SAP-Sicherheitshinweise entschlüsseln: Wichtige Erkenntnisse und Maßnahmen für mehr Sicherheit

Von:

9. Januar 2025

In den letzten zehn Jahren hat unser Team eine beträchtliche Anzahl von Sicherheitslücken in SAP-Produkten identifiziert und bei deren Behebung mitgewirkt. Allein im Jahr 2024 haben wir eng mit SAP zusammengearbeitet, um mehr als 50 Schwachstellen zu beheben, und damit unser Engagement für die Verbesserung der Sicherheit dieser geschäftskritischen Umgebungen weiter untermauert. Unsere Erfolgsbilanz im Bereich SAP-Cybersicherheit in den letzten zehn Jahren unterstreicht nicht nur die Fachkompetenz unseres Teams, sondern auch den Wert einer kontinuierlichen Zusammenarbeit zwischen Forschern und SAP beim Schutz von Unternehmen weltweit. 

Bei der Veröffentlichung security advisories halten wir uns strikt an die Richtlinien von SAP zur koordinierten Offenlegung von Sicherheitslücken. Nach der Entdeckung einer Sicherheitslücke leiten wir die Details an SAP weiter, damit das Unternehmen die Ursache so schnell wie möglich ermitteln kann. Sobald der Patch öffentlich veröffentlicht wurde, veröffentlichen wir mindestens drei Monate lang keine Informationen darüber, um sicherzustellen, dass die Anwender genügend Zeit haben, diese Patches bereitzustellen und zu implementieren. Nach Ablauf dieser Sperrfrist geben wir nur die Details weiter, die erforderlich sind, damit Unternehmen die Auswirkungen der Sicherheitslücke auf ihre Systeme verstehen und bewerten können. Unser vorrangiges Ziel ist es, aufzuklären und zu schützen – und nicht, böswilligen Akteuren unbeabsichtigt die Werkzeuge an die Hand zu geben, um diese Schwachstellen auszunutzen.  

Die Veröffentlichung security advisories ist in der Cybersicherheitsbranche gängige und unverzichtbare Praxis. Öffentliche Hinweise liefern Organisationen nützliche Erkenntnisse für die Entwicklung von Erkennungsmechanismen, die Umsetzung von Abhilfemaßnahmen und ein klareres Verständnis der allgemeinen Sicherheitslage. Wie bei allen Informationen ist jedoch Ausgewogenheit entscheidend. Zu detaillierte Offenlegungen können Angreifern unbeabsichtigt dabei helfen, Proof-of-Concept-Exploits oder operative Angriffstools zu entwickeln. Durch die sorgfältige Auswahl der Inhalte unserer Hinweise stellen wir sicher, dass diese für Verteidiger nützlich sind, ohne diese Grenze zu überschreiten.  

Bei Onapsis steht die SAP-Sicherheit im Mittelpunkt unseres Handelns. Indem wir weiterhin Schwachstellen identifizieren und unsere Erkenntnisse verantwortungsbewusst weitergeben, möchten wir zu einem sichereren Ökosystem für alle SAP-Anwender beitragen. Wir bekennen uns nach wie vor entschlossen zu Transparenz und Zusammenarbeit und stellen sicher, dass jede von uns aufgedeckte Schwachstelle dazu beiträgt, eine sicherere Zukunft zu gestalten. In unseren monatlichen „Patch Tuesday“-Updates erfahren Sie regelmäßig mehr über die Behebung von SAP-Sicherheitslücken und darüber, wie Onapsis Research Labs dazu beiträgt.

Stichworte, , , ,
Über den Autor

Pablo Artuso

Pablo „Partu“ Agustin Artuso ist ein erfahrener Sicherheitsforscher mit Fachkenntnissen in der Identifizierung von Schwachstellen und der Verbesserung der Sicherheit geschäftskritischer Anwendungen. Dank seines fundierten Hintergrunds im Bereich Cybersicherheit und seiner Spezialisierung auf Systeme wie SAP hat er zur Stärkung der Widerstandsfähigkeit von Unternehmen beigetragen. Seine technische Kompetenz und seine praktische Erfahrung haben ihn zu einer Schlüsselfigur im Bereich der Unternehmenssicherheit gemacht. Während seiner Zeit bei Onapsis wurde er als Redner für die Black Hat USA und die Ekoparty ausgewählt und war der leitende Forscher bei der Entdeckung der als P4CHAINS bezeichneten Schwachstellenfamilie.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen