SAP Threat Intelligence: Der umfassende Leitfaden zur Absicherung geschäftskritischer Anwendungen

Was ist SAP Threat Intelligence?

SAP Threat Intelligence die proaktive Nutzung von Schwachstellendaten, Verhaltensanalysen und Profilen von Angreifern zum Schutz der ERP-Ebene. Es fungiert als „Gehirn“ einer umfassenden Strategie zur Erkennung und Abwehr von Bedrohungen in SAP-Systemen. Durch die Einbettung generischer Signale – wie IP-Reputation oder Anmeldeversuche – in SAP-spezifische Logik können Unternehmen von reaktiven Patches zu einer vorausschauenden Verteidigung übergehen. Dieser Ansatz stoppt Bedrohungen, bevor sie die Verfügbarkeit der Geschäftsprozesse beeinträchtigen.

SAP Threat Intelligence: Der umfassende Leitfaden für 2026

Jahrzehntelang basierte die SAP-Sicherheit auf einer „Burg-und-Graben“-Philosophie: den Perimeter sichern und Patches installieren, wann immer es passt. Die Bedrohungslage der Jahre 2025–2026 hat diesen Ansatz überholt. Der Wandel wird durch die „Geschwindigkeit der Angriffe“ bestimmt . Im Jahr 2025 ist das traditionelle Zeitfenster für die Verteidigung zusammengebrochen. Angreifer warten nicht mehr tagelang darauf, Patches zurückzuentwickeln; sie setzen Exploits bereits innerhalb von Stunden nach ihrer Veröffentlichung als Waffen ein.

Vom statischen Patching zur dynamischen Verteidigung

Der NetWeaver-Zero-Day (CVE-2025-31324) hat die Spielregeln grundlegend verändert. Angreifer nutzten diese Schwachstelle innerhalb weniger Stunden aus. Sie setzten Webshells und Ransomware-Payloads ein, noch bevor die meisten Unternehmen den SAP-Sicherheitshinweis überhaupt geöffnet hatten.


In diesem schnelllebigen Umfeld ist eine Strategie, die sich ausschließlich auf das Installieren von Patches stützt, mathematisch gesehen nicht auf Dauer tragbar. Bis ein Patch getestet und bereitgestellt ist – ein Prozess, der in komplexen ERP-Landschaften oft Wochen dauert –, hat sich der Angreifer bereits Zugang verschafft. Sicherheitsteams müssen daher ihr Patch-Management durch kontinuierliche threat intelligence ergänzen threat intelligence Exploits unmittelbar nach ihrer Bekanntgabe zu erkennen und threat intelligence blockieren.


Sind Sie bereit, assess Sicherheitsvorkehrungen zu assess ? Laden Sie unsere SAP-Sicherheitscheckliste 2026 herunter, um Ihre Bereitschaft im Hinblick auf diese modernen Bedrohungen zu bewerten.

Der Anstieg struktureller und KI-bedingter Risiken

Auch die Art der Schwachstellen selbst verändert sich. Wir beobachten einen sprunghaften Anstieg von Schwachstellen durch unsichere Deserialisierung, die oft einen CVSS-10.0-Wert von 10 erreichen und eine vollständige Kompromittierung des Systems ohne gültige Anmeldedaten ermöglichen. Gleichzeitig nutzen Angreifer zunehmend KI, um die Erkennung dieser komplexen Logikfehler zu automatisieren. Dies ermöglicht es ihnen, ihre Angriffe auf benutzerdefinierten ABAP-Code und Integrationen von Drittanbietern auszuweiten, die von generischen Scannern in der Regel übersehen werden.


Um diesen Bedrohungen immer einen Schritt voraus zu sein, bedarf es spezieller Fachkenntnisse. Onapsis Research Labs ist das weltweit einzige unabhängige Team, das diese Schwachstellen aktiv aufspürt und diese Erkenntnisse direkt in Ihre Verteidigungstools einspeist.

Warum allgemeine Sicherheitsmaßnahmen bei SAP scheitern

Ein Hauptgrund dafür, dass Unternehmen SAP-Sicherheitsverletzungen nicht verhindern können, ist das „Black-Box“-Problem. Die meisten Security Operations Center (SOCs) stützen sich auf generische SIEM- und SOAR-Plattformen, die darauf ausgelegt sind, Betriebssysteme und Netzwerkpakete zu überwachen. Diese Tools haben keinen Einblick in die Anwendungsebene, auf der die SAP-Geschäftslogik angesiedelt ist.

Das „Silo“-Problem

Herkömmliche Sicherheitstools erfassen zwar das „Wer“ und „Wo“ (z. B. Benutzer A hat sich von der IP-Adresse 192.168.1.5 aus angemeldet), übersehen jedoch das „Was“ (z. B. Benutzer A hat die Transaktion SM20 mit hohen Berechtigungen ausgeführt, um Audit-Protokolle zu löschen).

Der blinde Fleck: Ohne Transparenz auf Anwendungsebene sieht ein Angreifer, der gültige Anmeldedaten verwendet (die möglicherweise durch Phishing gestohlen wurden), genauso aus wie ein legitimer Benutzer.

Die Folge: Dies schafft einen gefährlichen Silo, in dem SAP-Bedrohungen für das zentrale SOC unsichtbar bleiben, bis Daten abgezogen oder Systeme verschlüsselt werden.

Brücken schlagen: Die Rolle der Integration

Echte Threat Intelligence diese Silostruktur, indem sie SAP-spezifische Protokolle in umsetzbare Warnmeldungen umwandelt, die auch Nicht-SAP-Analysten verstehen können. Am effektivsten ist dies, wenn die Lösung direkt in die bestehenden Arbeitsabläufe des Unternehmens integriert wird. Durch die Integration threat intelligence Microsoft Sentinel können Sicherheitsteams beispielsweise ERP-Warnmeldungen mit Endpunkt- und Netzwerkdaten korrelieren. Dies bietet einen einheitlichen Überblick über die Angriffskette, ohne dass SOC-Analysten zu SAP-Experten werden müssen.

Durch die Einspeisung kontinuierlicher SAP-Bedrohungsüberwachungsdaten in das SIEM erhalten Unternehmen den notwendigen Kontext, um zwischen einer routinemäßigen Aufgabe und einem böswilligen Versuch der lateralen Bewegung zu unterscheiden.

Die wichtigsten Angriffsvektoren und Exploits bei SAP

Das Verständnis der spezifischen Mechanismen, die Angreifer nutzen, ist der erste Schritt zur Abwehr solcher Angriffe. Während allgemeine Malware oft für Schlagzeilen sorgt, nutzen die gefährlichsten Angriffe auf ERP-Systeme die Komplexität der Anwendung selbst aus.

Unsichere Deserialisierung

Im Jahr 2025 entwickelte sich die unsichere Deserialisierung zum größten technischen Risiko für SAP-Landschaften. Diese Schwachstellen erreichen oft den maximalen CVSS-Wert von 10,0, da sie es Angreifern ermöglichen, beliebige Befehle ohne vorherige Authentifizierung auszuführen. Durch die Manipulation serialisierter Datenobjekte kann ein Angreifer den SAP-Java-Stack dazu zwingen, bösartigen Code auszuführen. Dadurch erlangt er faktisch control vollständige control den Anwendungsserver.

Missbrauch von Identitäts- und Zugangsdaten

Die „Insider-Bedrohung“ ist nicht immer ein unzufriedener Mitarbeiter. Häufig handelt es sich um einen externen Angreifer, der sich Zugang zu einem gültigen Benutzerkonto verschafft hat. Sobald er sich im System befindet, nimmt er Profile mit hohen Berechtigungen wie SAP_ALL ins Visier, um seine Zugriffsrechte zu erweitern. Herkömmliche Identitätsmanagement-Tools übersehen dies oft, da der Benutzer technisch gesehen berechtigt ist, sich im System aufzuhalten. Die Gefahr liegt im Verhalten, nicht nur in den Zugriffsrechten.

Angriffe auf die Lieferkette und Schnittstellen

Moderne SAP-Systeme sind extrem vernetzt. Sie sind für ihren Betrieb auf Tausende von RFC-Schnittstellen (Remote Function Call) und Add-ons von Drittanbietern angewiesen. Angreifer haben ihren Fokus auf diese weniger überwachten Zugangswege verlagert. Durch die Kompromittierung eines weniger sicheren Satellitensystems oder eines über RFC verbundenen Tools eines Drittanbieters können sie sich seitlich in die zentrale S/4HANA-Umgebung vorarbeiten.

Kernkomponenten eines SAP Threat Intelligence

Um eine Verteidigung aufzubauen, die in der Lage ist, schnell ausgenutzte Sicherheitslücken zu stoppen, braucht es mehr als nur einen Schwachstellenscanner. Ein ausgereiftes Threat Intelligence muss drei verschiedene Datenebenen miteinander verknüpfen.

Informationen zu Sicherheitslücken

Die meisten Unternehmen haben mit „Patch-Müdigkeit“ zu kämpfen, weil sie nicht zwischen einer theoretischen Schwachstelle und einer unmittelbaren Bedrohung unterscheiden können. Eine effektive Informationsgewinnung filtert das Rauschen heraus. Sie zeigt Ihnen, welche Schwachstellen in Ihrer spezifischen Umgebung derzeit aktiv ausgenutzt werden. So können Sicherheitsteams die Patches priorisieren, die am wichtigsten sind. Ein praktisches Beispiel für diese Priorisierung in der Praxis finden Sie in unserer Analyse „Critical SAP Security Notes & CVEs 2025“, in der die spezifischen Schwachstellen hervorgehoben werden, die gegenüber routinemäßigen Wartungsmaßnahmen sofortige Aufmerksamkeit erforderten.

Identitäts- und Verhaltensdaten

Da Angreifer häufig gültige Anmeldedaten verwenden, müssen Sie auf ungewöhnliches Verhalten achten. Diese Ebene der intelligenten Überwachung legt eine baseline fest, wie „normal“ aussieht. Wenn ein Benutzer aus der Finanzabteilung plötzlich beginnt, Code in einer Produktionsumgebung zu debuggen, sollte das System sofort einen Alarm auslösen. Dies gilt auch dann, wenn der Benutzer die technische Berechtigung dazu hat.

Informationen zu Angreifern

Zu wissen, wer einen angreift, beeinflusst die Art und Weise, wie man reagiert. Verschiedene Bedrohungsgruppen wenden unterschiedliche Taktiken an. Organisierte kriminelle Gruppen platzieren möglicherweise Webshells, um langfristig Daten zu stehlen, während Ransomware-Banden auf eine sofortige Störung abzielen. Das Verständnis dieser TTPs (Taktiken, Techniken und Verfahren) ermöglicht es dem SOC, den nächsten Schritt des Angreifers vorherzusagen.

Intelligenz in die Praxis umsetzen: Reaktion auf Vorfälle

Der wahre Maßstab für Intelligenz ist, wie schnell sie zu Taten führt. Bei geschäftskritischen Anwendungen entscheidet die „Golden Hour“ (die ersten 60 Minuten nach der Entdeckung eines Sicherheitsvorfalls) über das Ausmaß des Schadens.

Die Herausforderung der SAP-Forensik

Die Reaktion auf Sicherheitsvorfälle in einer ERP-Umgebung unterscheidet sich grundlegend von einer herkömmlichen IT-Reaktion. Man kann nicht einfach ein Image der Festplatte erstellen und den Server offline nehmen, ohne dem Unternehmen Kosten in Millionenhöhe zu verursachen. Die Verantwortlichen benötigen spezielle Einblicke. Sie müssen in der Lage sein, eine böswillige Aktion von der Endgeräte-ID eines Benutzers über das SAP-Gateway bis hin zu der konkreten Datenbanktabelle, die verändert wurde, nachzuverfolgen.

Integration in das Enterprise SOC

Geschwindigkeit entsteht durch Integration. SAP-Sicherheitsdaten dürfen nicht in einem Silo isoliert bleiben. Indem Sie präzise Warnmeldungen in die unternehmensweite SIEM- oder platform einspeisen, versetzen Sie das zentrale Sicherheitsteam in die Lage, zu handeln. Es kann eine SAP-Warnmeldung mit Endpunktdaten abgleichen, um die gesamte Angriffskette zu erkennen. So kann es den kompromittierten Laptop isolieren und gleichzeitig das SAP-Benutzerkonto sperren.

Die Rolle der Architektur: Unabhängige vs. integrierte Sicherheit

Bei der Auswahl des richtigen Tool-Sets geht es nicht nur um Funktionen, sondern auch um die Robustheit der Architektur. Bei der Abwägung der Vor- und Nachteile von integrierter und unabhängiger SAP-Sicherheitslösungenstehen Unternehmen in der Regel vor der Wahl zwischen Lösungen, die innerhalb der SAP-Umgebung angesiedelt sind, und externen Sicherheitslösungen, die SAP von außen überwachen.

Das Risiko eingebetteter Tools

Eingebettete Tools sind auf genau das System angewiesen, das sie eigentlich schützen sollen. Erlangt ein Angreifer control z. B. durch eine Kompromittierung der Rolle „SAP_ALL“ oder einen Exploit auf Betriebssystemebene wie den „2025 NetWeaver Zero-Day“), kann er das eingebettete Sicherheitstool potenziell deaktivieren, dessen Protokolle manipulieren oder es vollständig außer Gefecht setzen. Dadurch entsteht ein „Single Point of Failure“. Darüber hinaus beanspruchen eingebettete Tools häufig SAP-Systemressourcen, was bei intensiven Scans zu Leistungseinbußen führen kann.

Argumente für unabhängige Sicherheit

Eine unabhängige platform wie Onapsis arbeitet außerhalb der SAP-Anwendungsschicht. Sie fungiert als digitale „Blackbox“ – ähnlich einem Flugschreiber.

Manipulationssichere Forensik: Selbst wenn das SAP-System vollständig kompromittiert ist, befinden sich die Sicherheitsprotokolle auf einer externen, sicheren platform der Angreifer nicht verändern kann.

Keine Auswirkungen auf die Leistung: Das Scannen und Überwachen erfolgt extern, wodurch sichergestellt wird, dass Geschäftsprozesse niemals durch Sicherheitsmaßnahmen verlangsamt werden.

Objektive Prüfung: Ein externer Blickwinkel bietet eine objektive Sicht auf die Risikosituation, frei von den Einschränkungen des SAP-Kernels selbst.

Fazit: Über reaktive Sicherheit hinausgehen

Die Ereignisse des Jahres 2025 haben gezeigt, dass die Ära des „Patch and Pray“ vorbei ist. Da sich die Zeitfenster für Angriffe auf wenige Stunden verkürzen und Angreifer KI nutzen, um herkömmliche Abwehrmaßnahmen zu umgehen, muss sich die SAP-Sicherheit weiterentwickeln. Dies erfordert einen Wandel von statischen Compliance-Prüfungen hin zu dynamischen, informationsgesteuerten Abläufen.

Durch die Integration von SAP Threat Intelligence Ihr umfassendes Sicherheitsökosystem durchbrechen Sie die Silos, die ERP-Systeme in der Vergangenheit anfällig gemacht haben. Sie erhalten die Möglichkeit, Bedrohungen in Echtzeit zu erkennen, Patches anhand des aktuellen Risikos zu priorisieren und auf Vorfälle zu reagieren, bevor sie Schlagzeilen machen.

Häufig gestellte Fragen (FAQ)

Sie müssen keine SAP-spezifischen Sicherheitsanalysten einstellen. Eine ausgereifteplatform kryptische SAP-Codes (wie SM20 oder DEBUG) in eine standardisierte Sicherheitssprache. So wandelt sie beispielsweise unverständliche Protokolle in klare Warnmeldungen wie „Privilege Escalation“ oder „Lateral Movement“ um. Dadurch kann Ihr bestehendes SOC-Team SAP-Warnmeldungen anhand derselben Workflows und Playbooks bewerten, die es auch für Endgeräte und Netzwerke verwendet. So wird die Qualifikationslücke sofort geschlossen.

Das verschafft Ihnen Zeit. Wenn ein Zero-Day-Angriff erfolgt, können Sie aufgrund von Testanforderungen oft nicht sofort einen Patch installieren. Threat Intelligence Sie „ausgleichende Kontrollmaßnahmen“ ergreifen, indem Sie gezielt nach der mit dieser Schwachstelle verbundenen Angriffstechnik Ausschau halten. Versucht ein Angreifer, die ungepatchte Schwachstelle auszunutzen, erkennt das System dieses Verhalten und kann eine automatische Sperre auf Firewall- oder Benutzerebene auslösen. So wird der Kern geschützt, selbst während der Patch noch geprüft wird.

Dies hängt ganz von der Architektur ab. Ältere Tools, die innerhalb von SAP laufen (ABAP-basiert), beanspruchen Ressourcen von Geschäftstransaktionen, um Scans durchzuführen. Unabhängige Plattformen wie Onapsis arbeiten extern. Sie überwachen Protokolle und Datenverkehr, ohne die SAP-Produktionsumgebung zu belasten, sodass die Verfügbarkeit der Geschäftsprozesse in keiner Weise beeinträchtigt wird.

Nein. SAP schützt die Infrastruktur (die Server und das Betriebssystem), überwacht jedoch im Rahmen des Shared-Responsibility-Modells weder Ihre Daten noch Ihre Benutzer oder Anwendungskonfigurationen. Sollte ein legitimes Benutzerkonto kompromittiert und zum Herunterladen von Kundendaten missbraucht werden, erkennen cloud nativen cloud von SAP dies als autorisierten Datenverkehr. Sie tragen weiterhin die alleinige Verantwortung für die Erkennung identitätsbasierter Angriffe und den Missbrauch der Geschäftslogik.

Der Kontext ist entscheidend. Ein herkömmliches Tool registriert lediglich: „Benutzer A hat eine Tabelle aktualisiert.“ Eineplatform hingegenplatform : „Benutzer A hat eine sensible Gehaltstabelle außerhalb der Geschäftszeiten direkt über die Befehlszeile aktualisiert und dabei die Standardtransaktion umgangen.“ Durch die Erfassung des normalen Verhaltens von Benutzern mit hohen Berechtigungen filtert das System routinemäßige Wartungsarbeiten heraus und löst nur bei Anomalien einen Alarm aus, die auf eine Kompromittierung des Kontos oder böswillige Absichten hindeuten.

Handeln Sie jetzt: Sichern Sie Ihre SAP-Umgebung mit Onapsis

Eine Demo vereinbaren

um zu erfahren, wie Onapsis Ihre SAP-Patching-Strategie optimieren kann

Anfrage senden

Kontaktieren Sie uns

um zu besprechen, wie Onapsis-Lösungen Ihre SAP-Sicherheit verbessern können

Ein Gespräch beginnen

Threat Intelligence zu SAP-Sicherheit und Threat Intelligence

Blog

Das Jahr der Zero-Day-Angriffe: Die größten SAP-Sicherheitslücken des Jahres 2025: Die Beobachtungsliste für 2026

Im Jahr 2025 veränderte sich die Bedrohungslage bei SAP nachhaltig. Das Jahr war von drei entscheidenden Entwicklungen geprägt: dem massiven NetWeaver-Zero-Day (CVE-2025-31324), einem sprunghaften Anstieg von Deserialisierungslücken mit „Perfect Score“ und einem immer kürzer werdenden Zeitfenster für Abwehrmaßnahmen, in dem Angreifer Exploits bereits innerhalb weniger Stunden nach Bekanntwerden einsetzten. Für Sicherheitsteams ist die Erkenntnis für das Jahr 2026 klar: Herkömmliche Patch-Fenster sind…

Weitere Informationen
Blog

So bauen Sie 2026 ein Threat Intelligence auf

Herkömmliche, auf Perimeter-Sicherheit basierende Abwehrmaßnahmen wurden für eine andere Zeit konzipiert. In der heutigen Landschaft nutzen Angreifer Schwachstellen innerhalb eines kritischen 72-Stunden-Fensters nach Bekanntwerden der Sicherheitslücke aus. Diese Schnelligkeit bedeutet, dass geschäftskritische Anwendungen Angriffen ausgesetzt bleiben, lange bevor Korrekturen implementiert werden können, wenn man sich ausschließlich auf monatliche Patch-Zyklen verlässt. Um den digitalen Kern im Jahr 2026 zu sichern, müssen Unternehmen…

Weitere Informationen