Die 5 größten SAP-Sicherheitsrisiken und wie Sie diese mindern können

13. Mai 2025

SAP-Anwendungen sind das Rückgrat vieler großer Unternehmen und wickeln wichtige Prozesse wie Finanzen, Treasury, Lieferkette und Personalwesen ab. Das macht sie zu bevorzugten Zielen für Cyberangriffe. Der Schutz dieser Anwendungen ist von größter Bedeutung, doch die Komplexität und Vernetzung von SAP-Umgebungen bieten oft eine große Angriffsfläche. Das Verständnis der gängigen Schwachstellen und Angriffsvektoren ist der erste wichtige Schritt zur Stärkung Ihrer Abwehr. Werfen wir einen Blick auf die fünf größten SAP-Sicherheitsrisiken, denen Ihr SAP-System ausgesetzt sein könnte:

1. Fehlende SAP-Sicherheitspatches: Eine offene Einladung für Angreifer

SAP-Anwendungen laufen auf einem komplexen Technologie-Stack, der aus vielen Komponenten besteht, die gewartet und aktualisiert werden müssen. Software-Patches sind eine wesentliche Sicherheitsmaßnahme für Ihre SAP-Landschaft. SAP veröffentlicht regelmäßig Sicherheitspatches, die neu entdeckte Sicherheitslücken beheben. Dies geschieht regelmäßig am zweiten Dienstag jedes Monats. Wenn diese Patches nicht rechtzeitig installiert werden, bleiben bekannte SAP-Sicherheitslücken für Angriffe offen. Angreifer suchen aktiv nach nicht gepatchten Systemen, die dann zu leichten Zielen werden.

Risiken einer verzögerten SAP-Sicherheitspatchung:

Nicht gepatchte Systeme sind anfällig für eine Vielzahl von Angriffen, von Denial-of-Service (DoS) über Remote Command Execution bis hin zu unbefugtem Zugriff. Schwachstellen werden regelmäßig und aktiv von Angreifern ausgenutzt, wie die CISA in ihrem Katalog bekannter ausgenutzter Schwachstellen (KEV) hervorhebt.

Kürzlich hat die CISA ihren KEV um eine kritische Schwachstelle in SAP-Anwendungen (CVE-2017-12637) erweitert, die die Komplexität der Sicherung von SAP-Anwendungen sowie die Dynamik von SAP-Schwachstellen verdeutlicht.

So verbessern Sie die SAP-Patch-Compliance:

• Richten Sie einen klaren und gut kommunizierten Patch-Management-Prozess ein, damit kritische Patches für BASIS-Administratoren keine Überraschung sind.
• Bleiben Sie über die neuesten SAP-Sicherheitshinweise auf dem Laufenden und priorisieren Sie deren Implementierung nach ihrer Kritikalität. Achten Sie auf außerplanmäßige Sicherheitspatches.
• Überprüfen Sie Ihre Systeme regelmäßig, um fehlende Patches zu identifizieren und den etablierten Patch-Management-Prozess zu testen.
• Erwägen Sie automatisierte Lösungen für das Schwachstellenmanagement, um den Prozess zu optimieren.

2. Die Gefahr von Standard-Anmeldedaten: Der beste Freund eines Hackers

Viele SAP-Komponenten und sogar kundenspezifische Anwendungen werden mit Standard-Benutzernamen und -Passwörtern ausgeliefert. Diese Anmeldedaten sind zwar für die Ersteinrichtung vorgesehen, aber wenn sie nicht geändert werden, sind sie weithin bekannt und können von böswilligen Akteuren leicht ausgenutzt werden. Standardbenutzer betreffen SAP-Anwendungen, die auf dem SAP Netweaver Application Server ABAP sowie Java laufen.

Das Risiko von SAP-Standard-Anmeldedaten:

Standardzugangsdaten bieten einen einfachen Einstiegspunkt für unbefugten Zugriff, sodass Angreifer die Kontrolle über kritische Systemfunktionen und sensible Daten erlangen können. Einige Notfallzugriffsmechanismen in SAP können bekannte Benutzernamen und Passwörter beinhalten.

So beseitigen Sie Schwachstellen durch SAP-Standardzugangsdaten:

• Ändern Sie alle Standardpasswörter sofort bei der Ersteinrichtung des Systems.
• Sperren Sie Standardbenutzer, wenn diese nicht verwendet werden und für keine bestehenden internen Prozesse erforderlich sind.
• Implementieren Sie eine Multi-Faktor-Authentifizierung (MFA) für eine zusätzliche Sicherheitsebene.
• Überprüfen Sie regelmäßig Benutzerkonten und Berechtigungen und entfernen oder deaktivieren Sie nicht mehr benötigte Konten. SAP bietet einen Standardbericht zur Überprüfung des Status einiger bekannter Standardbenutzer über alle Mandanten hinweg: RSUSR003.

3. Schwachstellen in benutzerdefiniertem Code (z. B. SQL-Injection-Angriffe)

SAP-Anwendungen werden in der Regel angepasst, um die Prozesse eines Unternehmens auf Standard-SAP-Anwendungen abzubilden. Dabei können Entwickler verschiedene Arten von Sicherheitslücken einführen, wie z. B. Injection-Fehler oder fehlende Berechtigungsprüfungen. Eine sehr bekannte Art von Schwachstelle in diesem Bereich ist die SQL-Injection, eine Schwachstelle in Webanwendungen. Angreifer können bösartigen SQL-Code in Eingabefelder einfügen und so möglicherweise Sicherheitskontrollen umgehen, auf Daten in der zugrunde liegenden Datenbank zugreifen, diese ändern oder sogar löschen.

Risiken durch Schwachstellen in SAP-benutzerdefiniertem Code:

Angreifer können Software-Schwachstellen ausnutzen, die benutzerdefinierten Code in SAP-Anwendungen betreffen, was zu einer vollständigen Kompromittierung des Systems führen kann. Ein erfolgreicher SQL-Injection-Angriff kann zu schwerwiegenden Datenverletzungen, finanziellen Verlusten und Rufschädigung führen.

Best Practices für die Sicherung von SAP-Custom-Code:

• Implementieren Sie sichere Codierungspraktiken, einschließlich Eingabevalidierung und parametrisierter Abfragen, in allen benutzerdefinierten ABAP- und Webanwendungen, die mit der SAP-Datenbank interagieren.
• Führen Sie regelmäßig Codeüberprüfungen und Sicherheitstests durch, einschließlich Schwachstellenscans für alle bekannten Arten von Fehlern.
• Schulen Sie Entwickler in sicheren Codierungsprinzipien.
• Integrieren Sie sichere Entwicklungspraktiken in Ihre Softwareentwicklungsprozesse, um das Eindringen von Sicherheitslücken zu verhindern.

4. Unzureichende Berechtigungs- und Zugriffskontrollen: Insider-Bedrohungen und darüber hinaus

Granulare Berechtigungskonzepte sind für den Betrieb komplexer und kritischer Geschäftsanwendungen von grundlegender Bedeutung, und dies gilt auch für SAP-Anwendungen. Schlecht konfigurierte Rollen und Berechtigungen können jedoch dazu führen, dass Benutzer Zugriff auf Funktionen und Daten erhalten, die über ihre Aufgabenbereich hinausgehen. Dies erhöht nicht nur das Risiko von internem Betrug und Fehlern, sondern kann auch von externen Angreifern ausgenutzt werden, denen es gelingt, Konten mit weitreichenden Berechtigungen zu kompromittieren.

Risiken der Zugriffskontrolle in SAP-Systemen:

Unzureichende Zugriffskontrollen können zu unbefugtem Zugriff auf Daten, deren Änderung oder Löschung sowie zur Ausführung kritischer Systemfunktionen durch Unbefugte führen.

So setzen Sie Best Practices für SAP-Berechtigungen durch:

• Implementieren Sie das Prinzip der geringsten Berechtigungen und gewähren Sie Benutzern nur die Berechtigungen, die sie zur Erfüllung ihrer Aufgaben benötigen.
• Überprüfen und auditieren Sie regelmäßig Benutzerrollen und Berechtigungen.
• Stellen Sie sicher, dass Notfall- und temporäre Zugriffe ordnungsgemäß definiert und implementiert sind, damit jede Anfrage ordnungsgemäß genehmigt, protokolliert und geprüft werden kann.
• Implementieren Sie eine Aufgabentrennung (SoD), um Interessenkonflikte zu vermeiden und das Betrugsrisiko zu verringern.

5. Mangelnde Sicherheit beim Änderungsmanagement

Das SAP-Transportmanagement ist der Prozess der Übertragung von Änderungen (Konfigurationen, benutzerdefinierter Code usw.) zwischen verschiedenen Systemen in Ihrer SAP-Landschaft (z. B. Entwicklung, Test, Produktion). Wenn dieser Prozess nicht ordnungsgemäß definiert ist und keine Sicherheitsvorkehrungen umfasst, können böswillige Änderungen in die Produktionsumgebung gelangen und möglicherweise erhebliche Störungen und Sicherheitsverletzungen verursachen.

Risiken eines unzureichenden oder fehlenden SAP-Änderungsmanagements:

Böswillige Änderungen könnten in die Produktion gelangen und potenzielle Angriffe auf das Unternehmen ermöglichen, einschließlich Finanzbetrug.

So sichern Sie SAP-Transport- und Änderungsprozesse:

• Sichern Sie Transportverzeichnisse und Dateisysteme mit geeigneten Zugriffskontrollen.
• Implementieren Sie einen robusten Änderungsmanagementprozess mit ordnungsgemäßen Genehmigungen und Prüfpfaden.
• Erwägen Sie die Automatisierung von Sicherheitsprüfungen für Objekte, die durch die Änderungsmanagementprozesse transportiert werden.

Schützen Sie Ihre Kronjuwelen

Die Sicherung Ihres SAP-Systems ist keine einmalige Angelegenheit, sondern ein fortlaufender Prozess, der Wachsamkeit, einen proaktiven Ansatz und ein tiefes Verständnis der potenziellen Bedrohungen erfordert. Unabhängig davon, ob Sie Teil eines Unternehmens mit einem ausgereiften SAP-Sicherheitsprozess sind oder gerade erst die ersten Schritte unternehmen: Indem Sie diese fünf wichtigsten Sicherheitsrisiken angehen und die empfohlenen Maßnahmen umsetzen, können Sie Ihre SAP-Umgebung erheblich stärken und die wichtigsten Assets Ihres Unternehmens schützen.

Schließlich ist es für die Aufrechterhaltung einer sicheren SAP-Landschaft von entscheidender Bedeutung, dass Ihre BASIS-Administratoren und SAP-Teams über ein solides Verständnis der Sicherheitsrisiken und -bedrohungen verfügen. Mit dem kürzlich veröffentlichten Cybersecurity for SAP | Buch und E-Book – von SAP PRESS können Sie Ihre Benutzer weiterhin über Cybersicherheitsbedrohungen und Best Practices informieren.

---

Häufig gestellte Fragen zu SAP-Sicherheitsrisiken

Was sind derzeit die größten SAP-Sicherheitsrisiken?

Zu den größten SAP-Sicherheitsrisiken zählen Fehlkonfigurationen, nicht gepatchte Schwachstellen, übermäßige Benutzerrechte, unsicherer benutzerdefinierter Code und schwache Integrationskontrollen.

Warum sind Patches in SAP-Umgebungen so wichtig?

Nicht gepatchte SAP-Systeme sind ein bevorzugter Angriffsvektor. Angreifer nutzen häufig bekannte Schwachstellen aus, bevor Unternehmen Patches installieren.

Wie kann ich beurteilen, ob mein SAP-System diesen Risiken ausgesetzt ist?

Führen Sie regelmäßige Schwachstellenanalysen und Konfigurationsüberprüfungen mit speziellen SAP-Sicherheitstools wie Onapsis Assess durch.

Welche Rolle spielt der Benutzerzugriff bei SAP-Risiken?

Unsachgemäß verwalteter Zugriff kann zu einer Ausweitung von Berechtigungen oder internem Missbrauch führen. Die Implementierung einer rollenbasierten Zugriffskontrolle ist unerlässlich.

Stellt benutzerdefinierter Code eine echte Sicherheitsbedrohung in SAP-Systemen dar?

Ja. Unsicherer benutzerdefinierter Code kann versteckte Schwachstellen verursachen. Routinemäßige Codeüberprüfungen und automatisierte Scans tragen dazu bei, dieses Risiko zu minimieren.

Können Integrationen von Drittanbietern die SAP-Sicherheit gefährden?

Ja. Unsichere Integrationen können zu Einfallstoren werden. Überprüfen Sie alle Schnittstellen und sichern Sie sie mit geeigneten Authentifizierungs- und Verschlüsselungsmaßnahmen.

Wie kann man neuen SAP-Bedrohungen am besten vorbeugen?

Beobachten Sie die Veröffentlichung von SAP-Patches genau, abonnieren Sie Updates zu Bedrohungsinformationen (z. B. von Onapsis) und führen Sie regelmäßig Sicherheitstests durch.

Wie hilft Onapsis bei der Minderung von SAP-Sicherheitsrisiken?

Onapsis bietet automatisiertes Schwachstellenmanagement, Compliance-Überwachung und Bedrohungserkennung speziell für SAP-Umgebungen.

Sind diese Risiken auch für SAP S/4HANA relevant?

Auf jeden Fall. S/4HANA bietet zwar Verbesserungen, übernimmt aber auch Risiken aus älteren Systemen. Ein sicherheitsorientierter Ansatz bleibt daher unerlässlich.

Wie oft sollten SAP-Systeme einer Sicherheitsbewertung unterzogen werden?

Empfohlen werden mindestens vierteljährliche Bewertungen. Hochriskante oder mit dem Internet verbundene Systeme müssen möglicherweise häufiger überprüft werden.

Source: Onapsis-Blog