{"id":193435,"date":"2017-08-26T03:00:00","date_gmt":"2017-08-26T01:00:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=193435"},"modified":"2018-12-09T19:17:24","modified_gmt":"2018-12-09T18:17:24","slug":"sap-pos-server-manipulierbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/08\/26\/sap-pos-server-manipulierbar\/","title":{"rendered":"SAP POS-Server manipulierbar"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Von SAP gibt es einen POS-L\u00f6sung (Verkaufsterminals und ein Server), die von Hackern manipulierbar ist. So k\u00f6nnen Hacker den Preis einer Ware \u00fcber den POS-Server manipulieren.<\/p>\n<p><!--more--><\/p>\n<p>Die L\u00f6sung von SAP besteht aus Kassenterminals (POS, point of sale-System) und einem SAP POS Xpress Server. Bei jedem Kauf wird beim Bezahlvorgang an der Kasse der POS Xpress Server kontaktiert. Dieser ermittelt den Preis f\u00fcr das gescannte Produkt, \u00fcbernimmt die Zahlungsdaten, falls mit Karte bezahlt wird und \u00fcbermittelt diese an die Bank. Laut der Sicherheitsfirma ERPScan wird die SAP POS-L\u00f6sung in den USA in gut 80% der H\u00e4ndler aus den Forbes Global 2000 verwendet.<\/p>\n<p>Die Sicherheitsl\u00fccke im SAP POS Xpress Server ist darin begr\u00fcndet, dass der Server keine Authentifizierung vornimmt. Sind die Kassensysteme per WLAN an den Server angebunden, k\u00f6nnten Angreifer auf gleichem Wege in das System eindringen und Daten im SAP POS Xpress Server abrufen (z.B. Kartendaten) und auch manipulieren (z.B. Preis reduzieren). <\/p>\n<p>Entdeckt wurde das Ganze von Sicherheitsforschern der Firma ERPScan. Diese haben das Problem im April 2017 an SAP gemeldet. SAP hat die L\u00fccken gefixt (siehe SAP Security Note 2476601 und SAP Security Note 2520064. Weitere Details finden sich in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/watch-someone-buy-a-laptop-for-1-thanks-to-a-severe-pos-vulnerability\/\" target=\"_blank\">diesem Bleeping Computer-Artikel<\/a>. Keine Ahnung, ob dieses System auch in Deutschland Verwendung findet. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Von SAP gibt es einen POS-L\u00f6sung (Verkaufsterminals und ein Server), die von Hackern manipulierbar ist. So k\u00f6nnen Hacker den Preis einer Ware \u00fcber den POS-Server manipulieren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[6450,1464,4328,6449],"class_list":["post-193435","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-pos","tag-sap","tag-sicherheit","tag-verkaufsterminals"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/193435","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=193435"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/193435\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=193435"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=193435"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=193435"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}