Die Gefahren von KI in benutzerdefiniertem Code: So sichern Sie Ihre SAP-Landschaft

Von:

25. Februar 2026

Die Entwicklung der KI hat die Geschwindigkeit der modernen Softwareentwicklung revolutioniert und zu beispiellosen Effizienzsteigerungen geführt. Gleichzeitig birgt sie jedoch neue Sicherheits- und Compliance-Risiken für Ihren benutzerdefinierten Code, die katastrophale Folgen haben können, wenn sie nicht angegangen werden. Die Zeiten langsamer, manueller Codeüberprüfungen sind vorbei. Um die schiere Menge an KI-generierten Inhalten bewältigen zu können, müssen Unternehmen eine proaktive, automatisierte Strategie für Anwendungssicherheitstests (AST) verfolgen.

Das Wichtigste in Kürze:

  • Die Verlockung „funktionsfähigen“ Codes: KI erzeugt oft Code, der zwar Funktionstests besteht, aber Sicherheitsprüfungen nicht besteht, da er Schwachstellen wie SQL-Injection oder fest codierte Anmeldedaten enthält.
  • Kontextblindheit: Der KI fehlt möglicherweise das Verständnis für Ihre spezifische SAP-Architektur, was zu Fehlern in der Geschäftslogik und zur unbefugten Offenlegung von Daten führen kann.
  • Versteckte Abhängigkeiten: KI kann veraltete oder „fiktive“ Bibliotheken vorschlagen, die unkontrollierte Risiken in Ihre Infrastruktur einbringen.
  • Das „Stempel“-Risiko: Die Schnelligkeit der KI kann zu oberflächlichen Code-Prüfungen führen, wodurch subtile Schwachstellen in die Produktion gelangen können.
  • Die Lösung lautet „Shift Left“: Herkömmliche, reaktive Sicherheitsmaßnahmen sind überholt. Kontinuierliche, automatisierte Anwendungssicherheitstests (AST) müssen direkt in die SAP-DevSecOps-Pipeline integriert werden.

Der unbestreitbare Reiz der KI-gestützten Softwareentwicklung

Die Dynamik hinter der Einführung von KI ist unbestreitbar. Entwicklungsrückstände, die früher Monate in Anspruch nahmen, schrumpfen in beispiellosem Tempo, angetrieben durch mehrere entscheidende Wettbewerbsvorteile:

  • Hyperproduktivität: KI-Assistenten sind mittlerweile unverzichtbar geworden, um „Routinearbeiten“ zu eliminieren. Indem sie sich um Standardcode und sich wiederholende Aufgaben kümmern, entlasten sie Entwickler, sodass diese sich auf übergeordnete Architektur und kreative Problemlösungen konzentrieren können.
  • Verkürzte Entwicklungszyklen: KI wirkt als bedeutender Kraftmultiplikator. Geschäftsfunktionen, deren Umsetzung früher wochenlange manuelle Arbeit erforderte, lassen sich nun innerhalb weniger Tage vom Konzept bis zur Bereitstellung umsetzen.
  • Von natürlicher Sprache zur Logik: Die Fähigkeit, aus einfachen Beschreibungen in natürlicher Sprache komplexe Algorithmen und funktionale Logik zu generieren, hat unsere Herangehensweise an die Implementierung revolutioniert und das Rapid Prototyping zugänglicher denn je gemacht.
  • Verbesserte Optimierung: KI fungiert als unermüdlicher Co-Pilot, der in der Lage ist, subtile Verbesserungen der Syntax zu erkennen und Leistungsoptimierungen vorzuschlagen, die selbst erfahrene Entwickler während eines langen Sprints übersehen könnten.

Die versteckten Schwachstellen, die sich in Ihren benutzerdefinierten Code einschleichen

In der Welt von SAP, in der maßgeschneiderter ABAP- und Nicht-ABAP-Code Ihre sensibelsten Geschäftsprozesse steuert, hat diese neue Geschwindigkeit ihren Preis. Wenn Entwickler KI einsetzen, um eine Transaktion zu erstellen, übernehmen sie oft „technische Schulden“ und Sicherheitslücken. KI-Modelle werden auf der Grundlage öffentlicher Daten trainiert, die häufig jahrzehntealte, veraltete Praktiken widerspiegeln. Infolgedessen übertragen sie diese Fehler ungewollt in Ihre firmeneigene Umgebung.

Musterwiederholung unsicherer Altlasten: 

KI-Modelle arbeiten mit Mustererkennung, nicht mit Verständnis. Wenn eine KI Tausende von älteren ABAP-Beispielen gesehen hat, in denen direkte Zeichenfolgenverkettung für Datenbankabfragen verwendet wird, wird sie Ihren Entwicklern genau dieses Muster vorschlagen. Dadurch werden klassische Sicherheitslücken wie SQL-Injection wieder in moderne S/4HANA-Umgebungen eingeführt. Angreifer können diese Schwachstellen dann mit ihren eigenen automatisierten Tools aufspüren und ausnutzen.

Das Fehlen eines geschäftlichen Kontexts: 

Die Sicherheit in SAP ist eng mit der Geschäftslogik und den Berechtigungsobjekten (z. B. AUTHORITY-CHECK) verknüpft. KI-Assistenten lassen diese entscheidenden Prüfungen oft außer Acht, da sie Ihre spezifischen organisatorischen Rollen oder die Sensibilität der Daten nicht verstehen. Die Folge? Ein einwandfrei funktionierender Bericht, der es einem Benutzer versehentlich ermöglicht, Gehaltsdaten oder Finanzunterlagen einzusehen, für die er keine Berechtigung besitzt.

Eingebildete und unsichere Abhängigkeiten: 

 KI schlägt manchmal „fiktiven“ Code vor, indem sie auf nicht existierende Funktionsmodule oder Bibliotheken verweist. Häufiger empfiehlt sie jedoch veraltete und anfällige Open-Source-Codeausschnitte. Dadurch entsteht innerhalb Ihres benutzerdefinierten Codes eine „Schatten-Lieferkette“, die manuell kaum nachverfolgt werden kann.

Die „Verständnislücke“: 

Die schiere Menge an Code, die KI erzeugt, kann menschliche Prüfer überfordern. Wenn der Code „auf den ersten Blick“ sauber aussieht und fehlerfrei läuft, besteht die natürliche Neigung, die Überprüfung ohne weiteres zu genehmigen. Dadurch entsteht eine Lücke, durch die subtile architektonische Mängel wie fehlende Eingabevalidierung oder unsichere API-Handhabung ohne weiteres in den Kerncode übernommen werden.

Das Risiko der Nichteinhaltung gesetzlicher Vorschriften:

 In stark regulierten Branchen wie den Biowissenschaften oder der Fertigungsindustrie muss Code strenge Vorschriften wie GxP, NIS2, DSGVO oder CCPA erfüllen. Obwohl sich KI-Modelle rasch weiterentwickeln, fehlt ihnen oft das aktuelle „Regulierungsbewusstsein“, das erforderlich ist, um diese komplexen rechtlichen Feinheiten korrekt umzusetzen. Folglich kann es schwierig sein, KI-generierten Code im Hinblick auf die Rückverfolgbarkeit zu dokumentieren, sodass er häufig die strengen Nachweisanforderungen nicht erfüllt, die von menschenzentrierten Compliance-Rahmenwerken verlangt werden. Darüber hinaus kann KI unbeabsichtigt Tools oder Bibliotheken von Drittanbietern vorschlagen, die nicht den strengen internen Compliance-Anforderungen Ihres Unternehmens entsprechen, wodurch eine „Schatten-Lieferkette“ innerhalb Ihrer geschäftskritischen Umgebung entsteht.

Die kritische Schwachstelle: SAP-eigener Code

SAP-Systeme bilden die Grundlage für Ihre geschäftskritischsten Prozesse, darunter Finanzen, Lieferkette und Personalwesen. Während SAP seinen Standardkern schützt, stellt Ihr benutzerdefinierter Code (Z-Programme, Z-Transaktionen) Ihren größten Sicherheitsblindfleck dar. Er wird ständig erstellt und geändert, oft ohne strenge Sicherheitsüberprüfung. Wenn die KI eines Angreifers eine Schwachstelle in Ihrem benutzerdefinierten Code analysieren kann, noch bevor Ihr Sicherheitsteam überhaupt von deren Existenz weiß, sind Ihre Unternehmensdaten einem extremen Risiko ausgesetzt.

Die Pflicht des Verteidigers: Kontinuierliche Tests der Anwendungssicherheit

Um das Kerngeschäft zu schützen, müssen Unternehmen über „blindes Vertrauen“ hinausgehen und eine „Shift-Left“-Strategie umsetzen. Dies erfordert die Einbindung strenger automatisierter Sicherheitsprüfungen (AST) direkt in die frühen Phasen des Entwicklungszyklus, noch bevor der Code in die Produktion gelangt.

Gründliche Tests der SAP-Anwendungssicherheit mit Onapsis Control

Um die Leistungsfähigkeit der KI zu nutzen, ohne dabei die Sicherheit zu gefährden, benötigen Sie einen spezialisierten Gatekeeper. Onapsis Control die erforderliche Kontrolle für die komplexe, hybride SAP-Landschaft.

Im Gegensatz zu herkömmlichen Testtools Control Onapsis Control :

  • Umfassende SAP-Kenntnisse: Jede AST-Lösung muss speziell für SAP entwickelt sein und in der Lage sein, ABAP, dessen Abhängigkeiten sowie den spezifischen Sicherheitskontext von SAP NetWeaver, S/4HANA und SAP BTP zu verstehen.
  • Mehrsprachige Unterstützung für modernes SAP: Über ABAP hinaus analysiert es Java, Node.js und SAPUI5 und sichert so die Side-by-Side-Erweiterungen und Microservices, die SAP BTP und S/4HANA Cloud antreiben.
  • Automatisierte Sicherheitskontrollen direkt an der Quelle: Sicherheitsprüfungen dürfen nicht auf manuelle Überprüfungen nach der Bereitstellung beschränkt bleiben. Onapsis Control direkt in Ihre IDEs, Git-Repositorys und CI/CD-Pipelines Control , um sicherzustellen, dass sowohl von Menschen als auch von KI erstellter Code vor der Bereitstellung auf Schwachstellen überprüft wird.
  • Zero-Trust für Code: Control einen Ansatz, bei dem alles überprüft wird. Es prüft auf fehlende AUTHORITY-CHECK-Anweisungen, unsicheren Datenumgang und fest codierte Geheimnisse und stellt so sicher, dass Ihr benutzerdefinierter Code der Baseline entspricht.
  • Risikobehaftete Transporte blockieren: Ein entscheidender control ist das SAP Transport Management System (TMS). Wird anfälliger Code erkannt, Control Onapsis Control den Transport automatisch blockieren und so verhindern, dass eine potenzielle Sicherheitslücke jemals in Ihre Produktionsumgebung gelangt.
  • Reibungslose Behebung: Um mit dem Tempo der KI-Entwicklung Schritt zu halten, bietet Onapsis klare, umsetzbare Anweisungen. So können Entwickler Sicherheitslücken sofort beheben und sicherstellen, dass Sicherheit ein Motor für Innovation bleibt und nicht zum Engpass wird.
  • Automatisierte Compliance und Audit-Bereitschaft: Onapsis Control Ihren benutzerdefinierten Code direkt bestimmten regulatorischen Rahmenwerken zu. Es liefert die Dokumentation und den Prüfpfad, die erforderlich sind, um nachzuweisen, dass Ihr KI-gestützter Code den neuesten Branchenstandards entspricht, und verwandelt so eine „Black Box“ in eine transparente, konforme Ressource.

Fazit: Nutzen Sie die Möglichkeiten der KI ohne Bedenken

Die Zukunft der SAP-Entwicklung wird durch KI bereichert, muss jedoch durch spezialisierte Sicherheitsmaßnahmen geschützt werden. Mit der Geschwindigkeit der KI voranzuschreiten, ohne über ein automatisiertes Sicherheitsnetz wie Onapsis Control zu verfügen, ist ein Glücksspiel mit Ihren sensibelsten Geschäftsdaten. „Security Left“ zu betreiben bedeutet mehr als nur das Aufspüren von Schwachstellen. In Kombination mit den Bedrohungsinformationen vonOnapsis Research Labsthreat intelligence eine proaktive „Clean Core“-Strategie, die Ihre Systeme agil und konform hält.

Lassen Sie nicht zu, dass das Streben nach Geschwindigkeit den Weg für eine katastrophale Sicherheitslücke ebnet. Durch die Umsetzung einer robusten AST-Strategie mit Onapsis Control können Sie Ihre Innovationskraft schützen, Ihre Compliance automatisieren und sicherstellen, dass Ihr benutzerdefinierter Code ein Gewinn bleibt und nicht zu einer Belastung wird.

Sind Sie bereit, Ihre KI-gestützte Entwicklung abzusichern? Erfahren Sie mehr über Onapsis Control fordern Sie noch heute eine Demo an.

Häufig gestellte Fragen

1. Wenn KI den Code schreibt, warum ist er dann nicht von Natur aus sicher? 

KI-Modelle werden anhand von öffentlich zugänglichem Code trainiert, der häufig mit Sicherheitslücken gespickt ist. Da KI Funktionalität vor Sicherheit stellt, wählt sie oft den Weg des geringsten Widerstands und verursacht dabei kritische Sicherheitslücken.

2. Können herkömmliche SAP-Code-Reviews von KI verursachte Fehler aufdecken? 

Manuelle Überprüfungen reichen angesichts der schieren Menge an Code, die KI erzeugen kann, zunehmend nicht mehr aus. Von KI verursachte Fehler sind oft schwer zu erkennen. Eine fehlende Validierungsprüfung, die in einer Flut von Funktionscode verborgen ist, wird von menschlichen Prüfern während eines hektischen Release-Zyklus leicht übersehen.

3. Wie geht Onapsis Control „irrtümlichen“ oder veralteten Code-Vorschlägen Control ? 

Onapsis Control eine umfassende Datenbank mit SAP-spezifischen Sicherheitsmustern und threat intelligence. Wenn eine KI ein anfälliges Funktionsmodul oder ein unsicheres Codierungsmuster identifiziert, Control Onapsis Control dies sofort und verhindert so, dass diese „Halluzination“ zu einem realen Sicherheitsrisiko wird.

4. Control der Einsatz eines AST-Tools wie Onapsis Control die Arbeit unserer Entwickler? 

Tatsächlich bewirkt es genau das Gegenteil. Indem Onapsis Control Schwachstellen bereits in einer frühen Phase der Entwicklung aufdeckt, Control den „Nacharbeitsaufwand“, der entsteht, wenn ein Fehler erst spät im Testzyklus oder – schlimmer noch – erst nach einem Sicherheitsvorfall entdeckt wird. Es liefert Entwicklern sofortiges Feedback, sodass sie den Code direkt beim Schreiben korrigieren können.

5. Inwiefern Control Onapsis Control unsere „Clean Core“-Strategie? 

Ein „Clean Core“ setzt voraus, dass alle Anpassungen sicher, wartbar und konform sind. Onapsis Control diese Standards automatisch Control und stellt so sicher, dass die KI-gestützte Entwicklung Ihren Kern nicht mit unsicherem, minderwertigem „Spaghetti-Code“ überfrachtet.

Tags, ,
Über den Autor

Elke Bastian

Senior-Produktmarketingmanager

Elke Bastian ist eine erfahrene Expertin für Produktmarketing und Vordenkerin bei Onapsis. Mit ihrer fundierten und langjährigen Expertise in den Bereichen Governance, Risk & Compliance sowie Prozessoptimierung leitet sie heute das Produktmarketing für Onapsis Control die Cybersicherheitslösung für die Prüfung der SAP-Codesicherheit, die Unternehmen dabei unterstützt, ihre geschäftskritischen Systeme vor Bedrohungen zu schützen und die Compliance zu gewährleisten. Ihr Ziel ist es, Unternehmen dabei zu unterstützen, ihre Widerstandsfähigkeit zu stärken und Risiken zu minimieren, ohne dabei die operative Exzellenz zu beeinträchtigen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen