SAP-Sicherheit im Jahr 2025: Schutz Ihres Unternehmens vor modernen Cyber-Bedrohungen

Traditionell bestanden die SAP-Best Practices für Cloud-Sicherheit darin, geschäftskritische SAP-Systeme vor Ort zu betreiben und sie mit mehreren Sicherheitsebenen zu umgeben, um eine theoretisch undurchdringliche Festung mit Mauern und Gräben zu schaffen. Der fortschreitende Wandel vom traditionellen lokalen Perimeter zu einem verteilten Hybrid-Cloud-Modell und die Notwendigkeit für jedes Unternehmen, seine Geschäftsabläufe digital zu transformieren, verändern dieses Paradigma jedoch zunehmend. Dazu gehören komplexe Initiativen wie die Transformation mit S/4HANA und RISE with SAP. SAP ist nicht mehr in einer Schutzhülle, und Bedrohungsakteure haben dies erkannt und nehmen SAP mit schnellen, ausgeklügelten und zunehmend erfolgreichen Angriffen ins Visier. Unternehmen müssen sich der erhöhten Bedrohungen für ihre kritischsten Systeme bewusst sein und entsprechend gerüstet sein.

Die sich wandelnde SAP-Bedrohungslandschaft

Die Veränderung der Art und Weise, wie Unternehmen arbeiten und mit ihren SAP-Systemen interagieren, hat zu einer dynamischen und zunehmend komplexen Bedrohungslandschaft geführt. Mehrere wichtige Faktoren tragen zu dieser Entwicklung bei und erfordern eine proaktive und robuste Sicherheitsstrategie.

Beschleunigte digitale Transformation: Geschwindigkeit vor Sicherheit

Initiativen zur digitalen Transformation sind seit Jahren im Gange, aber die jüngsten globalen Ereignisse haben die Digitalisierung der Unternehmen in allen Bereichen erheblich beschleunigt. Von den Forderungen der Kunden nach mehr digitalen Interaktionen bis hin zu vollständig remote arbeitenden Mitarbeitern hat diese anhaltende Beschleunigung der digitalen Transformation eine neue und dauerhafte Dringlichkeit verliehen und die Priorisierung der digitalen Bereitschaft zu einer obersten Aufgabe gemacht. Dieser rasante Wandel hat Unternehmen anfällig für neue Risiken gemacht, sowohl aufgrund einer größeren Anzahl von nach außen gerichteten kritischen Systemen als auch aufgrund oft knapper Ressourcen für die Umsetzung von Best Practices für die Sicherheit. Laut einer aktuellen Branchenanalyse haben Unternehmen ihre Bemühungen um die digitale Transformation drastisch beschleunigt. Viele berichten, dass sie durchschnittlich sechs Jahre Fortschritt in einem komprimierten Zeitrahmen erzielt haben. Dieser rasante Fortschritt hat erhebliche Auswirkungen auf die Digitalisierung der Interaktionen mit Kunden und Lieferketten, auf interne Abläufe und auf den Gesamtanteil digitaler oder digitalfähiger Produkte in ihren Portfolios.

Digitalisierte Abläufe und Produkte bedeuten, dass geschäftskritische Anwendungen und ihre Daten zunehmend in Cloud-basierten, oft öffentlich zugänglichen Systemen und nicht mehr ausschließlich in lokalen Infrastrukturen gespeichert werden. Dies hat das Risiko von Missbrauch erheblich erhöht und unterstreicht die dringende Notwendigkeit einer sicheren Cloud-Migration. Unternehmen, die mit dieser rasanten Entwicklung Schritt halten wollen, übersehen dabei möglicherweise kritische Risiken und setzen sich damit potenziell Angriffen aus, darunter auch unzureichende Sorgfaltspflichten hinsichtlich bewährter Sicherheitsverfahren.

Verstärktes Outsourcing und Abhängigkeit von Dritten

Die Einstellung von IT-Mitarbeitern, insbesondere von Anwendungsentwicklern und Managern mit Erfahrung mit geschäftskritischen Plattformen wie SAP, ist eine herausfordernde Aufgabe. Der weltweite Fachkräftemangel bleibt ein erhebliches Hindernis. Bis 2030 könnte der weltweite Mangel an Fachkräften im Technologiebereich schätzungsweise 85,2 Millionen Menschen erreichen, was zu erheblichen potenziellen Umsatzverlusten führen würde. Unternehmen greifen weiterhin auf externe Berater, Auftragnehmer und Systemintegratoren zurück, um diese Lücke zu schließen. Laut einer Umfrage von Deloitte aus dem Jahr 2024 planen sogar 80 % der Führungskräfte, ihre Investitionen in – externe Outsourcing-Dienstleistungen beizubehalten oder zu erhöhen.

Die Bereitstellung zusätzlicher Ressourcen zur Einhaltung von Projektterminen für die Entwicklung und digitale Transformation ist jedoch mit Herausforderungen verbunden. Unternehmen benötigen eine Möglichkeit, die Arbeit dieser Drittanbieter zu validieren, um sicherzustellen, dass sie SAP-Umgebungen korrekt einrichten und hochwertigen und sicheren Code schreiben. Interne Anwendungsleiter in Unternehmen benötigen Transparenz und Automatisierungsfunktionen, um den Code, die Transporte, die Konfigurationen und die Patch-Maßnahmen von Drittanbietern zu bewerten. So können sie sicherstellen, dass Unternehmensstandards eingehalten werden, Sicherheitsprüfungen die Fähigkeit ihres Teams, Projekttermine einzuhalten, nicht beeinträchtigen und keine kritischen Sicherheitsprobleme in ihre wichtigsten Systeme gelangen.

Zunehmende und raffinierte Angriffe auf SAP

Die oben beschriebene Verlagerung hin zu Cloud-Modellen, das beschleunigte Tempo der digitalen Transformation und die zunehmende Abhängigkeit von Drittanbietern haben geschäftskritische SAP-Anwendungen anfälliger denn je gemacht – und das ist auch Angreifern nicht entgangen. Böswillige Cyberaktivitäten, die auf SAP abzielen, haben in den letzten Jahren zugenommen, und diese Bemühungen scheinen sich für die Cyberangreifer auszuzahlen: 23 % der Unternehmen gaben an, dass sie im vergangenen Jahr einen Cybersicherheitsangriff auf ihre SAP-Umgebung erlebt haben.

Angreifer verfügen nicht nur über ausgefeilte Fachkenntnisse, um SAP über eine Vielzahl von Angriffsvektoren anzugreifen, sondern sie tun dies auch schneller als je zuvor. Onapsis-Untersuchungen haben ergeben, dass zwischen der Offenlegung einer Sicherheitslücke und dem ersten erkennbaren Scan durch Angreifer, die nach anfälligen Systemen suchen, nur 24 Stunden liegen können, und dass es nur 72 Stunden dauert, bis ein funktionsfähiger Exploit verfügbar ist.

Über böswillige Aktivitäten gegen nicht gepatchte SAP-Anwendungen hinaus beobachteten die Onapsis-Forscher auch Hinweise auf Angriffe auf bekannte Schwachstellen in anwendungsspezifischen Sicherheitskonfigurationen, darunter Brute-Force-Angriffe auf SAP-Benutzerkonten mit hohen Berechtigungen. Darüber hinaus wurden Versuche beobachtet, Schwachstellen zu verketten, um Berechtigungseskalationen für den Zugriff auf Betriebssystemebene zu erreichen, wodurch sich die potenziellen Auswirkungen über SAP-Systeme und -Anwendungen hinaus ausweiten.

Die Unvorhersehbarkeit von Zero-Day-Angriffen

Schließlich wäre es ein erhebliches Versäumnis, raffinierte Angriffe zu diskutieren, ohne die Bedrohung durch Zero-Days zu berücksichtigen. Während Unternehmen bekannte Schwachstellen planen und patchen können, stellen Zero-Day-Exploits eine unbekannte Größe dar, ein kritisches Risiko, das von Sicherheitsteams und Forschern Agilität erfordert. Das Verständnis dieser Unbekannten ist für eine umfassende Risikomanagementstrategie von entscheidender Bedeutung.

Während Angreifer konsequent sowohl alte als auch neue bekannte Schwachstellen ausnutzen, gab es im vergangenen Jahr einen der produktivsten Zero-Day-Angriffe, der speziell auf SAP-Kunden abzielte. Unter der Bezeichnung CVE-2025-31324, erstmals öffentlich gemeldet von ReliaQuest, nutzten noch unbekannte Angreifer eine Zero-Day-Schwachstelle aus. Die Analyse des Angriffs lässt darauf schließen, dass sowohl für das Auffinden als auch für die Erstellung eines Exploits hochspezialisierte Kenntnisse und ein tiefgreifendes Verständnis erforderlich waren. Berichte von Incident Respondern wie Mandiant (in Zusammenarbeit mit Onapsis) bestätigen, dass damit erfolgreich Hunderte von Unternehmen angegriffen wurden.

Wichtige Erkenntnisse zu Zero-Day-Bedrohungen

• Zero-Day-Bedrohungen können nicht mit herkömmlichen Patch-Zyklen geplant werden.
• Zero-Day-Exploits werden nicht wahllos eingesetzt, sondern sind hoch strategisch
• Diese strategischen Zero-Day-Bedrohungen haben oft kritische Schweregrade, wie beispielsweise CVSS 10.0, sobald sie entdeckt und gepatcht wurden.
• Der Vorfall CVE-2025-31324 zeigt insbesondere, wie ausgeklügelt und spezialisiert das Fachwissen der Angreifer ist.
• Onapsis Research Labs (ORL) hat wiederholt davor gewarnt, dass Angreifer den immensen Wert von SAP-Systemen erkannt haben, und dieser Zero-Day hat dies eindeutig bewiesen.
• Für jedes Unternehmen, das SAP einsetzt, ist es nicht mehr die Frage, ob es angegriffen wird, sondern wann.
• Es gibt keine inhärente Barriere gegen Angriffe oder das Ziel zu werden: Der Einsatz von SAP macht Sie zu einem Ziel, da es hoch wertvolle Daten enthält.

Warum moderne SAP-Sicherheit wichtig ist: Auswirkungen auf Unternehmen und Compliance

Die geschäftlichen Auswirkungen einer erfolgreichen SAP-Sicherheitsverletzung können kritisch sein. In vielen Szenarien könnte der Angreifer mit maximalen Berechtigungen (Administrator/SAP_ALL) auf das anfällige SAP-System zugreifen und dabei alle Zugriffs- und Autorisierungskontrollen (wie Aufgabentrennung, Identitätsmanagement und GRC-Lösungen) umgehen. Das bedeutet, dass der Angreifer die vollständige Kontrolle über das betroffene SAP-System, die zugrunde liegenden Geschäftsdaten und -prozesse erlangen könnte. Mit Administratorrechten für das System könnte der Angreifer alle Datensätze, Dateien und Berichte im System verwalten (lesen/ändern/löschen). Durch die erfolgreiche Ausnutzung eines anfälligen SAP-Systems könnte ein Angreifer verschiedene böswillige Aktivitäten durchführen, darunter:

• Diebstahl personenbezogener Daten (PII) von Mitarbeitern, Kunden und Lieferanten
• Lesen, Ändern oder Löschen von Finanzdaten
• Ändern von Bankdaten (Kontonummer, IBAN-Nummer usw.)
• Beschaffungsprozesse verwalten
• Kritische Geschäftsabläufe wie das Lieferkettenmanagement durch Datenkorruption, vollständige Abschaltung von Prozessen oder den Einsatz von Ransomware stören
• Uneingeschränkte Aktionen durch Ausführung von Betriebssystembefehlen durchführen
• Spuren, Protokolle und andere Dateien löschen oder ändern

Für viele Unternehmen unterliegen geschäftskritische SAP-Anwendungen bestimmten branchenspezifischen und behördlichen Vorschriften, finanziellen und anderen Compliance-Anforderungen. Alle durchgesetzten Kontrollen, die durch die in diesem Bericht beschriebenen Ausnutzung von Bedrohungen umgangen werden, können zu Regulierungs- und Compliance-Verstößen in kritischen Bereichen führen, darunter:

• Datenschutz (z. B. DSGVO, CCPA) aufgrund von unbefugtem Zugriff auf geschützte Daten, unabhängig von deren Exfiltration
• Finanzberichterstattung (z. B. Sarbanes-Oxley) aufgrund unbefugter Änderungen an Finanzdaten oder der Umgehung interner Kontrollen, die zu einer ungenauen Finanzberichterstattung führen
• Branchenspezifische Vorschriften wie NERC CIP oder PCI-DSS aufgrund der Auswirkungen auf regulierte Daten

Die Kenntnis von Schwachstellen und Fehlkonfigurationen in SAP-Systemen, die einen nicht authentifizierten Zugriff und/oder die Erstellung von Benutzerkonten mit hohen Berechtigungen ermöglichen, stellt eine Schwachstelle in den IT-Kontrollen dar. Für Unternehmen, die gesetzliche Compliance-Vorgaben erfüllen müssen, würde dies zu einem Audit-Fehler und einem Verstoß gegen die Compliance führen. Die Folge könnten die potenzielle Offenlegung des Verstoßes, kostspielige Audits durch Dritte und Strafen sein, die Geldbußen und rechtliche Schritte umfassen können.

Ihr Weg zu mehr SAP-Sicherheit: Die wichtigsten Schritte

Die Komplexität der modernen Bedrohungslandschaft erfordert einen proaktiven und strategischen Ansatz für die SAP-Sicherheit. Wir haben drei entscheidende Schritte identifiziert, die Sie beim Schutz Ihres Unternehmens unterstützen:

3 Schritte zu mehr SAP-Sicherheit:

1. Implementieren Sie ein robustes SAP-Schwachstellenmanagementprogramm

Angreifer können Schwachstellen in Systemkonfigurationen, Benutzereinstellungen, benutzerdefiniertem Code und fehlenden Patches ausnutzen, um Zugriff auf Ihre kritischen SAP-Systeme zu erhalten. Das Auffinden und Beheben dieser Schwachstellen, bevor sie ausgenutzt werden können, ist für den Schutz Ihrer SAP-Umgebung unerlässlich. Dies erfordert einen kontinuierlichen, proaktiven Ansatz, bei dem nicht nur nach bekannten Common Vulnerabilities and Exposures (CVEs), sondern auch nach Fehlkonfigurationen und Fehlern im benutzerdefinierten Code gesucht wird, die für Ihre Landschaft spezifisch sind. Durch die Einrichtung eines klaren Prozesses zur Identifizierung, Priorisierung und Behebung dieser Schwachstellen reduzieren Sie Ihre Angriffsfläche erheblich und schaffen eine stärkere Grundlage für Ihre Verteidigung.

2. Integrieren Sie Anwendungssicherheitstests in Ihre Entwicklungsprozesse

Durch die Integration von Sicherheitsprüfungen in Ihre SAP-Entwicklungs- und Änderungsmanagementprozesse können Sie Probleme in kürzester Zeit erkennen. Die Behebung von Problemen vor ihrer Produktion ist in der Regel einfacher und kostengünstiger und hilft, negative Auswirkungen auf die Systemsicherheit, Compliance, Leistung oder Verfügbarkeit zu vermeiden. Durch die „Verlagerung nach links” der Sicherheit integrieren Sie die Erkennung von Schwachstellen direkt in die Entwicklungspipeline und erkennen Fehler, wenn sie am kostengünstigsten und schnellsten zu beheben sind. Dadurch wird sichergestellt, dass neue Funktionen und Änderungen von Grund auf sicher sind und keine neuen Angriffsvektoren in Ihre Live-Umgebung gelangen.

3. Kontinuierliche Überwachung auf interne und externe Bedrohungen

SAP ist ein attraktives Ziel für böswillige Akteure innerhalb und außerhalb des Unternehmens. Die Überwachung auf unbefugte Änderungen, Missbrauch oder Anzeichen für Angriffe ist entscheidend, um solche böswilligen Verhaltensweisen frühzeitig zu erkennen und Maßnahmen zu ergreifen, um schwerwiegende Folgen zu vermeiden. Effektive Sicherheitsüberwachung bietet Echtzeit-Transparenz in Ihrer SAP-Landschaft, sodass Sie anomales Benutzerverhalten, verdächtige Systemaktivitäten und externe Scanversuche erkennen können. Diese kontinuierliche Wachsamkeit ist für eine schnelle Reaktion auf Vorfälle von entscheidender Bedeutung, damit Sicherheitsteams Bedrohungen neutralisieren können, bevor sie erheblichen Schaden anrichten oder zu einer Datenverletzung führen können. Wenn Sie sich eingehender mit Methoden zur Erkennung und Reaktion auf fortgeschrittene Bedrohungen befassen möchten, informieren Sie sich über Strategien zur Erkennung von Bedrohungen in Unternehmen.

Wie Onapsis zur Sicherheit Ihres SAP-Unternehmens beiträgt

Die Bewältigung der Komplexität moderner SAP-Sicherheit erfordert spezialisiertes Fachwissen und umfassende Lösungen. Onapsis bietet eine einheitliche Plattform, die speziell für die in diesem Bericht beschriebenen Herausforderungen entwickelt wurde und Unternehmen in die Lage versetzt, ihre wichtigsten SAP-Anwendungen und Daten proaktiv zu schützen. Dank unserer fundierten Kenntnisse der SAP-Umgebungen können wir einen unvergleichlichen Schutz bieten.

Für ein robustes SAP-Schwachstellenmanagementprogramm automatisiert Onapsis die Identifizierung und Priorisierung von Schwachstellen in Systemkonfigurationen, Benutzereinstellungen, benutzerdefiniertem Code und fehlenden Patches. So können Sie kritische Schwachstellen finden und beheben, bevor sie von Angreifern ausgenutzt werden können, und erhalten einen entscheidenden Einblick in Ihre Angriffsfläche.

Wenn es darum geht, Sicherheit in die SAP-Entwicklungsprozesse zu integrieren, hilft Ihnen Onapsis dabei, die Sicherheit „nach links zu verlagern”. Mit unseren Lösungen können Sie die Codequalität bewerten und Sicherheitsprobleme frühzeitig in der Entwicklungspipeline erkennen, sodass neue Funktionen von Grund auf sicher sind und kostspielige Nacharbeiten in Produktionsumgebungen vermieden werden. Onapsis vereinfacht die Komplexität der sicheren Entwicklung für SAP-Anwendungen.

Für eine kontinuierliche SAP-Sicherheitsüberwachung und erweiterte Bedrohungserkennung bietet Onapsis Echtzeit-Transparenz für Ihre SAP-Landschaft. Unsere Plattform hilft Ihnen dabei, anomales Benutzerverhalten, verdächtige Systemaktivitäten und externe Scan-Versuche zu erkennen, sodass Sie schnell auf Vorfälle reagieren und sich proaktiv gegen interne und externe Bedrohungen schützen können.

Häufig gestellte Fragen

Was sind die wichtigsten modernen Bedrohungen für die SAP-Sicherheit im Jahr 2025?

Im Jahr 2025 wird die sich entwickelnde SAP-Bedrohungslandschaft vor allem durch Herausforderungen im Zusammenhang mit der beschleunigten digitalen Transformation, der zunehmenden Abhängigkeit von Drittanbietern und hochentwickelten Cyberangriffen geprägt sein. Zu den wichtigsten Anliegen zählen Datenexfiltration, die Sicherung verteilter Hybrid-Cloud-Modelle und die Gewährleistung der Integrität extern zugänglicher kritischer SAP-Systeme.

Wie hat die digitale Transformation die SAP-Sicherheit beeinflusst?

Die durch die jüngsten globalen Ereignisse beschleunigte digitale Transformation hat geschäftskritische SAP-Anwendungen und deren Daten in cloudbasierte, oft öffentlich zugängliche Systeme verlagert. Dieser rasante Wandel, bei dem Geschwindigkeit Vorrang vor Sicherheit hat, hat das Risiko von Missbrauch erheblich erhöht und unterstreicht die dringende Notwendigkeit einer sicheren Cloud-Migrationsstrategie.

Wie hoch ist derzeit die Rate der Cybersicherheitsangriffe auf SAP-Systeme?

Aktuelle Daten deuten auf einen deutlichen Anstieg böswilliger Cyberaktivitäten gegen SAP hin. Ein von Onapsis gesponserter SAPinsider-Forschungsbericht für 2025 ergab, dass 23 % der Unternehmen angaben, im vergangenen Jahr einen Cybersicherheitsangriff erlebt zu haben, der sich auf ihre SAP-Umgebung ausgewirkt hat.

Was sind die wichtigsten Schritte zur Verbesserung der SAP-Sicherheit?

Um die SAP-Sicherheit zu verbessern, sollten Unternehmen sich auf drei entscheidende Schritte konzentrieren: die Implementierung eines robusten SAP-Schwachstellenmanagementprogramms zur Erkennung und Behebung von Schwachstellen, die Integration von Anwendungssicherheitstests in die Entwicklungsprozesse, um die Sicherheit „nach links zu verlagern“, und die kontinuierliche Überwachung auf interne und externe Bedrohungen, um böswilliges Verhalten frühzeitig zu erkennen.

Welche Auswirkungen hat die Nichteinhaltung gesetzlicher Vorschriften durch unsichere SAP-Systeme?

Unsichere SAP-Systeme können zu schwerwiegenden Verstößen gegen Vorschriften und Compliance-Anforderungen führen. Umgang mit Kontrollen kann gegen Vorschriften zum Datenschutz (z. B. DSGVO, CCPA), zur Finanzberichterstattung (z. B. Sarbanes-Oxley) und zu branchenspezifischen Vorschriften (z. B. NERC CIP, PCI-DSS) verstoßen und möglicherweise zu Audit-Mängeln, Geldstrafen und rechtlichen Schritten führen.

Source: Onapsis-Blog

---