Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Von:

20. Mai 2026

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis zustande kommen, bietet der Bericht einen unschätzbaren Realitätscheck.

Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der kürzlich veröffentlichte Mandiant M-Trends-Bericht in Verbindung mit dem aktuellen DBIR eine deutliche und unmissverständliche Warnung.

Eine wegweisende Zusammenarbeit: Onapsis wird Mitwirkender am DBIR

Zum ersten Mal in unserer Geschichte ist Onapsis stolz darauf, als offizieller Datenlieferant für den Verizon DBIR benannt worden zu sein. Jahrelang wurde die Sicherheit geschäftskritischer Anwendungen als eigenständiger Bereich behandelt, losgelöst von den allgemeinen Trends in der Cybersicherheit. Indem wir unsere einzigartigen threat intelligence ERP-spezifischen Telemetriedaten in den Datensatz von Verizon einbringen, tragen wir dazu bei, diese Lücke zu schließen. Unser Engagement stellt sicher, dass die Risikoprofile von Unternehmens-Backbones wie SAP NetWeaver in der branchenweit renommiertesten jährlichen Analyse berücksichtigt werden, wodurch Sicherheitsverantwortliche die konkreten Daten erhalten, die sie benötigen, um die Absicherung ihrer ERP-Kernsysteme zu begründen.

Diese Zusammenarbeit kommt zu einem entscheidenden Zeitpunkt. Die Daten des DBIR zeigen, dass sich eine gefährliche Entwicklung abzeichnet: Die Ausnutzung von Sicherheitslücken nimmt rasant zu, das Risiko durch Drittanbieter hat sich verdoppelt, und das Zeitfenster für Angreifer schrumpft auf null. Im Zentrum dieses Sturms steht SAP NetWeaver. Lange Zeit als „Backoffice“-Infrastruktur betrachtet, steht NetWeaver nun fest im Fadenkreuz von Angreifern mit finanziellen und politischen Motiven.

Das Paradoxon der Patches: Exploits innerhalb von Stunden, Patches erst nach Monaten

Der vielleicht alarmierendste Trend in den neuesten DBIR-Daten ist die sich vergrößernde Kluft zwischen der Geschwindigkeit der Angriffe und der Realität bei der Behebung.

  • Die Angreifer legen einen Gang zu: Die Ausnutzung von Sicherheitslücken hat sich zu einem der wichtigsten Vektoren für den ersten Zugriff entwickelt und macht fast ein Drittel (31 %) aller Sicherheitsverletzungen aus. Angreifer nutzen kritische Sicherheitslücken mittlerweile routinemäßig innerhalb von fünf Tagen nach der Veröffentlichung ausnutzen.
  • Die Sicherheitslage verschlechtert sich: Trotz eines gestiegenen Bewusstseins hat sich die durchschnittliche Zeit bis zur Behebung kritischer Sicherheitslücken sogar verschlechtert und ist von 32 auf 43 Tage gestiegen (ein Anstieg um 34 %).

Der SAP NetWeaver-Realitätscheck

Dieses „Patching-Paradoxon“ verstärkt sich um ein Vielfaches, wenn es um ERP-Umgebungen geht. SAP NetWeaver ist das zugrunde liegende Anwendungsserver-Framework für einen Großteil der weltweiten Unternehmensanwendungen. Wenn eine Sicherheitslücke mit hohem Schweregrad in SAP NetWeaver bekannt wird, steht die Existenz auf dem Spiel.

Das haben wir bei Sicherheitslücken wie CVE-2025-31324 (eine CVSS 10.0-Schwachstelle im SAP NetWeaver Visual Composer Framework). Aufgrund ihrer kritischen Natur und der Möglichkeit der nicht authentifizierten Remote-Code-Ausführung wurde sie in Rekordzeit in den CISA-Katalog „Known Exploited Vulnerabilities“ (KEV) aufgenommen.

Unsere threat intelligence und Microsoft Threat Intelligence haben Threat Intelligence dokumentiert, dass APT-Gruppen (Advanced Persistent Threat) wie Storm-1175 aktiv Sicherheitslücken in SAP NetWeaver ausnutzen weniger als 24 Stunden nach der öffentlichen Bekanntgabe ausnutzen, um Web-Shells zu platzieren und den Weg für die Ransomware Medusa zu ebnen.

Cyberangreifer können innerhalb von 24 Stunden in ein SAP-System eindringen. Im Durchschnitt benötigt ein Unternehmen jedoch 43 Tage, um SAP-Sicherheitslücken zu schließen. Diese enorme Zeitspanne bedeutet, dass Ihr Unternehmen schon lange vor der Bereitstellung eines Patches gefährdet ist. 

Die Fertigungsindustrie im Visier: Eine Verdopplung der Sicherheitsverletzungen

Die Fertigungsbranche durchläuft derzeit einen rasanten digitalen Wandel (Industrie 4.0), bei dem bestehende Betriebstechnologien (OT) und Fertigungsbereiche direkt mit ERP-Systemen wie SAP vernetzt werden. Der DBIR verdeutlicht, wie Angreifer diese wachsende Angriffsfläche ausnutzen:

  • Die Zahl der Datenschutzverletzungen hat sich fast verdoppelt: In der Fertigungsindustrie war ein massiver Anstieg der bestätigten Datenschutzverletzungen zu verzeichnen, deren Zahl sich im Vergleich zum Vorjahr verdoppelt hat.
  • Der Anstieg von Malware: Bei 75 % der Sicherheitsvorfälle in der Fertigungsindustrie waren Malware-Aktivitäten im Spiel – ein Anstieg gegenüber dem bisherigen baseline 40–50 %. Dies ist ein deutlicher Hinweis darauf, dass die Branche mit Ransomware und Erpressung zu kämpfen hat.
  • Zunahme von Spionage: Während finanzieller Gewinn nach wie vor der Hauptgrund ist (87 %), stieg der Anteil spionagemotivierter Angriffe auf 15 % aller Sicherheitsverletzungen in der Fertigungsindustrie. Staatlich geförderte Akteure sind aktiv auf der Suche nach firmeneigenem geistigem Eigentum, Konstruktionsplänen und Daten zur Lieferkette.

Warum SAP NetWeaver das Kronjuwel der Fertigungsbranche ist

In der Fertigung ist SAP NetWeaver das Herzstück des Betriebs. Es verwaltet den Lagerbestand, leitet Aufträge in der Lieferkette weiter, plant die Produktionslinien und ist direkt mit Manufacturing Execution Systems (MES) verbunden.

Ein Sicherheitsverstoß bei SAP NetWeaver in diesem Sektor ist selten nur ein einfacher „Datenleck“. Aufgrund der Integration von NetWeaver kann ein Angreifer, der sich über eine Sicherheitslücke oder gestohlene Zugangsdaten Zugang verschafft, Folgendes tun:

  1. Produktionsstillstand: Durch das direkte Einschleusen von Ransomware auf SAP-Anwendungsserver können Angreifer den weltweiten Betrieb lahmlegen, was zu Ausfallkosten in Millionenhöhe pro Stunde führt.
  2. Entwendung von geistigem Eigentum: Staatlich geförderte Akteure können durch die Ausnutzung ungepatchter NetWeaver-Systeme unbemerkt firmeneigene Formeln, CAD-Konstruktionen und Fertigungsprozesse direkt aus SAP-Datenbanken extrahieren.

Laut dem DBIR waren bei 71 % der Sicherheitsvorfälle in der Fertigungsindustrie Hackerangriffe im Spiel, wobei die Verwendung gestohlener Zugangsdaten und die Ausnutzung von Sicherheitslücken jeweils zu 41 % der Vorfälle in diesem Sektor beitrugen. Wenn mangelhafte Sicherheit bei Zugangsdaten auf nicht gepatchte NetWeaver-Systeme trifft, können sich Angreifer einfach einloggen.

Der Einzelhandel unter Druck: Die Aufrechterhaltung des Geschäftsbetriebs und das Vertrauen der Verbraucher sichern

Für Einzelhandelsunternehmen sind Geschäftsdynamik und das Vertrauen der Verbraucher von entscheidender Bedeutung. Der DBIR zeichnet ein düsteres Bild der Bedrohungslage im Einzelhandel, in der Ransomware und Erpressung weiterhin im Mittelpunkt stehen und Risiken durch Drittanbieter die Schwachstellen noch verstärken.

  • Zunahme von Erpressung und Ransomware: Im Einzelhandel kam es zu einem massiven Anstieg von Ransomware-Vorfällen, wobei die Angreifer E-Commerce-Plattformen, Lieferketten und kundenorientierte Schnittstellen ins Visier nahmen.
  • Risiko durch Dritte um 60 % gestiegen: Weltweit stieg der Anteil der Sicherheitsvorfälle, bei denen eine Beziehung zu Dritten eine Rolle spielte, von 30 % auf 48 %.

Wie sich dies auf SAP-Landschaften im Einzelhandel auswirkt

Der moderne Einzelhandel stützt sich auf ein eng vernetztes SAP-Ökosystem. Ihre auf SAP NetWeaver basierenden Anwendungen sind mit externen Logistikpartnern, Zahlungsdienstleistern, E-Commerce-Plattformen und Kassensystemen (POS) integriert.

Wenn der DBIR feststellt, dass sich das Risiko durch Drittanbieter verdoppelt hat, verweist er damit direkt auf die Gefahren , die von API-Integrationen, gemeinsam genutzten Anmeldedaten und vernetzten Systemen ausgehen.

  • Wenn das System eines Handelspartners kompromittiert wird oder eine Sicherheitslücke in einem mit SAP verbundenen Webdienst nicht geschlossen wird, können Angreifer von dort aus in Ihr SAP-Kernsystem vordringen.
  • Sobald sie sich Zugang verschafft haben, können sie auf Karteninhaberdaten (PCI DSS) und personenbezogene Kundendaten (PII) zugreifen oder die Preis- und Bestandsdatenbanken stören.

Im Einzelhandel kann ein einziger Nachmittag mit Betriebsausfall am Black Friday oder während der saisonalen Spitzenzeiten aufgrund eines Angriffs auf das ERP-System zu irreparablen Reputationsschäden, Kundenabwanderung und massiven Marktwertverlusten führen.

Was kommt als Nächstes: Die Ausbeutungslücke schließen

Herkömmliche Schwachstellenmanagement-Lösungen versagen, wenn es um SAP geht. Herkömmliche Netzwerkscanner überprüfen zwar den Perimeter, sind jedoch nicht in der Lage, die komplexen, proprietären Protokolle (wie SAP RFC, DIAG oder das NetWeaver-Gateway) zu verstehen, die Ihren geschäftskritischen Kernbereich steuern.

Um defend die im aktuellen Verizon DBIR beschriebenen Trends defend , müssen Unternehmen von einfachen Patches zu einem risikoorientierten Managementansatz übergehen, bei dem die Sicherheitslücken im Mittelpunkt stehen. Onapsis empfiehlt folgende Sofortmaßnahmen:

1. SAP-Systeme mit Internetanbindung identifizieren und absichern

Angreifer können nichts ausnutzen, was sie nicht erreichen können. Nutzen Sie spezielle Erkennungstools, um Ihre gesamte SAP-Angriffsfläche zu erfassen. Wenn eine SAP-NetWeaver-Instanz oder ein SAP-Router dem öffentlichen Internet ausgesetzt ist, stellen Sie sicher, dass diese hinter einem sicheren Web-Gateway streng abgeschirmt sind und dass die Multi-Faktor-Authentifizierung (MFA) strikt durchgesetzt wird.

2. Priorisierung von Sicherheitslücken mithilfe von ERP-spezifischen Threat Intelligence

Unternehmen können nicht jede Sicherheitslücke gleichzeitig beheben. Herkömmliche CVSS-Bewertungen geben oft nicht das tatsächliche Risiko einer Schwachstelle in einem stark individualisierten Unternehmenskontext wieder. Durch die Einführung eines kontinuierlichen, auf Bedrohungsinformationen basierenden Schwachstellenmanagements können Sicherheitsteams anhand der tatsächlichen Ausnutzung in der Praxis priorisieren, welche SAP-NetWeaver-Sicherheitshinweise sofort umgesetzt werden müssen, und so Spekulationen durch eine datengestützte Risikobewertung ersetzen. 

3. Kontinuierliche Überwachung der ERP-Sicherheit einrichten

Da Hackergruppen wie Storm-1175 Angriffe innerhalb von weniger als 24 Stunden durchführen, reichen statische, monatliche Schwachstellenscans nicht mehr aus. Unternehmen benötigen Funktionen zur Erkennung und Abwehr von Bedrohungen in Echtzeit, die speziell für die SAP-Anwendungsebene entwickelt wurden. Durch die Implementierung einer kontinuierlichen Überwachung können Security Operations Center (SOC) Anomalien, unbefugte Konfigurationsänderungen und Brute-Force-Angriffe auf NetWeaver erkennen, bevor sich erste Erkundungsversuche zu einem vollumfänglichen Sicherheitsverstoß ausweiten. 

4. Risiken durch Code von Drittanbietern und benutzerdefinierten Code mindern

Da sich das Risiko durch Drittanbieter verdoppelt hat, müssen Unternehmen den Code und die Transporte, die in die SAP-Unternehmensumgebung gelangen, konsequent absichern. Durch die Stärkung der SAP-DevSecOps-Praktiken wird sichergestellt, dass jeglicher benutzerdefinierte ABAP-Code, SAP Business Technology Platform BTP)-Integrationen oder Add-ons von Drittanbietern auf Sicherheitslücken und fest codierte Anmeldedaten überprüft werden. Durch den Einsatz automatisierter Software zur Prüfung der SAP-Anwendungssicherheit können Sicherheitsteams risikobehaftete Transporte systematisch überprüfen und blockieren, bevor sie überhaupt in die Live-Produktionsumgebung importiert werden. 

Fazit: Geschäftskontinuität ist ERP-Sicherheit

Der Verizon DBIR 2026 liefert unbestreitbare Belege für zunehmende Sicherheitslücken in Unternehmen. Angreifer agieren mit beispielloser Geschwindigkeit und Koordination und zielen gezielt auf die Kernsysteme ab, deren Störung katastrophale Betriebsausfälle zur Folge hat. 

In der Fertigungsindustrie und im Einzelhandel ist diese Anwendung SAP.

Es ist an der Zeit, SAP NetWeaver aus dem funktionalen IT-Silo herauszuholen und direkt in Ihr Security Operations Center (SOC) zu integrieren. Der Schutz der ERP-Ebene ist eine zwingende Voraussetzung für die Aufrechterhaltung der Geschäftskontinuität. 

Wenn Sie erfahren möchten, wie Onapsis Ihnen dabei helfen kann, Ihre SAP-Landschaft gegen genau die Bedrohungen zu schützen, die im aktuellen Verizon DBIR hervorgehoben werden, vereinbaren Sie noch heute eine individuelle Bedrohungsanalyse mit unserem Team.

Häufig gestellte Fragen

Was sind die wichtigsten Erkenntnisse zum Thema SAP-Sicherheit aus dem Verizon DBIR 2026? 

Der Verizon DBIR 2026 hebt hervor, dass die Ausnutzung von Sicherheitslücken und Ransomware stark zunehmen, wodurch der Schutz von zentralen ERP-Systemen wie SAP NetWeaver zu einer entscheidenden Voraussetzung für die Geschäftskontinuität wird. Angreifer nutzen Sicherheitslücken bereits innerhalb weniger Tage nach ihrer Bekanntgabe massenhaft aus, während Unternehmen im Durchschnitt 43 Tage benötigen, um Patches zu installieren. Dieses „Patching-Paradoxon“ schafft ein riesiges Zeitfenster für finanzielle Erpressung und Datendiebstahl.

Warum ist SAP NetWeaver im Fertigungssektor so stark gefragt? 

SAP NetWeaver verwaltet wichtige Daten zu Lieferkette, Lagerbeständen und Produktion und ist damit ein bevorzugtes Ziel sowohl für finanziell motivierte Erpressung als auch für staatlich geförderte Spionage. Der DBIR stellt fest, dass sich die Zahl der Sicherheitsvorfälle in der Fertigungsindustrie in diesem Jahr verdoppelt hat, wobei bei 71 % der Vorfälle Hackerangriffe eine Rolle spielten. Angreifer nutzen häufig gestohlene Zugangsdaten und ungepatchte Sicherheitslücken, um den weltweiten Betrieb lahmzulegen oder geschützte geistige Eigentumsrechte zu entwenden.

Wie wirken sich Risiken durch Drittanbieter auf SAP-Umgebungen im Einzelhandel aus?

 Der weltweite Anstieg von Datenpannen bei Drittanbietern um 60 % setzt stark vernetzte SAP-Umgebungen im Einzelhandel seitlichen Angriffen aus, die von kompromittierten Anbietern oder APIs ausgehen. Angreifer nutzen diese vertrauenswürdigen Verbindungen und gemeinsam genutzten Anmeldedaten aus, um die Perimeter-Sicherheitsmaßnahmen zu umgehen. Sobald sie sich im SAP-Kernsystem befinden, können sie auf Kassendaten, personenbezogene Kundendaten und E-Commerce-Plattformen zugreifen, um hochdruckvolle Ransomware-Kampagnen durchzuführen.

Wie können Unternehmen die Sicherheitslücke bei SAP-Schwachstellen schließen? 

Sicherheitsteams müssen von statischen Patch-Zyklen zu einem kontinuierlichen, auf Bedrohungsinformationen basierenden Schwachstellenmanagement und einer Anwendungsüberwachung in Echtzeit übergehen. Durch die Nutzung von ERP-spezifischen threat intelligence Unternehmen kritische SAP-Sicherheitshinweise auf der Grundlage aktueller, in der Praxis auftretender Sicherheitslücken priorisieren. Darüber hinaus sorgt der Einsatz automatisierter DevSecOps-Tests dafür, dass benutzerdefinierter Code und Integrationen von Drittanbietern gesichert werden, bevor sie in die Produktionsumgebung gelangen.

Tags, ,
Über den Autor

Paul Laudanski

Leiter der Sicherheitsforschung

Paul Laudanski, Leiter der Sicherheitsforschung bei Onapsis, bringt über zwanzig Jahre Erfahrung in den Bereichen Cybersicherheit, threat research -entwicklung, threat intelligence sowie Spionageabwehr in seine Position ein. Paul ist zudem Mitglied des Onapsis Research Labs und widmet sich der Aufdeckung von Schwachstellen in geschäftskritischen Anwendungen, was bereits zur Behebung von über 1.000 Zero-Day-Schwachstellen in SAP- und Oracle-Anwendungen beigetragen hat. Paul hat einen Bachelor-Abschluss in Mathematik von der Rider University und lebt mit seiner Familie in Tacoma, Washington.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen
Blog

Die Umsetzung der DORA-Verordnung im Jahr 2026: Was die Verordnung für SAP-Landschaften bedeutet

Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) im Januar 2025 hat sich die regulatorische Landschaft für den europäischen Finanzsektor grundlegend verändert. Mit Blick auf das Jahr 2026 erwarten die Aufsichtsbehörden umfassende Echtzeit-Nachweise für die operative Widerstandsfähigkeit anstelle theoretischer Governance-Maßnahmen. Für Unternehmen, die komplexe Unternehmensumgebungen betreiben, bedeutet dies, dieses Rahmenwerk mit einem umfassenderen SAP-Konzept für Governance, Risiko und Compliance in Einklang zu bringen…

Weiterlesen