Mandiant M-Trends 2026 hebt SAP als Hauptziel hervor

Von:

26. März 2026

Jahrelang hat die Cybersicherheitsbranche die Sicherheit von Enterprise-Resource-Planning-Systemen (ERP) als ein Nischenproblem im operativen Bereich betrachtet. Sicherheitsteams konzentrierten sich stark auf die Erkennung von Endgeräten und Netzwerkperimeter, wodurch die geschäftskritische Anwendungsebene oft in einem gefährlichen toten Winkel zurückblieb.

Der kürzlich veröffentlichte Bericht „Mandiant M-Trends 2026“ widerlegt dieses Paradigma.

Auf der Grundlage von Daten, die aus mehr als 500.000 Stunden Einsatzzeit bei der Vor-Ort-Reaktion auf Vorfälle gewonnen wurden, liefert der Bericht den unbestreitbaren Beweis, dass Angreifer mit fortgeschrittenen Methoden ERP-Systeme nicht nur sondieren, sondern diese aktiv und erfolgreich in großem Umfang ausnutzen.

SAP entwickelt sich zu einem bevorzugten Ziel

Bei der Analyse der Vorgehensweisen von Angreifern beim Eindringen in Unternehmen stellte Mandiant fest, dass Exploits zum sechsten Mal in Folge der am häufigsten beobachtete erste Infektionsweg waren. Im Jahr 2025 entfielen 32 % aller Angriffe, bei denen ein erster Infektionsweg identifiziert werden konnte, auf Exploits.

Der für ERP-Kunden jedoch besorgniserregendste Punkt ist das konkrete Ziel dieser Angriffe. Dem Bericht zufolge handelte es sich bei den im Jahr 2025 am häufigsten ausgenutzten Schwachstellen um Zero-Day-Schwachstellen, die Webanwendungsserver mit Internetanbindung betrafen. Ganz oben auf der Liste der am häufigsten ausgenutzten Schwachstellen von Mandiant steht SAP NetWeaver (CVE-2025-31324).

Diese Sicherheitslücke in der SAP NetWeaver Visual Composer-Komponente ermöglicht es nicht authentifizierten Angreifern, Code aus der Ferne auszuführen, wodurch sie einen mächtigen Brückenkopf direkt in den finanziellen und operativen Kern der betroffenen Organisationen erhalten.

Das immer kleiner werdende Zeitfenster für die Militarisierung

Der M-Trends-Bericht verdeutlicht zudem, wie schnell Angreifer SAP-Sicherheitslücken ausnutzen. Die Zeiten, in denen man Wochen oder Monate Zeit hatte, um einen Sicherheitspatch zu installieren, sind vorbei.

Mandiant und die Google Threat Intelligence (GTIG) haben Anfang 2025 mindestens vier separate Bedrohungscluster beobachtet, die CVE-2025-31324 als Zero-Day-Schwachstelle ausnutzten. Um dieser weit verbreiteten Ausnutzung entgegenzuwirken, veröffentlichte SAP am 24. April ein außerplanmäßiges Notfall-Update, das im Rahmen des Patch Day im Mai 2025 ausführlich beschrieben wurde.

Sobald der Patch veröffentlicht wurde, spitzte sich die Lage zu. Anstatt die Sicherheitslücke zu schließen, bot die Veröffentlichung des Patches anderen Angreifern eine neue Angriffsmöglichkeit. GTIG verfolgte sechs weitere Bedrohungsgruppen, die die Schwachstelle sofort als „N-Day“-Exploit ausnutzten. Diese Gruppen, zu denen auch mutmaßlich staatlich geförderte Cyberspionage-Gruppen gehörten, nutzten die SAP-Sicherheitslücke, um Webshells zu installieren, dauerhafte Hintertüren einzurichten und heimliche Netzwerkaufklärung zu betreiben.

Diese Daten belegen, dass es für geschäftskritische Anwendungen nicht mehr ausreicht, sich allein auf einen herkömmlichen monatlichen Patch-Zyklus zu verlassen.

Die aktive Ausnutzung von CVE-2025-31324 war ein weltweites Phänomen. Mandiant verfolgte diese Aktivitäten im Rahmen seiner Incident-Response-Einsätze als bedeutendes „globales Ereignis“, wobei spezifische regionale Auswertungen verdeutlichten, wie verschiedene Bedrohungscluster die Sicherheitslücke ausnutzten.

In der Region Europa, Naher Osten und Afrika (EMEA) untersuchte Mandiant Vorfälle, bei denen zwei unterschiedliche Aktivitätscluster die Schwachstelle als Zero-Day-Exploit ausnutzten. In diesen Fällen konzentrierten sich die Angreifer in erster Linie darauf, einen ersten Zugang zu erlangen, indem sie die JSPKIT-Webshell in den kompromittierten Umgebungen platzierten.

In der Region Japan und Asien-Pazifik (JAPAC) nutzten Angreifer die Sicherheitslücke nach der Veröffentlichung des offiziellen Patches intensiv aus. Mandiant identifizierte eine mutmaßlich mit der VR China in Verbindung stehende Cyberspionage-Gruppe, die den Exploit nutzte, um Aufklärungsbefehle an Web-Shells auf anfälligen Geräten zu senden. Eine zweite in der JAPAC-Region operierende Bedrohungsgruppe nutzte dieselbe Zero-Day-Sicherheitslücke aus, um den KRABDRIP-Downloader zu installieren und weitere Netzwerkaufklärung zu betreiben.

Den blinden Fleck der Anwendungsschicht beseitigen

Cyberkriminelle nehmen unternehmensinterne Plattformen ins Visier, die mit dem Internet verbunden sind, da diese einen zentralen Zugang zu den Finanzdaten, internen Dokumenten und Geschäftsabläufen eines Unternehmens bieten. Sobald sie sich Zugang verschafft haben, bieten diese Plattformen die perfekte Tarnung.

Da herkömmliche EDR-Tools (Endpoint Detection and Response) und Netzwerküberwachungsprogramme die proprietären SAP-Anwendungsprotokolle meist nicht auswerten können, können Angreifer unentdeckt agieren. Der M-Trends-Bericht stellt fest, dass Angreifer diese Art von Zielen häufig als Ausgangspunkt nutzen, um sich weiter in ein kompromittiertes Netzwerk vorzuarbeiten.

Lücken schließen durch kontinuierliche Überwachung

Die Ergebnisse des Berichts „Mandiant M-Trends 2026“ bestätigen die Notwendigkeit anwendungsspezifischer Sicherheitstools. Um defend die rasante Ausnutzung von SAP-Sicherheitslücken defend , müssen Unternehmen von reaktiven Patches zu einer proaktiven, kontinuierlichen Überwachung übergehen.

Speziell entwickelte Plattformen sind genau auf dieses Bedrohungsmodell zugeschnitten:

  • Schwachstellenmanagement: Automatisierte Überprüfungen identifizieren kontinuierlich fehlende Patches und Fehlkonfigurationen auf Anwendungsebene, bevor Angreifer diese als N-Day-Exploits ausnutzen können.
  • Erkennung von Bedrohungen: Durch die kontinuierliche Überwachung SAP-spezifischer Anwendungsprotokolle können Sicherheitsteams die Bereitstellung von Web-Shells und unbefugte Erkundungsaktivitäten in Echtzeit erkennen und die Verteidiger alarmieren, bevor der Angreifer sich lateral ausbreiten kann.

Die Daten sprechen eine klare Sprache. Angreifer haben SAP zu einem Hauptziel gemacht. Es ist an der Zeit, dass die Verteidiger dies zu ihrem Hauptschwerpunkt machen.

Stichworte,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen