Von SAP gibt es einen POS-Lösung (Verkaufsterminals und ein Server), die von Hackern manipulierbar ist. So können Hacker den Preis einer Ware über den POS-Server manipulieren.
Die Lösung von SAP besteht aus Kassenterminals (POS, point of sale-System) und einem SAP POS Xpress Server. Bei jedem Kauf wird beim Bezahlvorgang an der Kasse der POS Xpress Server kontaktiert. Dieser ermittelt den Preis für das gescannte Produkt, übernimmt die Zahlungsdaten, falls mit Karte bezahlt wird und übermittelt diese an die Bank. Laut der Sicherheitsfirma ERPScan wird die SAP POS-Lösung in den USA in gut 80% der Händler aus den Forbes Global 2000 verwendet.
Die Sicherheitslücke im SAP POS Xpress Server ist darin begründet, dass der Server keine Authentifizierung vornimmt. Sind die Kassensysteme per WLAN an den Server angebunden, könnten Angreifer auf gleichem Wege in das System eindringen und Daten im SAP POS Xpress Server abrufen (z.B. Kartendaten) und auch manipulieren (z.B. Preis reduzieren).
Entdeckt wurde das Ganze von Sicherheitsforschern der Firma ERPScan. Diese haben das Problem im April 2017 an SAP gemeldet. SAP hat die Lücken gefixt (siehe SAP Security Note 2476601 und SAP Security Note 2520064. Weitere Details finden sich in diesem Bleeping Computer-Artikel. Keine Ahnung, ob dieses System auch in Deutschland Verwendung findet.
