Mythos & GPT-5.4-Cyber: Der bevorstehende KI-getriebene „Anstieg der Sicherheitslücken“ bei SAP

Frontier-KI-Modelle wie Claude Mythos zeigen eine beispiellose Fähigkeit, Zero-Day-Schwachstellen in kritischer Infrastruktur autonom aufzudecken, darunter auch Schwachstellen, die jahrzehntelang unentdeckt geblieben sind. Wie die ehemalige CISA-Direktorin Jen Easterly kürzlich betonte, erfordert die Reaktion auf diesen Wandel eine branchenweite Einstellung von „Vorbereitung statt Panik“. Diese Vorbereitung beinhaltet die Auseinandersetzung mit grundlegenden Sicherheitsmängeln, da Easterly kürzlich hervorhob, dass KI die Cybersicherheitsbranche zwingt, sich ihrer chronischen Softwarequalitätskrise zu stellen. Für moderne Unternehmen erfordert diese Vorbereitung Abwehrmaßnahmen, die tief in den Kerngeschäftsprozess integriert sind. 

Zwar ist Claude Mythos nicht öffentlich zugänglich und wird im Rahmen des Projekts Glasswing nur an wichtige Softwareanbieter weitergegeben, doch nutzen Angreifer große Sprachmodelle (LLMs), um Angriffe mit handelsüblichen Exploits durchzuführen. 

OpenAI hat kürzlich auch GPT-5 . 4-Cyber vorgestellt , ein Tool, das speziell auf die Schwachstellenforschung und defensive Sicherheit zugeschnitten ist. Wie bereits bei Claude hat OpenAI auch diese Version nicht der breiten Öffentlichkeit zugänglich gemacht, sondern nur ausgewählten Anbietern, damit diese potenzielle Sicherheitslücken aufspüren können, ohne zwangsläufig über den Quellcode zu verfügen.

Als eine der weltweit am häufigsten genutzten Anwendungen zur Unterstützung der globalen Wirtschaft und in Verbindung mit all diesen neuen Technologien hat sich die SAP-Sicherheit von einer rein technischen Aufgabe zu einer obersten Priorität für die Geschäftskontinuität entwickelt.

Bewältigung des exponentiellen Anstiegs der Anfälligkeit

Unternehmen stehen derzeit unter beispiellosem Druck. Das Jahr 2025 brachte nicht nur die bislang größte Zero-Day-Exploit-Kampagne in der Geschichte von SAP hervor – CVE-2025-31324 –, sondern auch eine Rekordzahl an SAP-Sicherheitshinweisen mit kritischem und hohem Schweregrad. Große Sprachmodelle (LLMs) und „Frontier AI“-Modelle wirken als Kraftverstärker bei der Erkennung von Schwachstellen, führen jedoch auch zu einem potenziellen Anstieg der Anzahl von Exploits, die Angreifer ausnutzen können. Der Versuch, einen Anstieg der Sicherheitslücken durch manuelle Prozesse zu bewältigen, stellt ein systemisches Risiko für den weltweiten Betrieb dar.

Die Empfehlung derCloud Alliance und von Anthropic für diesen Wandel lautet, die zeitliche Lücke zwischen der Veröffentlichung eines Patches und dessen Implementierung durch ein Unternehmen zu schließen. Wir wissen nur zu gut, dass diese Lücke Tage oder Wochen betragen kann. Bei geschäftskritischen SAP-Anwendungen sogar Monate. Erschwerend kommen cloud und das mangelnde Verständnis dafür hinzu, wer für welchen Teil des Puzzles verantwortlich ist, d. h. das SAP RISE Shared Responsibility Model. Für Unternehmen ist es entscheidend zu verstehen, dass sie nach wie vor für diesen Prozess verantwortlich sind und sicherstellen müssen, dass ein bestimmter Patch korrekt angewendet wird.

Was Organisationen heute tun können:

Zwar sind Patches das absolute Minimum, das Unternehmen benötigen, um sich zu schützen, doch ist es unrealistisch zu glauben, dass Ihre SAP-Betriebsteams sich allein durch das Installieren von Patches vor einer exponentiell wachsenden Bedrohung schützen können. Um diesen Ansturm zu überstehen, benötigen Sicherheitsteams in Unternehmen Lösungen, die speziell auf die von ihnen geschützten Anwendungen zugeschnitten sind. Unternehmen sollten zudem folgende Empfehlungen berücksichtigen:

Einrichtung einer „VulnOps“-Funktion

Anstelle eines herkömmlichen vierteljährlichen Scans sorgt eine „VulnOps“-Engine wie Onapsis Assess für die kontinuierliche Erkennung von Zero-Day-Schwachstellen und automatisierte Behebungsabläufe in Ihrer gesamten Infrastruktur. Durch den Übergang zu einem proaktiven, kontinuierlichen Modell wird dem zehnfachen Anstieg an Sicherheitsmeldungen direkt entgegengewirkt. Speziell für SAP-Anwendungen nutzt Onapsis umfassende Forschungsergebnisse aus unserem globalen threat intelligence und Onapsis Research Labs. Sicherheitsverantwortliche müssen wissen, was zuerst behoben werden muss, basierend auf threat intelligence tatsächlichen threat intelligence , anstatt sich ausschließlich auf statische CVSS-Werte zu verlassen. 

Verlagerung der Messgrößen von „Time-to-Patch“ hin zu „Eindämmung bei Maschinen-Geschwindigkeit“

Da man nicht mehr davon ausgehen kann, dass ein Patch rechtzeitig bereitsteht, muss der Fokus auf Schutz vor dem Patch, Eindämmung und Reaktionen in Echtzeit verlagert werden. Dies gilt insbesondere für geschäftskritische SAP-Systeme, die das Herzstück des Betriebs bilden. Onapsis Defend bietet eine Echtzeit-Überwachung von SAP-Bedrohungen, die (sowohl KI-gesteuerte als auch manuelle) Exploit-Versuche erkennt, bevor Angreifer die Lieferkette stören oder Finanzdaten kompromittieren können. Als zusätzliche Sicherheitsstufe bietet Onapsis Defend Zero-Day-Schutz, der Unternehmen einen einzigartigen Vorteil gegenüber Angreifern verschafft und ihnen die Gewissheit gibt, dass sie vor Zero-Day-Exploits geschützt sind, noch bevor SAP einen Patch veröffentlicht.

Sicherung des „KI-gestützten“ Clean Core

Unternehmen setzen zu Recht verstärkt auf KI, um die Softwareentwicklung zu beschleunigen. Allerdings führt KI-gestütztes Programmieren häufig zu versteckten Abhängigkeiten und Logikfehlern in der SAP-Landschaft. KI-Modelle generieren oft maßgeschneiderten ABAP-Code, der zwar für den Geschäftsprozess perfekt funktioniert, gleichzeitig jedoch klassische SQL-Injections verursacht oder kritische AUTHORITY-CHECK-Objekte umgeht, da der spezifische Geschäftskontext fehlt.

Empfehlung zur Sicherung des KI-gestützten Clean Core

Wenn ein KI-Modell benutzerdefinierten Code schreibt, muss ein automatisierter Gatekeeper diesen Code überprüfen. Durch „Shifting Left“ lässt sich das exponentielle Wachstum von Sicherheitslücken bewältigen, die andernfalls erst in der Produktionsumgebung behoben werden müssten, indem sichergestellt wird, dass diese Schwachstellen bereits in der Entwicklungsphase behoben werden. Dies trägt letztlich dazu bei, die Belastung der Informationssicherheitsteams im späteren Verlauf zu verringern.

Richten Sie eine „Sicherheitsbarriere“ zwischen Codeänderung und Produktion ein

 Onapsis bietet Unternehmen die Möglichkeit, ein „Secure-by-Design“-Framework umzusetzen. Durch die direkte Integration von Onapsis Control in die CI/CD-Pipeline stellen Unternehmen sicher, dass jede Zeile von benutzerdefiniertem Code – egal ob ABAP oder UI5, ob intern oder von einem Drittanbieter erstellt, ob mithilfe von LLMs oder von Menschen – auf Schwachstellen überprüft wird, bevor sie in die Produktionsumgebung gelangt. Diese automatisierte Kontrolle sorgt für einen „Clean Core“ und ermöglicht gleichzeitig auf sichere Weise die Geschwindigkeit KI-getriebener Innovationen.

Umstellung auf die agentische Verteidigung

Moderne Unternehmenssicherheit muss künstliche Intelligenz nutzen, anstatt nur darauf zu reagieren. Onapsis hat kürzlich das branchenweit erste „Agentic Gateway“ für SAP-Cybersicherheitsfunktionen vorgestellt. Durch die Nutzung des Model Context Protocol (MCP) platform die platform , dass vom Unternehmen genehmigte KI-Agenten auf threat intelligence firmeneigenen threat intelligence sicher zugreifen können.

Die Stärke agentischer Workflows liegt in dem, was wir als schnelle „Shields-up“-SAP-Transparenz. Fragen Sie einfach Onapsis und identifizieren Sie sofort die Gefährdung durch neue Zero-Day-SAP-Bedrohungen, indem Sie exklusive globale threat intelligence Onapsis Research Labs Ihrer spezifischen SAP-Landschaft abgleichen.

Diese Integration ermöglicht es dem Security Operations Center (SOC) zudem, agentenbasierte Workflows mit SAP-Technologie zu nutzen, die oft als „Black Box“ angesehen wird. Dadurch können Sicherheitsanalysten den Fokus von der bloßen Frage „Wie hoch ist mein Risiko?“ auf stärker handlungsorientierte Workflows verlagern. 

Ein Analyst könnte beispielsweise fragen: „Listen Sie alle kritischen offenen Sicherheitslücken auf, die unser S/4HANA-Kernsystem betreffen, und erstellen Sie einen Plan zur Behebung dieser Probleme für unser SAP-Basis-Team.“

Das Fazit für den Vorstand

Die heute weit verbreiteten großen Sprachmodelle (LLMs) und der Aufstieg von Pioniermodellen wie Mythos und GPT-5.4-Cyber haben dazu geführt, dass die Einstiegskosten für einen ausgeklügelten Cyberangriff drastisch gesunken sind.

Die Entwicklung von Exploits, für die früher ein Team eines Nationalstaates Monate benötigte, kann heute von einem KI-Modell in wenigen Minuten erledigt werden. Die Anforderungen an die Fähigkeiten, die nötig sind, um großen Unternehmen erheblichen Schaden zuzufügen und Lösegeld zu erpressen, sind gesunken. All dies führt zu einer Situation, die sich weiterhin rasch weiterentwickeln wird und die SAP-Sicherheit zu einem geschäftlichen Problem macht – und nicht mehr zu einem technologischen. 

Der Umgang mit dieser sich rasch verändernden Bedrohungslandschaft, die durch große Sprachmodelle (LLMs) und Modelle wie Anthropic Mythos entsteht, ist längst kein gewöhnliches IT-Projekt mehr. Es handelt sich vielmehr um eine zentrale Anforderung im Rahmen des Risikomanagements. Durch die Nutzung des Fachwissens und der Lösungen, die auf über 16 Jahren fundierter Erfahrung und Forschung basieren, kannOnapsis Unternehmen dabei unterstützen, die richtigen, durch KI erweiterten Tools zur Sicherheitsautomatisierung einzusetzen, um ihre geschäftskritischen SAP-Landschaften besser auf eine widerstandsfähigere, autonomere und sicherere Zukunft vorzubereiten.

Die Bedrohungslage im SAP-Umfeld verändert sich schneller denn je. Lassen Sie uns gemeinsam sicherstellen, dass Ihre SAP-Sicherheitsmaßnahmen für die Zukunft gerüstet sind. Lassen Sie uns darüber sprechen.