Sicherheitslücke: Festes Passwort für Datenbankzugriff bei EVA-Software (VW-, Audi-Händler)

Sicherheit (Pexels, allgemeine Nutzung)Bei allen VW und Audi Händlern wird die EVA-Software (Elektronischer Verkäuferarbeitsplatz) zur Unterstützung eingesetzt. Die Software arbeitet mit einer Datenbank, in der dann auch Kundendaten gespeichert werden. Ein Blog-Leser wies mich darauf hin, dass die Zugangsdaten für die Oracle-Datenbank fest in der Software abgelegt sind und seit 20 Jahren unverändert wären. Ich habe den Kontakt mit VW übernommen, und deren Sicherheitsabteilung hat inzwischen diese Schwachstelle beseitigen lassen.

Leserhinweis auf Schwachstelle

Ein Blog-Leser hat mich am 12. November 2023 per E-Mail kontaktiert, weil er den Artikel Cyber-Security I: Massive Sicherheitslücken in deutschen Gesundheitsämtern – keinen interessiert es von mir gelesen hatte. Dazu schrieb der Leser „Ich habe Deinen Artikel über die Sicherheitslücken bei den Gesundheitsämtern gelesen. Eine ähnliche Sicherheitslücke gibt es beim VW-Konzern.“

Dann informierte mich der Leser, dass der „Elektronische Verkäuferarbeitsplatz“ (EVA), der bei allen VW und Audi Händlern zum Einsatz kommt, eine Schwachstelle aufweist. EVA sei eine Windows Software, die eine Oracle-Datenbank zur Datenablage nutzt, schrieb der Leser. Und die Zugangsdaten für die Anmeldung an der Datenbank seien im Programmcode hinterlegt. Der Entwickler der EVA-Software scheint ein Fußballfan gewesen zu sein, denn das Passwort wurde diesbezüglich seinerzeit recht einfallslos gewählt.

Fest in der Software kodierte Kennwörter bzw. Zugangsdaten stellen ein Sicherheitsproblem dar. Die Autohäuser können zwar den Zugriff auf die Rechner mit dem EVA-Arbeitsplatz physisch begrenzen, aber der Leser schrieb mir, dass das Passwort seit mehr als 20 Jahren unverändert sei. Somit könne jeder in einem Autohaus, der auf den PC und die Oracle-Datenbank zugreifen kann, sich eine Kopie der Kundendatenbank des Autohauses auf einen USB Stick ziehen könnte.

EVA: Der Elektronischer Verkäuferarbeitsplatz

Das Kürzel EVA steht für Elektronischer Verkäuferarbeitsplatz, ein Begriff, der auf eine Reihe von Software-Systemen zutrifft. Erst als ich die Suche auf VW und Audi eingrenzte, stieß ich auf einige Informationen. die Seite von Zeus gedas, die eine solche Software (aber unter dem Namen EVA-zentral) beschreiben.

EVA: Elektronischer Verkäuferarbeitsplatz (VW, Audi)

So wie ich es verstanden habe, unterstützt VW Financial Services dieses Konzept der zentralen EVA-Datenbank aber nicht und besteht auf einer EVA-Instanz pro Betrieb/Standort. In diesem Fall wird der EVA-Client lokal auf den jeweiligen Endgeräten der Nutzer ausgeführt. Diese haben dann auch direkten Zugriff auf die Datenbank.

Relevant ist im Kontext dieses Artikels hier lediglich, dass jemand bei Kenntnis des Passworts auf die lokale Oracle-Datenbank mit Kundendaten etc. zugreifen könnte.

Meldung des Sachverhalts an VW

An dieser Stelle habe ich mit dem Leser vereinbart, dass ich mich um die Klärung des Sachverhalts kümmere – denn beim Leser war der Modern Solutions-Fall (siehe Amtsgericht Jülich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)) im Hinterkopf. Ich stand dann vor der Frage „wo meldest Du das Ganze“. Ich war mir nicht sicher, ob die oben erwähnte Zeus gedas für das Thema zuständig ist.

Ich habe dann beschlossen, VW als Unternehmen über deren Cyber-Security-Seite bezüglich des Sachverhalts zu kontaktieren. Der VW-Konzern bietet dort auch die Möglichkeit, verschlüsselt zu kommunizieren. Es war mittlerweile Mitte Januar 2024, weil ich das Thema etwas liegen gelassen und recherchiert hatte. Erinnerungsmäßig muss ich die Meldung zum 18. Januar 2024 abgesetzt haben, bereits am 19. Januar 2024 hatte ich die nachfolgende Rückmeldung:

Sehr geehrter Herr Born

vielen Dank für Ihre Meldung. Bitte betrachten Sie diese Mail als Eingangsbestätigung, da wir für Sie vermutlich der einzige auffindbare Eingangskanal waren, thematisch allerdings nicht verantwortlich sind. Die Meldung wurde jedoch an die zuständigen Kollegen weitergeleitet und wird derzeit bearbeitet.

Einen Tag später meldete sich der für Cyber-Security Verantwortliche von Volkswagen Financial Services AG telefonisch. Im Gespräch erwähnte er, dass der Blog hier durchaus bekannt sei und man die Schwachstelle im Rahmen eines Audits bereits als „zu beheben“ identifiziert habe. Auf Grund meiner Meldung werde man die betreffende Software ändern lassen.

VW lässt EVA korrigieren

Vom Blog-Leser hatte ich inzwischen die Information, dass die Korrekturen Anfang März 2024 geplant seien. Zwischenzeitlich erhielt ich vom Leser dann die Information, dass sich zwar etwas tue, das aber wohl nicht reibungslos über die Bühne gehe.

Und vor der Anpassung wurden sämtliche Benutzerpasswörter im Klartext in einer Datenbanktabelle (ADVISOR) gespeichert. Nun bestätigt der Leser, dass die Passwörter auch nicht mehr in die Tabelle „ADVISOR“ geschrieben werden – dort stehe nur noch eine Zeichenkette ******* als Passwort.

Laut Leser mussten alle EVA-Benutzer in den Autohäusern ihr Login-Passwort ändern. Zudem sollten die Passwörter der Admin-User SYS und SYSTEM von den Autohäusern eigenverantwortlich geändert werden. SYS ist der Benutzer für das Autohaus, während EVA eigene Benutzerkennungen verwendet.

Weiterhin sei von Seiten VW kommuniziert worden, dass die Passwörter der EVA-Datenbankbenutzer EVA, EVA_USER und EVAST regelmäßig erneuert werden würden. Die Änderung des Passworts für den SYS-Benutzer hatte aber den Kollateralschaden, dass das EVA-Update nicht mehr funktionierte. Seit dem 22.4.2024 funktioniert das EVA-Update aber auch mit geänderten Kennwörtern.

Zum 19. April 2024 kam dann die Rückmeldung von Volkswagen Financial Services AG telefonisch und später auch per E-Mail, dass die von mir gemeldete Auffälligkeit im EVA-Client behoben sei.

An dieser Stelle mein Dank an den Blog-Leser für den Hinweis. Positiv möchte ich an dieser Stelle die Reaktion bzw. Zusammenarbeit mit VW vermerken. Ich hatte die Angelegenheit ja zentral beim Konzern auf deren Cyber-Security-Seite gemeldet. Die mussten erst intern Zuständigkeiten klären, und trotzdem hatte ich binnen eines Tages die Rückmeldung, dass man sich kümmert.

Dass die Umstellung der EVA-Client-Software in den diversen Autohäusern von Audi und VW nicht binnen weniger Tage erfolgen kann, ist auch nachvollziehbar. Jedenfalls ist das Ganze – was die Kommunikation mit mir betrifft – ungewohnt professionell und akkurat verlaufen (das kenne ich von anderen Stellen auch anders). Jedenfalls ist das Thema nach meinen Kenntnissen nun „vom Tisch“.

Ähnliche Artikel:
Datenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen
Bauhaus-App: Funktion um Kassenbon zu scannen (aus Sicherheitsgründen) entfernt?
BAUHAUS-App wieder mit Scan-Funktion für Kassenbons
IHK Oldenburg: Sicherheitslücken in Tibros-Online
Gehärteter Online-Banking-Browser S-Protect, ein Totalausfall?
Nachlese: Gehärteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse
Festes SA SQL-Passwort bei windata 9-Banking-Software
AnyDesk-Hack Undercover – weitere Informationen und Gedanken – Teil 2
Datenpanne bei Swiss/Lufthansa: Fremde Daten einsehbar, Apples Siri übernimmt
IT-Experte, der Modern Solutions Schwachstelle öffentlich gemacht hat, muss nun doch vor Gericht
Urteil des LG Aachen (Fall Modern Solution-Schwachstelle) liegt vor
Hauptverhandlung gegen Entdecker der Modern Solutions-Schwachstelle im Januar 2024
Amtsgericht Jülich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)
Mögliche Schwachstelle bei Ticket-System der Koelnmesse aufgedeckt, gibt es einen 2. Modern Solutions-Fall?

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

18 Antworten zu Sicherheitslücke: Festes Passwort für Datenbankzugriff bei EVA-Software (VW-, Audi-Händler)

  1. Jens sagt:

    Schön zu lesen dass es noch Verantwortliche gibt, die sich schnell um solche Vorfälle kümmern. Wie man ja schon häufiger lesen konnte, ist das ja leider nicht der Standard.

    Danke für den interessanten Artikel!

  2. Sascha Bertelt sagt:

    Ein „Happy End“ in diesem Bereich ist echt mal etwas anderes.
    So sollte es sein.

  3. BC sagt:

    Das selbe findet vermutlich auch bei CGM Z1 (Praxissoftware für Zahnärzte) statt.
    Das MS-SQL Datenbankkennwort wird beim Setup auf ein hart kodiertes Kennwort gesetzt.
    Darüber hinaus werden Kennwörter wie z. B. für die Programmbenutzer und die KIM-Adressen mit umkehrbarer Verschlüsselung gespeichert.

  4. Carsten sagt:

    „… Admin-User SYS und SYSTEM von den Autohäusern eigenverantwortlich geändert werden. SYS ist der Benutzer für das Autohaus …“ ???

    SYS und SYSTEM sind IMHO die zentralen Admin-Accounts einer ORACLE-DB.
    Ähnlich „sa“ beim MS SQL Server oder „Administrator“ bei Windows.

    Und derartige Accounts sollte man tunlichst nicht für den Zugriff von Applikationen, Diensten o.ä. verwenden.

    HTH Carsten

  5. maik sagt:

    Das CERT bei VW macht schon seine Arbeit, auch wenn es hoffnungslos überfordert ist…
    Aber wenn ne Mail von jemand so prominenten eintrudelt, werden sicherlich NotfallMeetings ins Leben gerufen und alle Register gezogen…

  6. Norddeutsch sagt:

    Zu „Verantwortliche gibt, die sich schnell um solche Vorfälle kümmern…“ (@Jens) ergibt sich eine differenziertere und im Ergebnis eher kritische Sicht.
    Bisherige Kommunikation ist wohl Schadensbegrenzung und Öffentlichkeitsarbeit. Dazu etwas Interna:

    o Viele, fast alle Teile bei VW-FS unterliegen Compliance und Audits
    o Dazu gehört als nur ein Beispiel ISAE 3402, Audit des internen IKS (Kontrollsystem, auch mit IT-Sec-Fokus)
    o ISAE3402 schreibt Kontrollen im KVP & somit deren Tracking/Doku vor
    o Frequenz ist hierbei (halb)jährlich, immer nah am Wirtschaftsjahr

    Wenn eine „Schwachstelle im Rahmen eines Audits als zu beheben“ erkannt wurde sagt dies defacto sehr wenig.

    Dabei sind Termini wichtig: Nach IT- oder Wirtschaftsprüfung ist „Schwachstelle“ zB nur „Abweichung“ oder „Finding“ nach IDW PS 951 oder ISAE. Die Schwachstelle wiederum scheint laut Artikel 20 (20!) Jahre zu persistieren. Eine Aussage, welche Personengruppen über Standardpassworte über Jahre unberechtigt Zugriff auf PbDs der „Stammdaten“ hatten kann mE nur schwer getroffen werden. Dies interessiert jedoch bei jedem LEAK, aus Sicht IT-Sec oder DSGVO. Rechtskonformes IT-Sec-Management bis zum Datenträgermanagemet ebenso. Imho ist dies durch Stellungnahme VWFS ein belegter klarer FAIL bei IKS, Aufarbeitung oder Technikverständnis und organisatorischem Willen über Jahre. Auch lässt sich folgern: Es wurde jahrelang „depriorisiert“.
    VW-FS hat kompetente Personen im Team – jedoch viele mit wenig operativen IT-KnowHow. Dies trotz Titeln von CISM, CISA und Mathematikerinen [ liebe Grüße nach BS ;-] -, bis hin zu führenden Personen bei ISACA. Es hapert an der Umsetzung im Top-Down. Hat jemand EVA schon bei Datenhaltung, Zugriffsdokumentation, Verschlüsselung oder regulatorisch vorgeschriebenen Fähigkeiten (Sperren, Löschen, Korrigieren,Ausleitung…) analysiert?

    Wenn dann „von Seiten VW kommuniziert worden [sei]“ PW zu ändern – so ändert dies aus Konzernsicht, für Audits und schlimmer: für potentiell Betroffene wenig. Als denkbares Kontrollziel und Kontrolle ergäbe sich bspw:

    Kontrollziel: (Alle) Nutzer verwenden keine Defaultpassworte, Passworte werden per Intervall geändert

    Kontrolle: Prüfung von EVA bei Code und aller Instanzen auf verwendete Passwortsicherheit durch zB Stichprobe n>50 in Logs & Code

    Somit: Wie viele Instanzen melden sich mit nicht geändertem Standardpasswort noch bei VWFS an? Wie viele unauthorisierte Zugriffe gab es zB durch ausgeschiedene Mitarbeiter bei Betrieben oder im Konzern? Wie viele PW werden per Zeitraum nachvollziehbar und korrekt geändert? Welche Kriterien gelten für PW-Komplexität? Bitte Nichts mit „die Auffälligkeit im EVA-Client [ist] behoben“. Fakten bitte.

    @maik: Nun, wie viele Notfallmeetings hat VWFS oder CERT den seit 20 Jahren zu diesem Problem einberufen? Ist das dann „Management by Incident“ (tm) ? (das ™ sichere ich mir)

    p.s. – es ist schon Kunst, 20 Jahre Defizit als Auffälligkeit zu reframen ;-)

    • Kommentator sagt:

      Du scheinst ja sehr viele Fakten zu haben, wenn du das so genau analysiert…

      Allerdings sind all diese Aussagen wenig inhaltsreich. Ein IKS für ein Unternehmen sowie die dazugehörigen Prüfstandards im Rahmen einer Jahresabschlussprüfung, haben aber auch gar nichts mit einer einzelnen Softwareentwicklung zu tun.

      Auch scheinst du überlesen zu haben, dass es sich um eine lokale Datenbank handelt, welche mit einem Secret verknüpft ist. Dieses wurde augenscheinlich seit 20 Jahren nicht geändert. Insofern viele vermeintliche Insights…, die du wohl doch nicht so hast.

    • Stefan sagt:

      Norddeutsch scheint als einziger hier auch als ITSB zu arbeiten. Und wenn man die Anforderungen von VW gerade an externe Partner in Sachen IT Sicherheit und Dokumentation selbiger zu Grunde legt, ist es beschämend, dass die das so schlampig über Jahre gehandhabt haben.

      Aber je größer, um so schlampiger, weil zu oft Manager entscheiden, die keine Ahnung haben. Und am Ende auch keine Verantwortung übernehmen. (Müssen)
      Da resigniert der Security bewusste Entwickler .

  7. Bob sagt:

    Das ist leider keine Seltenheit.
    Tatsächlich gibt es Massenhaft Anwendungen die das so handhaben.
    Und wenn man sich beschwert bekommt man oft nur patzige, uneinsichtige Rückantworten.
    Insbesondere bei Anwendungen die auf Firebird als Datenbank setzen beobachte ich das sehr oft. Da wird meist das Standardkennwort, das öffentlich dokumentiert ist (masterkey) verwendet (mit standard user sysdba).
    Man verzweifelt oft.
    Aber auch im Gesundheitswesen (mit anderen DBs) ist das nicht viel besser.
    Man wäre dauerhaft damit beschäftigt sich mit den Herstellern zu streiten…

  8. Sebastian Welsch sagt:

    Genauso ein Thema ist die Rechtestruktur dieser Branchensoftware auf dem Server.
    Standard Antwort des Support: Rechte? -> Jeder Vollzugriff, sonst läuft das nicht. Auf eine Nachfrage nach dem Grund dafür bekommt man meist keine haltbare Antwort, sondern nur: „Das machen wir immer so, sonst funktioniert das nicht. Und dann sind wir nicht verantwortlich“.

    Ich habe solche Dinge dann schon mit der Entwicklung klären lassen, was denn der technische Grund wäre. Und wer hätte es gedacht, plötzlich darf man die Rechte auch einschränken.

  9. Pau Nur als mail sagt:

    Anstatt Email:

    Die Deutsche Bahn hat wohl gerade ein Problem.
    man kann per Navigator keine Tickets kaufen oder reklamieren.
    Es kommt nur der Text:
    „Ein interner Serverfehler ist aufgetreten.
    Die Korrelations-ID zur Fehlerdiagnose:
    863468…“

    man kann zwar Verbindungen finden, und wählt dann aus den Angeboten eines aus kommt die Meldung.

    2.
    hat vielleicht nichts damit zu tun oder doch:
    das Bahn WLAN Wifi@db war zwar da, aber mein mobile sagte, das es kein Internet gibt.
    das WLAN WiFionIce funktionierte gestern Abend.

  10. Sebastian sagt:

    Ich kenne eine Softwarebude in Berlin die im wesentlichen von Mercedes lebt weil sie eine Testdatensoftware für Autos auf dem Bock haben die nach wie vor auf MS-Access basiert.

    Merksatz: Kaufe kein Auto das in der Lage ist Daten zu versenden.
    (Datenschutz ist wichtiger als Umweltschutz.)

  11. Chris sagt:

    Viel Wind um nichts?!

    Branchen bzw. Herstellerspezifische Anwendungen arbeiten oft mit einen Standardlogin, irgendwie muss der Support doch noch auf das System kommen wenn nach dem 8 Wechsel auf dem Arbeitsplatz das Passwort nicht mehr bekannt ist.

    Was bringt einem das Passwort für die DB wenn man kein PC Login hat um überhaupt an die Anwendung und somit die DB zu kommen?

    Der Arbeitsplatz sollte beim verlassen natürlich immer gesperrt werden.

    Letztendlich handelt es sich also um Insiderwisse bzw. um einen Angriff von „innen“, davor ist man nie wirklich gefeit.

    • Jan sagt:

      @Chris was nützt es, wenn die Anwender ihren PC sperren? Du brauchst nur einen kleinen Raspi o.ä. mit einer Speicherkarte und einen freien Netzwerkport (z.B. von einem Drucker o.ä.). Eine Anmeldung an einem Windows PC ist nicht erforderlich, wenn man die Zugangsdaten zur DB hat.

  12. Steve sagt:

    Ich finde es vorbildlich, dass die Cybersecurity-Leute den Report einfach weitergeleitet haben.
    Beim Endkundensupport von VW kann es da zu ganz anderen Stilblüten kommen:

    Hier endlich Ihre Antwort von der zuständigen Fachabteilung:
    „Wir sind leider nicht zuständig.“

    Nach zwei weiteren Iterationen war ich dann endlich bei der wirklich zuständigen Fachabteilung, die mein Problem aber nicht nachvollziehen konnte. :-/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert