Wer einmal drin ist, dem wird blind vertraut

Soweit, so gut. Freilich gilt aber auch: wer einmal drin ist, dem wird blind vertraut und desgleichen seinen Daten. So dürfen mobile Anwender oder Geschäftspartner von außen über die grafische Bedienoberfläche SAP-GUI und die dazu gehörigen Portale wichtige Dokumente abrufen und bearbeiten. Nach der Authentifizierung des jeweiligen Anwenders und der Verschlüsselung des Datentransfers werden die jeweiligen Dateien ohne weitere Analyse in die kritischen Anwendungen überführt. Was etwaigen Schadcode betrifft, so vertraut die Anwendungswelt von NetWeaver darauf, dass die Dokumente im Netz oder auf dem PC des Geschäftspartners entsprechend untersucht wurden.

Das geht wohl meistens gut, manchmal aber auch nicht. Einen potenziellen Gefahrenherd bildet vor allem die SSL-Verschlüsselung von Dateianhängen. Diese werden nicht entschlüsselt und auf Schadcode geprüft, wenn ihr »Besitzer« sich ordnungsgemäß ausgewiesen hat und als vertrauenswürdig gilt. In Zeiten gigantischer Botnetze ist das höchst gefährlich. Denn viele Benutzer wissen gar nicht, dass sie unfreiwillig Mitglied einer kriminellen Vereinigung sind und ihre Dateien Schadcode mit sich führen. Schließlich lassen immer noch viele Firewall-Systeme und Sicherheitsgateways SSL-verschlüsselte Dateien unkontrolliert passieren. Eine Infektion könnte sich auf diese Weise in der SAP-Welt ungehemmt ausbreiten und ließe sich nur an den Endpunkten der SSL-Verschlüsselung eindämmen. Aber es müssen ja nicht gleich kriminelle Botnetze sein. So kann besonders im E-Government-Bereich davon ausgegangen werden, dass stark wechselnde Nutzer auf wichtige Informationen zugreifen wollen und sollen. Das sind aber unter Umständen Benutzer, die womöglich veraltete Schutzsoftware oder auch gar keine Schutzsoftware gegen bösartige Angriffe auf ihren PCs installiert haben. Das Infektionsrisiko ist bei dieser Klientel also erheblich.