der Schwaster der CEO ist. 😉

Wobei man den Amerikanern da wirkich eine bestimmte Unbekümmertheit attestieren muss, wie im Fall Enercon:
Enercon hat (hatte?) weltweit das Patent auf einen getriebelosen Generator für Windkraftanlagen, außer in den USA, da hält (hielt) eine US-Firma das Patent (und hat ihren Patentantrag in den Staaten später als Enercon den seinen in DE eingereicht). Als bei Enercon die Patentunterlagen des US-Patents gesichtet wurden, staunten die nicht schlecht: Die in den USA eingereichten Zeichnungen trugen alle das original Enercon-Logo. Das hat da niemanden gestört oder stutzig gemacht.
Anmerkung: Über diese Geschichte existieren viele verschiedene Versionen, mal schärfer, mal schwächer, wobei die Tatsache der Spionage selbst erst einmal unstrittig ist. Meine Version entstammt der Vorlesung über Patentrecht während meines E-Technik-Studiums 2. Hälfte der 90er. Der Lehrbeauftragte hat den Fall als Beispiel für Patentrecht verwendet.

Patentfreie Grüße,

Euer Dirk


dentix07
11.3.2015 12:01
Kommentarlink

SAP nur in der Industrie/Wirtschaft?

Ich weiß zufällig, daß z.B. in Berlin SAP in der Senatsverwaltung (Personalverwaltung) eingesetzt werden sollte!
Weiß allerdings nicht ob das auch umgesetzt wurde, gab da nämlich einige Anpassungsprobleme an behördentypische Abläufe.

Wäre – sofern andere Behörden in anderen Bundesländern SAP einsetzen – folglich nicht “nur” Industriespionage!


Manfred P.
11.3.2015 17:35
Kommentarlink

@Juan Gonzales

Ein ehemaliger Studienkollege hat mir gegenüber damit geprahlt, dass er als Dienstleister einer Drittfirma sich massenhaft Dokumente und Daten eines Mobilfunkanbieters kopiert hat.

Man muss schon aufpassen, wen man an seine Systeme lässt.


michael
11.3.2015 19:47
Kommentarlink

Klar sollte mittlerweile sein: >> Was geht wird von den Dienste gemacht – ohne Skrupel und Moral. Geld spielt keine Rolle.<< In der Kategorie spielt man. Ist doch klar, daß überall diverse Agenten in den großen Software-Unternehmen sitzen. Wahrscheinich teilen sich mitunter Agenten versch. Staaten noch ein Büro und wissen es nicht mal – ROFL.

Insofern kann man auch davon ausgehen, daß Open Source ebenso versucht wird zu infiltrieren, da geht es ja noch einfacher. Man schaue sich nur mal den openssl Dreck an, und was das für ein übler Schaden war – 2 Jahre https offen und keiner (außer den Diensten wahrscheinlich) hat es gemerkt.


michael
11.3.2015 19:54
Kommentarlink

@Juan Gonzalez
“Es gibt genug, teilweise sehr gute, Warenwirtschaftssysteme, teilweise sogar OpenSource.”
Was gäbe es hier für OC-Systeme, die in ca der Liga von Abas ERP spielen könnten?


Juan Gonzales
13.3.2015 20:15
Kommentarlink

Sorry, ist nicht topic, deshalb hier nur maximal kurz:

@ManfredP:
> Man muss schon aufpassen, wen man an seine Systeme lässt.

Jup, klar. Deshalb laß’ ich auch keine der “Großen” mehr an die Systeme meiner Kunden – gerade, aber nicht nur, bei den jüngeren Mitarbeitern von renommierten Firmen habe ich da des öfteren eine mangelnde Seriosität festgestellt. Klar, bei den Mengen an Leuten, die die einstellen müssen, wie soll das noch kontrolliert werden?

Und da muss nicht mal die NSA dahinter stecken. Das kann auch ein Wettbewerber sein. Hire-and-fire ist Standard mittlerweile, und da halte ich so einen jungen prekär angestellten Dipl. Ing. Informatik (die nicht weiß, wo sie nächstes Jahr jobbt) für relativ anfällig für Korruption.

@michael:
> Was gäbe es hier für OC-Systeme, die in ca der Liga von
> Abas ERP spielen könnten?

Sry, das ist nicht meine Liga, und ich möchte auch keine Werbung machen. Das fand ich aber interessant:
> http://www.enterpriseappstoday.com/erp/10-open-source-erp-options.html

Wie gesagt, ich bleibe im reinen WaWi-Bereich, maximal binde ich noch eine ReWe an. Ich habe bei meinem bisher größten Kunden mit Sage-KHK OfficeLine (WaWi + ReWe) gearbeitet, und festgestellt, daß ca. 70% der Funktionalität nie genutzt wurde – aber teuer bezahlt wurde.

Da bau’ ich lieber in 2h einen DATEV-Export (für den Kunden, der eh’ externe Zahlungsverfolgung macht), und in ein paar Wochen ein externes Interface für die spezielle Anforderung, die der Kunde braucht, aber in der Standard-OpenSource-WaWi nicht drin ist.

Und kann den Firmenchef & OberEntwickler direkt anrufen!

Aber jetzt mach ich Schluß, bevor Hadmut wg. OT allergisch wird …

Grüße, & Sorry!


Bernd
13.3.2015 22:36
Kommentarlink

Leo Apotheker und Shai Agassi, schon mal gehört diese Namen?
Im Ernst, wie naiv konnte man sein -auch nach dem Rauswurf der beiden Sayyanim- nicht an die Hintertürchen für Mossad und die Freunde der Freundesfreunde zu denken.

Nur für die, welche auch in Zukunft von nichts gewusst haben wollen
http://www.youtube.com/watch?v=oaL5wCY99l8&feature=youtu.be