SAP-Sicherheit im Jahr 2025: Schutz Ihres Unternehmens vor modernen Cyberbedrohungen 

Traditionell bestanden die Best Practices für cloud darin, geschäftskritische SAP-Systeme vor Ort zu betreiben und sie mit mehreren Sicherheitsebenen zu umgeben, wodurch eine theoretisch undurchdringliche Festung aus Burgmauern und Gräben entstand. Der anhaltende Wandel vom traditionellen On-Premise-Perimeter hin zu einem verteilten cloud sowie die Notwendigkeit für jedes Unternehmen, seine Geschäftsabläufe digital zu transformieren, verändern dieses Paradigma jedoch zunehmend. Dazu gehören komplexe Initiativen wie die Transformation mit S/4HANA und RISE with SAP. SAP befindet sich nicht mehr in einer „Safe“, und Angreifer haben dies erkannt und zielen mit schnellen, ausgeklügelten und zunehmend erfolgreichen Angriffen auf SAP ab. Unternehmen müssen sich dieser erhöhten Bedrohungen für ihre kritischsten Systeme bewusst sein und entsprechend gerüstet sein, um ihnen zu begegnen.

Die sich wandelnde Bedrohungslandschaft bei SAP

Die veränderte Art und Weise, wie Unternehmen arbeiten und mit ihren SAP-Systemen interagieren, hat zu einer dynamischen und zunehmend komplexen Bedrohungslandschaft geführt. Mehrere entscheidende Faktoren tragen zu dieser Entwicklung bei und erfordern einen proaktiven und robusten Sicherheitsansatz.

Beschleunigte digitale Transformation: Geschwindigkeit vor Sicherheit

Initiativen zur digitalen Transformation laufen bereits seit Jahren, doch die jüngsten weltweiten Ereignisse haben die Digitalisierung der Wirtschaft in allen Bereichen erheblich beschleunigt. Von den Kundenanforderungen nach verstärkter digitaler Interaktion bis hin zu vollständig im Homeoffice arbeitenden Mitarbeitern – diese anhaltende Beschleunigung hat der digitalen Transformation eine neue und dauerhafte Dringlichkeit verliehen und gleichzeitig die Notwendigkeit geschaffen, der digitalen Bereitschaft oberste Priorität einzuräumen . Dieser rasante Wandel hat Unternehmen für neue Risiken anfällig gemacht, sowohl aufgrund einer größeren Anzahl nach außen gerichteter kritischer Systeme als auch aufgrund oft knapper Ressourcen für die Umsetzung bewährter Sicherheitsverfahren. Jüngsten Branchenanalysen zufolge haben Unternehmen ihre Bemühungen zur digitalen Transformation drastisch beschleunigt, wobei viele berichten, dass sie in einem verkürzten Zeitrahmen Fortschritte erzielt haben, die normalerweise sechs Jahre in Anspruch nehmen würden. Dieser rasante Fortschritt hat erhebliche Auswirkungen auf die Digitalisierung von Kunden- und Lieferketteninteraktionen, interne Abläufe sowie den Gesamtanteil digitaler oder digital gestützter Produkte in ihren Portfolios.

Durch die Digitalisierung von Betriebsabläufen und Produkten befinden sich geschäftskritische Anwendungen und deren Daten zunehmend in cloud, oft öffentlich zugänglichen Systemen und nicht mehr ausschließlich in der lokalen Infrastruktur. Dies hat das Risiko von Sicherheitsverletzungen erheblich erhöht und unterstreicht die dringende Notwendigkeit einer sichere cloud . Unternehmen, die mit dieser rasanten Entwicklung Schritt halten wollen, übersehen dabei möglicherweise unbeabsichtigt kritische Risiken und machen sich damit potenziell anfällig für Angriffe, unter anderem durch unzureichende Sorgfalt bei der Umsetzung von Sicherheits-Best-Practices.

Zunehmendes Outsourcing und wachsende Abhängigkeit von Dritten

Die Einstellung von IT-Fachkräften, insbesondere von Anwendungsentwicklern und Managern mit Erfahrung im Umgang mit geschäftskritischen Plattformen wie SAP, ist eine anspruchsvolle Aufgabe. Der weltweite Fachkräftemangel stellt nach wie vor eine erhebliche Hürde dar; bis 2030 wird der weltweite Lücke an Fachkräften im Technologiebereichweltweit schätzungsweise 85,2 Millionen Menschen erreichen, was zu erheblichen potenziellen Umsatzverlusten führen könnte. Unternehmen greifen weiterhin auf externe Berater, Auftragnehmer und Systemintegratoren zurück, um diese Lücke zu schließen. Tatsächlich planen laut einer Deloitte-Umfrage aus dem Jahr 2024 80 % der Führungskräfte, ihre Investitionen in das Outsourcingan Drittebeizubehalten oder zu erhöhen.

Die Einbindung zusätzlicher Ressourcen zur Einhaltung von Projektfristen bei der Entwicklung und der digitalen Transformation ist jedoch nicht ohne Herausforderungen. Unternehmen benötigen eine Möglichkeit, die Arbeit dieser Drittanbieter zu überprüfen, um sicherzustellen, dass sie SAP-Umgebungen korrekt einrichten und qualitativ hochwertigen sowie sicheren Code schreiben. Interne Anwendungsverantwortliche benötigen Transparenz und Automatisierungsfunktionen zur Bewertung des Codes, der Transporte, der Konfigurationen und der Patch-Maßnahmen von Drittanbietern, damit sie sicherstellen können, dass Unternehmensstandards eingehalten werden, Sicherheitsprüfungen die Fähigkeit ihres Teams zur Einhaltung von Projektterminen nicht beeinträchtigen und keine kritischen Sicherheitsprobleme in ihre wichtigsten Systeme gelangen.

Zunehmende und raffinierte Angriffe auf SAP

Der oben beschriebene Übergang zu cloud , das beschleunigte Tempo der digitalen Transformation und die zunehmende Abhängigkeit von Drittanbietern haben dazu geführt, dass geschäftskritische SAP-Anwendungen anfälliger denn je sind – und das ist auch den Angreifern nicht entgangen. Böswillige Cyberaktivitäten, die auf SAP abzielen, haben in den letzten Jahren zugenommen, und diese Bemühungen scheinen sich für die Cyberangreifer auszuzahlen: Ganze 23 % der Unternehmen berichten von einem Cyberangriff, der sich im vergangenen Jahr auf ihre SAP-Umgebung ausgewirkt hat.

Ang reifer verfügen nicht nur über fundierte Fachkenntnisse, um SAP über eine Vielzahl von Angriffsvektoren ins Visier zu nehmen, sondern sie tun dies auch schneller als je zuvor. Untersuchungen von Onapsis haben ergeben, dass zwischen der Offenlegung einer Sicherheitslücke und dem ersten erkennbaren Scan durch Angreifer auf der Suche nach anfälligen Systemen nur 24 Stunden liegen können und es nur 72 Stunden dauert, bis ein funktionsfähiger Exploit verfügbar ist.

Neben böswilligen Aktivitäten, die auf nicht gepatchte SAP-Anwendungen abzielten, fanden die Forscher von Onapsis auch Hinweise auf Angriffe auf bekannte Schwachstellen in anwendungsspezifischen Sicherheitskonfigurationen, darunter Brute-Force-Angriffe auf SAP-Benutzerkonten mit hohen Berechtigungen. Darüber hinaus wurden Versuche beobachtet, Schwachstellen zu verketten, um eine Berechtigungserweiterung für den Zugriff auf Betriebssystemebene zu erreichen, wodurch sich die potenziellen Auswirkungen über SAP-Systeme und -Anwendungen hinaus ausweiteten.

Die Unvorhersehbarkeit von Zero-Day-Angriffen

Schließlich wäre es ein schwerwiegendes Versäumnis, über raffinierte Angriffe zu sprechen, ohne die Bedrohung durch Zero-Day-Angriffe anzuerkennen. Während Unternehmen bekannte Schwachstellen planen und beheben können, stellen Zero-Day-Exploits das Unbekannte dar – ein kritisches Risiko, das von Sicherheitsteams und Forschern schnelle Reaktionsfähigkeit verlangt. Das Bewusstsein für die Existenz dieser Unbekannten ist für eine umfassende Risikomanagementstrategie von entscheidender Bedeutung.

Zwar nutzen Angreifer zwar regelmäßig sowohl alte als auch neue bekannte Sicherheitslücken aus, doch im vergangenen Jahr kam es zu einer der umfangreichsten Zero-Day-Angriffsserien, die sich speziell gegen SAP-Kunden richtete. Diese wurde als CVE-2025-31324und erstmals öffentlich von ReliaQuesterstmals öffentlich gemeldet, nutzten bisher unbekannte Angreifer eine Zero-Day-Schwachstelle aus. Die Analyse des Angriffs lässt darauf schließen, dass hochspezialisierte Kenntnisse und ein tiefgreifendes Verständnis erforderlich waren, um sowohl den Exploit zu finden als auch zu erstellen. Berichte von Incident-Responder-Unternehmen wie Mandiant (in Zusammenarbeit mit Onapsis) bestätigen, dass diese Schwachstelle erfolgreich gegen mehrere Organisationen im Rahmen von Incident-Response-Maßnahmen eingesetzt wurde.

Das Wichtigste zu Zero-Day-Bedrohungen

• Zero-Day-Angriffe lassen sich mit herkömmlichen Patch-Zyklen nicht vorhersehen
• Zero-Day-Exploits werden nicht wahllos eingesetzt; ihr Einsatz ist äußerst strategisch 
• Diese strategischen Zero-Day-Schwachstellen weisen oft einen kritischen Schweregrad auf, beispielsweise CVSS 10,0, sobald sie entdeckt und behoben wurden.
• Der Vorfall CVE-2025-31324 verdeutlicht besonders, wie hoch der technische Aufwand ist und wie viel Fachwissen Angreifer benötigen.
• Onapsis Research Labs (ORL) hat immer wieder davor gewarnt, dass Angreifer den immensen Wert von SAP-Systemen erkennen, und dieser Zero-Day-Angriff hat dies eindeutig bewiesen.
• Für jedes Unternehmen, das SAP einsetzt, stellt sich nicht mehr die Frage, ob es angegriffen wird, sondern wann.
• Es gibt kein automatisches Schutzschild gegen Angriffe oder das Risiko, ins Visier genommen zu werden: Der Einsatz von SAP macht Sie zu einem Ziel, da das System äußerst wertvolle Daten enthält.

Warum moderne SAP-Sicherheit wichtig ist: Auswirkungen auf das Geschäft und die Compliance

Die geschäftlichen Auswirkungen eines erfolgreichen Angriffs auf ein SAP-System könnten gravierend sein. In vielen Szenarien wäre der Angreifer in der Lage, mit höchsten Berechtigungen (Administrator/SAP_ALL) auf das anfällige SAP-System zuzugreifen und dabei alle Zugriffs- und Autorisierungskontrollen (wie z. B. Aufgabentrennung, Identitätsmanagement und GRC-Lösungen) zu umgehen. Das bedeutet, dass der Angreifer die vollständige control über das betroffene SAP-System sowie die zugrunde liegenden Geschäftsdaten und -prozesse erlangen. Der administrative Zugriff auf das System würde es dem Angreifer ermöglichen, jeden Datensatz, jede Datei und jeden Bericht im System zu verwalten (lesen/ändern/löschen). Die erfolgreiche Ausnutzung eines anfälligen SAP-Systems würde es einem Angreifer ermöglichen, verschiedene böswillige Aktivitäten durchzuführen, darunter:

• Persönliche Daten von Mitarbeitern, Kunden und Lieferanten stehlen
• Finanzdaten lesen, ändern oder löschen
• Bankverbindung ändern (Kontonummer, IBAN usw.)
• Einkaufsprozesse verwalten
• Stören Sie kritische Geschäftsabläufe wie das Lieferkettenmanagement, indem Sie Daten manipulieren, Prozesse vollständig lahmlegen oder Ransomware einsetzen
• Durch die Ausführung von Betriebssystembefehlen uneingeschränkte Aktionen ausführen
• Spuren, Protokolle und andere Dateien löschen oder bearbeiten

Für viele Unternehmen unterliegen geschäftskritische SAP-Anwendungen sind spezifischen Branchen- und behördlichen Vorschriften sowie finanziellen und anderen Compliance-Anforderungen unterworfen. Jede durchgeschleuste Sicherheitskontrolle, die durch die Ausnutzung der in diesem Bericht beschriebenen Bedrohungen umgangen wird, kann zu Verstößen gegen Vorschriften und Compliance-Mängeln in kritischen Bereichen führen, wie zum Beispiel:

• Datenschutz (z. B. DSGVO, CCPA) aufgrund unbefugten Zugriffs auf geschützte Daten, unabhängig von einer Datenentwendung
• Finanzberichterstattung (z. B. Sarbanes-Oxley) aufgrund unbefugter Änderungen an Finanzdaten oder der Umgehung interner Kontrollen, die zu unrichtigen Finanzberichten führen
• Branchenspezifische Vorschriften wie NERC CIP oder PCI-DSS aufgrund der Auswirkungen auf regulierte Daten

Das Vorhandensein bekannter Schwachstellen und Fehlkonfigurationen in SAP-Systemen, die einen nicht authentifizierten Zugriff und/oder die Erstellung von Benutzerkonten mit hohen Berechtigungen ermöglichen, würde einen Mangel in den IT-Kontrollen darstellen. Für Unternehmen, die gesetzliche Compliance-Vorgaben erfüllen müssen, würde dies zu einem Prüfungsmangel führen und einen Verstoß gegen die Compliance-Vorschriften darstellen. Die Folge könnten eine mögliche Offenlegung des Verstoßes, kostspielige Prüfungen durch Dritte sowie Sanktionen sein, die Geldstrafen und rechtliche Schritte umfassen könnten.

Ihr Weg zu mehr SAP-Sicherheit: Die wichtigsten Schritte

Um den Komplexitäten der modernen Bedrohungslandschaft gerecht zu werden, ist ein proaktiver und strategischer Ansatz erforderlich, um SAP-Sicherheit. Wir haben drei entscheidende Schritte identifiziert, die Ihnen als Leitfaden für den Schutz Ihres Unternehmens dienen sollen:

3 Schritte zu mehr SAP-Sicherheit:

1. Einführung eines soliden SAP-Schwachstellenmanagementprogramms

Angreifer können Schwachstellen in Systemkonfigurationen, Benutzereinstellungen, benutzerdefiniertem Code und fehlenden Patches ausnutzen, um sich Zugang zu Ihren kritischen SAP-Systemen zu verschaffen. Das Aufspüren und Beheben dieser Schwachstellen, bevor sie ausgenutzt werden können, ist für den Schutz Ihrer SAP-Umgebung von entscheidender Bedeutung. Dies erfordert einen kontinuierlichen, proaktiven Ansatz, bei dem nicht nur nach bekannten Common Vulnerabilities and Exposures (CVEs), sondern auch nach Fehlkonfigurationen und Fehlern im benutzerdefinierten Code, die für Ihre Landschaft spezifisch sind. Die Einrichtung eines klaren Prozesses zur Identifizierung, Priorisierung und Behebung dieser Schwachstellen reduziert Ihre Angriffsfläche erheblich und schafft eine stärkere baseline .

2. Integration von Tests zur Anwendungssicherheit in die Entwicklungsprozesse

Durch die Einbindung von Sicherheitsprüfungen in Ihre SAP-Entwicklungs- und Änderungsmanagementprozesse können Sie Probleme in kürzester Zeit aufdecken. Die Behebung von Problemen, bevor sie in die Produktion gelangen, ist in der Regel einfacher und kostengünstiger und hilft, negative Auswirkungen auf die Systemsicherheit, Compliance, Leistung oder Verfügbarkeit zu vermeiden. Durch„Shifting Left“der Sicherheit integrieren Sie die Erkennung von Schwachstellen direkt in die Entwicklungspipeline und erkennen Fehler, wenn deren Behebung am kostengünstigsten und schnellsten ist. Dies stellt sicher, dass neue Funktionen und Änderungen von Grund auf sicher sind, und verhindert, dass neue Angriffsvektoren in Ihre Produktionsumgebung gelangen.

3. Interne und externe Bedrohungen kontinuierlich überwachen

SAP ist ein attraktives Ziel für Kriminelle, sowohl innerhalb als auch außerhalb des Unternehmens. Es ist entscheidend, auf unbefugte Änderungen, Missbrauch oder Anzeichen für Angriffe zu achten ist entscheidend, um diese Art von böswilligem Verhalten frühzeitig zu erkennen, damit Maßnahmen ergriffen werden können, um schwerwiegende Folgen zu verhindern. Eine effektive Sicherheitsüberwachung bietet Echtzeit-Transparenz in Ihrer SAP-Landschaft und ermöglicht es Ihnen, anomales Benutzerverhalten, verdächtige Systemaktivitäten und externe Scan-Versuche zu erkennen. Diese kontinuierliche Wachsamkeit ist entscheidend für eine schnelle Reaktion auf Vorfälle und ermöglicht es Sicherheitsteams, Bedrohungen zu neutralisieren, bevor sie erheblichen Schaden anrichten oder zu einer Datenpanne führen können. Um einen tieferen Einblick in Methoden zur Erkennung und Reaktion auf komplexe Bedrohungen zu erhalten, sollten Sie sich außerdem mit Strategien zur Erkennung von Unternehmensbedrohungen.

So trägt Onapsis zur Sicherheit Ihres SAP-Unternehmens bei

Um die Komplexität der modernen SAP-Sicherheit zu bewältigen, sind spezialisiertes Fachwissen und umfassende Lösungen erforderlich. Onapsis bietet eine einheitliche platform speziell auf die in diesem Bericht beschriebenen Herausforderungen platform und Unternehmen in die Lage versetzt, ihre kritischsten SAP-Anwendungen und -Daten proaktiv zu schützen. Dank unserer fundierten Kenntnisse von SAP-Umgebungen können wir einen unvergleichlichen Schutz bieten.

Für ein robustes SAP-Schwachstellenmanagement automatisiert Onapsis die Erkennung und Priorisierung von Schwachstellen in Systemkonfigurationen, Benutzereinstellungen, benutzerdefiniertem Code und fehlenden Patches. So können Sie kritische Schwachstellen aufspüren und beheben, bevor Angreifer sie ausnutzen können, und erhalten einen entscheidenden Einblick in Ihre Angriffsfläche.

Wenn es darum geht, Sicherheit in die SAP-Entwicklung sprozesse zu integrieren, unterstützt Onapsis Sie dabei, die Sicherheit „nach links zu verlagern“. Mit unseren Lösungen können Sie assess Codequalitätassess und Sicherheitsprobleme frühzeitig in der Entwicklungspipeline zu erkennen, wodurch sichergestellt wird, dass neue Funktionen von Grund auf sicher sind, und kostspielige Nachbesserungen in Produktionsumgebungen vermieden werden. Onapsis vereinfacht die Komplexität der sicheren Entwicklung von SAP-Anwendungen.

Für kontinuierliche SAP-Sicherheitsüberwachung und zur Erkennung komplexer Bedrohungen bietet Onapsis Echtzeit-Transparenz in Ihrer SAP-Landschaft. Unsere platform Ihnen dabei, ungewöhnliches Benutzerverhalten, verdächtige Systemaktivitäten und externe Scan-Versuche zu erkennen, und ermöglicht so eine schnelle Reaktion auf Vorfälle sowie eine proaktive Abwehr sowohl interner als auch externer Bedrohungen.

Häufig gestellte Fragen

Was sind die größten aktuellen Sicherheitsrisiken für SAP im Jahr 2025? 

Im Jahr 2025 wird die sich wandelnde Bedrohungslage für SAP-Systeme vor allem durch Herausforderungen geprägt sein, die mit der beschleunigten digitalen Transformation, der zunehmenden Abhängigkeit von Drittanbietern und hochkomplexen Cyberangriffen zusammenhängen. Zu den wichtigsten Anliegen zählen der Datendiebstahl, die Absicherung verteilter cloud und die Gewährleistung der Integrität kritischer, nach außen gerichteter SAP-Systeme.

Wie hat sich die digitale Transformation auf die SAP-Sicherheit ausgewirkt? 

Die digitale Transformation, die durch die jüngsten weltweiten Ereignisse beschleunigt wurde, hat dazu geführt, dass geschäftskritische SAP-Anwendungen und deren Daten in cloud, oft öffentlich zugängliche Systeme verlagert wurden. Dieser rasante Wandel, bei dem Geschwindigkeit Vorrang vor Sicherheit hat, hat das Risiko von Sicherheitslücken erheblich erhöht und unterstreicht die dringende Notwendigkeit einer sicheren Strategie für cloud .

Wie hoch ist derzeit die Zahl der Cyberangriffe auf SAP-Systeme? 

Aktuelle Daten deuten auf einen deutlichen Anstieg böswilliger Cyberaktivitäten hin, die auf SAP abzielen. Ein von Onapsis gesponserter SAPinsider-Forschungsbericht aus dem Jahr 2025 ergab, dass ganze 23 % der Unternehmen angaben, im vergangenen Jahr einen Cyberangriff erlebt zu haben, der sich auf ihre SAP-Umgebung ausgewirkt hat.

Was sind die wichtigsten Schritte zur Verbesserung der SAP-Sicherheit? 

Um die SAP-Sicherheit zu verbessern, sollten Unternehmen drei entscheidende Schritte in den Fokus rücken: die Einführung eines robusten SAP-Schwachstellenmanagementprogramms zur Erkennung und Behebung von Schwachstellen, die Integration von Anwendungssicherheitstests in die Entwicklungsprozesse, um die Sicherheit „nach links zu verlagern“, sowie die kontinuierliche Überwachung auf interne und externe Bedrohungen, um böswilliges Verhalten frühzeitig zu erkennen.

Welche Auswirkungen haben unsichere SAP-Systeme auf die Einhaltung gesetzlicher Vorschriften?

 Unsichere SAP-Systeme können zu schwerwiegenden Mängeln bei der Einhaltung gesetzlicher Vorschriften und Compliance-Anforderungen führen. Umgangene Kontrollmechanismen können gegen Vorschriften zum Datenschutz (z. B. DSGVO, CCPA), zur Finanzberichterstattung (z. B. Sarbanes-Oxley) und zu branchenspezifischen Regelungen (z. B. NERC CIP, PCI-DSS) verstoßen, was möglicherweise zu fehlgeschlagenen Audits, Geldstrafen und rechtlichen Schritten führen kann.