Sicherheit für Ihre SAP-Systeme in der Weihnachtszeit: Schutz kritischer Anwendungen während der Winterpause

Von:

22. Dezember 2025

Da sich das Jahr dem Ende zuneigt, konzentrieren sich die meisten Unternehmen darauf, den Jahresabschluss zu erstellen und die Winterpause zu genießen. Diese Zeit mit reduzierter Personalbesetzung und „Code-Freezes“ schafft jedoch oft einen gefährlichen toten Winkel für SAP-Sicherheit im Winter. Während Ihr Team eine Pause einlegt, rüsten sich Angreifer darauf, die „Weihnachtsflaute“ auszunutzen – eine Zeit, in der längere Erkennungszeiten und verzögerte Patch-Fenster die perfekten Voraussetzungen für einen Sicherheitsverstoß schaffen.

Um Ihre Infrastruktur in dieser besonders risikoreichen Phase zu schützen, müssen Sicherheitsteams von reaktiven manuellen Überprüfungen auf proaktive Automatisierung umstellen. Dieser Leitfaden erläutert, wie Sie sicherstellen können, dass Ihre Notfallverfahren auch während eines Einfrierens die Installation von Sicherheitspatches im Notfall ermöglichen, und wie Sie die Überwachung risikoreicher Aktivitäten automatisieren können, damit Sie defend Systeme defend können, ohne Ihr Bereitschaftspersonal zu überlasten.

Warum die Winterferien das Risiko für SAP erhöhen

Die Vorstellung, dass die Cyberaktivitäten während der Feiertage nachlassen, ist ein gefährlicher Irrglaube. Angreifer betrachten die Wochen zwischen Thanksgiving und Neujahr als ideale Gelegenheit. Sie legen den Zeitpunkt ihrer Angriffe strategisch so, dass er mit dem besonderen Chaos des vierten Quartals zusammenfällt.

Die „Skeleton Crew“ und Alarmmüdigkeit 

Security Operations Center (SOCs) und SAP-Basis-Teams arbeiten Ende Dezember oft mit reduzierter Personalbesetzung. Das bedeutet häufig, dass Level-1-Analysten, die möglicherweise weniger Erfahrung mit komplexen ERP-Bedrohungen haben, als Einzige die Überwachung übernehmen. Angreifer wissen, dass ein an Heiligabend gestarteter „Low-and-Slow“-Angriff möglicherweise erst am 2. Januar eine manuelle Überprüfung auslöst. Diese verlängerte Verweildauer ermöglicht es Angreifern, sich unbemerkt von einem kompromittierten Arbeitsplatzrechner in die zentrale ERP-Produktionsumgebung zu bewegen, wodurch sie Tage Zeit haben, das Netzwerk zu kartieren und sensible Daten zu exfiltrieren, bevor jemand ins Büro zurückkehrt.

Das „Code-Freeze“-Paradoxon 

Die meisten Unternehmen führen einen Code-Freeze durch, um die Systeme für den kritischen Jahresabschluss zu stabilisieren. Dies verhindert zwar operative Instabilität, kann jedoch unbeabsichtigt auch die Sicherheitshygiene einfrieren. Wenn im Dezember eine kritische Sicherheitslücke bekannt wird SAP-Patch-Daybekannt wird, haben Unternehmen oft Schwierigkeiten, die Genehmigung zu erhalten, den Code-Freeze aufzuheben. Angreifer nutzen diese Lücke aus und machen sich neue Schwachstellen zunutze, da sie wissen, dass Patches sich bis Mitte Januar verzögern werden.

Finanzielle Belastungen zum Jahresende 

Die Hektik zum Jahresabschluss führt zu einem Anstieg des Transaktionsvolumens und der Transaktionsgeschwindigkeit. Die Finanzabteilungen stehen unter enormem Druck, Rechnungen und Zahlungen noch vor Ablauf der Frist am 31. Dezember zu bearbeiten. Diese Dringlichkeit erschwert es erheblich, betrügerische Aktivitäten oder Unregelmäßigkeiten in den Finanzdaten zu erkennen. Eine subtile Manipulation der Bankdaten eines Lieferanten oder ein doppelter Zahlungslauf bleiben in der Hektik zum Jahresende weitaus eher unbemerkt als in einem normalen Monat.

Dieses Risiko betrifft jede SAP-Landschaft. Von älteren lokalen Servern bis hin zu modernen cloud wie RISE with SAP– kann eine Sicherheitsverletzung in diesem Zeitraum katastrophale Folgen haben. Störungen in diesem Bereich betreffen nicht nur die IT, sondern können auch Lieferketten und Finanzabläufe direkt zu Beginn des neuen Geschäftsjahres zum Erliegen bringen.

Individuelle Wachsamkeit: Den Faktor Mensch sichern

Zwar sind Sicherheitsmaßnahmen auf Unternehmensebene von größter Bedeutung, doch sind die einzelnen Mitarbeiter oft die erste Verteidigungslinie. Die Umstellung auf Urlaubsreisen bringt physische und digitale Schwachstellen mit sich, die im restlichen Jahr nicht bestehen.

Sicherer Fernzugriff und Schatten-IT 

Wenn Mitarbeiter in den Urlaub fahren, wächst die Versuchung, von Flughäfen, Hotels oder bei Verwandten aus zu arbeiten. Dies führt oft zu „Shadow-IT“-Verhalten, bei dem Mitarbeiter langsame Unternehmens-VPNs umgehen oder private Geräte nutzen, um „nur mal schnell“ einen Bericht zu überprüfen.

  • Ein VPN ist unverzichtbar: Greifen Sie niemals ohne ein zuverlässiges VPN über öffentliches WLAN auf sensible SAP-Daten zu. Angreifer suchen gezielt Verkehrsknotenpunkte auf, um Man-in-the-Middle-Angriffe (MitM) auf ahnungslose Geschäftsreisende durchzuführen.
  • Gerätehygiene: Stellen Sie sicher, dass alle Unternehmensgeräte auf dem neuesten Stand sind und durch Multi-Faktor-Authentifizierung (MFA) geschützt werden. Die Einführung robuster Authentifizierungsmethoden wie passwortloser MFA kann das Risiko des Diebstahls von Zugangsdaten während der Mobilität der Mitarbeiter erheblich verringern. Ein verlorener Laptop ist ein Sicherheitsvorfall; ein verlorener, unverschlüsselter Laptop mit aktiven SAP-GUI-Sitzungen ist eine Katastrophe.

Schutz vor „dringenden“ Phishing-Angriffen in der Weihnachtszeit 

Onapsis Research Labs warnt regelmäßig vor einem Anstieg von Social-Engineering-Angriffen im vierten Quartal. Angreifer nutzen den „Abwesenheitsstatus“ wichtiger Führungskräfte aus, um eine Dringlichkeit vorzutäuschen. Seien Sie skeptisch gegenüber ungewöhnlichen Anfragen, darunter:

  • Gefälschte IT-Warnmeldungen: E-Mails mit dem Betreff „Ihr SAP-Passwort läuft in 24 Stunden ab“, die an Heiligabend versendet werden, sollen Nutzer in Panik versetzen, damit sie auf bösartige Links klicken, über die Zugangsdaten abgegriffen werden.
  • Betrug durch Führungskräfte: Dringende Aufforderungen zu Überweisungen oder zur Übermittlung vertraulicher Berichte, während Führungskräfte angeblich „auf Reisen“ sind und die Anfrage nicht telefonisch bestätigen können.
  • Vortäuschung der Identität von Lieferanten: Gefälschte Rechnungen von bekannten Lieferanten, in denen Probleme bei der „Zahlungsabwicklung zum Jahresende“ geltend gemacht werden, um Gelder auf von Angreifern kontrollierte Konten umzuleiten.

Unternehmensresilienz: Stärkung Ihrer SAP-Landschaft

Die letztendliche Verantwortung liegt bei den IT- und Sicherheitsteams. Die Wochen vor den Feiertagen sind entscheidend für die Absicherung Ihrer IT-Umgebung. Die Umsetzung eines umfassenden ERP-Sicherheitskonzepts vor den Feiertagen kann einen lückenlosen Schutz gewährleisten, selbst wenn nur wenig Personal im Einsatz ist.

1. Proaktives Schwachstellenmanagement

Bevor der Code-Freeze in Kraft tritt, müssen Sie die Angriffsfläche durch ein umfassendes SAP-Schwachstellenmanagementverringern. Bekannte Schwachstellen während einer zweiwöchigen Pause ungeschützt zu lassen, ist ein Einfallstor für Probleme.

  • Wichtige Hinweise priorisieren: Konzentrieren Sie sich auf Systeme mit Internetanbindung (wie Fiori, SAProuter oder Web Dispatcher) und installieren Sie „HotNews“-Patches unverzüglich. Dies sind die wahrscheinlichsten Angriffspunkte für externe Angreifer.
  • Vorkehrungen für Zero-Day-Angriffe: Stellen Sie sicher, dass Ihr Patch-Management-Prozess während der Feiertage auch außerplanmäßige Updates zulässt. Sollte am 20. Dezember eine Sicherheitslücke mit einem CVSS-Wert von 10,0 bekannt werden, können Sie nicht bis Januar warten. Sie benötigen ein Notfallverfahren, um Sicherheitspatches sicher zu installieren.
  • Cloud überprüfen: Wenn Sie in der cloud arbeiten, überprüfen Sie Ihre SAP-Modell der geteilten Verantwortung. Stellen Sie sicher, dass Sie nach kürzlich abgeschlossenen Projekten keine temporären Speicher-Buckets offen gelassen oder Sicherheitsgruppen zu freizügig konfiguriert haben.

2. Der Ansturm vor dem „Freeze“: Sicherung des benutzerdefinierten Codes

Eines der größten Risiken in der Vorweihnachtszeit entsteht durch die Eile, Funktionen noch vor Beginn des Code-Freeze in die Produktion zu bringen. Entwickler stehen unter dem Druck, Projekte fertigzustellen, was oft dazu führt, dass bei Sicherheitstests Abstriche gemacht werden.

  • Vor dem Transport scannen: Stellen Sie sicher, dass alle kurzfristigen Transports oder Bereitstellungen von benutzerdefiniertem Code auf Schwachstellen überprüft wurden. So wird verhindert, dass Entwickler kurz vor Feierabend versehentlich fest codierte Anmeldedaten oder SQL-Injection-Schwachstellen in die Produktionsumgebung einbringen.
  • DevSecOps stärken: Der Ansturm in der Vorweihnachtszeit macht deutlich, wie dringend ein robustes SAP DevSecOps-Strategie Strategie. Durch die Automatisierung von Code-Scans innerhalb der Entwicklungspipeline stellen Sie sicher, dass Sicherheitsprüfungen sofort erfolgen, und verhindern so das „Engpass“-Argument, das dazu führt, dass Tests übersprungen werden.

3. Stärkung der Sicherheit in der Lieferkette

Risiken durch Dritte machen keine Pause. Lieferanten und Partner, die auf Ihr System zugreifen, arbeiten möglicherweise ebenfalls mit reduzierter Personalbesetzung oder sind damit beschäftigt, ihre eigenen Jahresendaufgaben zu erledigen.

  • Zugriffsrechte überprüfen: Überprüfen Sie vor den Feiertagen alle Berechtigungen von Drittanbietern und widerrufen Sie nicht mehr benötigte Berechtigungen. Wenn ein Auftragnehmer in den letzten beiden Dezemberwochen keinen Zugriff benötigt, deaktivieren Sie das Konto bis Januar.
  • Aktivitäten von Lieferanten überwachen: Richten Sie Warnmeldungen speziell für externe Benutzerkonten ein. Wenn sich ein Lieferant zu einer ungewöhnlichen Uhrzeit anmeldet oder auf Daten zugreift, die nicht in seinen Aufgabenbereich fallen, sollte dies eine sofortige Untersuchung auslösen.

4. Gewährleistung der Compliance und Vorbereitung auf Audits

Der Januar ist oft die „Prüfungssaison“. Die Maßnahmen, die Sie während der Feiertage ergreifen (oder unterlassen), können erhebliche Auswirkungen auf Ihre bevorstehenden SOX-, DSGVO- oder ITGC-Prüfungen haben.

  • Protokollierung sicherstellen: Stellen Sie sicher, dass Ihre Protokollierungs- und Überwachungssysteme voll funktionsfähig sind und über ausreichende Speicherkapazität verfügen, um die Feiertage zu bewältigen, ohne dass wichtige Protokolle überschrieben werden.
  • Automatisierung der Beweissicherung: Nutzen Sie automatisierte SAP-Compliance-Tools , um kontinuierlich Nachweise zu sammeln. Dies verhindert das hektische Gerangel im Januar, um nachzuweisen, dass die Kontrollen während der Pause wirksam waren, und sorgt dafür, dass Ihre SAP-Compliance in einem guten Zustand bleibt. 

5. Kontinuierliche Überwachung und Reaktion auf Vorfälle

Wenn die manuelle Überwachung reduziert wird, ist Automatisierung entscheidend. Sie benötigen Echtzeit-Einblick in Ihre SAP-Systeme, um Bedrohungen zu erkennen, die vorbeugende Kontrollmaßnahmen umgehen.

  • Automatische Erkennung: Konfigurieren Sie Warnmeldungen für besonders kritische Bedrohungen, wie beispielsweise die Anmeldung eines Benutzers aus einem ungewöhnlichen Land um 3 Uhr morgens, eine plötzliche Änderung der Benutzerrechte oder das Debuggen von Produktionscode, damit das Bereitschaftspersonal sofort reagieren kann.
  • Nutzen Sie Bedrohungsinformationen: Integrieren Sie Feeds von Onapsis Research Labs aufkommenden Bedrohungen immer einen Schritt voraus zu sein. Wenn ein neuer Exploit auf SAP S/4HANA während der Ferien veröffentlicht wird, sollte Ihr Überwachungssystem so konfiguriert sein, dass es Versuche, diesen zu nutzen, erkennt.
  • Üben Sie den Plan: Stellen Sie sicher, dass Ihr Incident-Response-Team über aktuelle Kontaktlisten verfügt und genau weiß, wer befugt ist, ein kompromittiertes System während der Feiertage abzuschalten. Können Sie den CISO an Silvester erreichen, falls dies erforderlich sein sollte?

Eine Sicherheitscheckliste vor den Feiertagen

Damit Ihr Team wirklich abschalten kann, gehen Sie in der Woche vor der Pause diese Checkliste durch:

  • Sicherungen überprüfen: Stellen Sie sicher, dass die Sicherungen erfolgreich durchgeführt werden und unveränderlich sind (d. h. vor dem Löschen durch Ransomware geschützt).
  • Aktualisierung der Bereitschaftspläne: Überprüfen Sie die Kontaktdaten aller Bereitschaftsmitarbeiter, einschließlich der Vertretungen für diejenigen, die auf Dienstreise sind.
  • Einfrieren nicht wesentlicher Änderungen: Halten Sie sich strikt an den Code-Freeze, um die Stabilität zu gewährleisten.
  • Kritische Patches installieren: Beheben Sie alle SAP-Sicherheitslücken mit einem CVSS-Wert von 9,0 oder höher.
  • Schwellenwerte für Warnmeldungen anpassen: Passen Sie die Überwachungsempfindlichkeit bei Bedarf an, um Fehlalarme für das Bereitschaftsteam zu reduzieren und gleichzeitig den Überblick über kritische Bedrohungen zu behalten.
  • Sicherer Zugriff für Dritte: Deaktivieren Sie inaktive Lieferantenkonten.

Das ganze Jahr über eine gute Körperhaltung bewahren

Zwar rückt das Thema Sicherheit in der Weihnachtszeit stärker in den Fokus, doch echte Widerstandsfähigkeit erfordert eine ganzjährige Strategie. Die hier aufgeführten Risiken sind nicht auf den Dezember beschränkt; sie werden lediglich durch den Kalender verstärkt.

Gehen Sie bei Ihrer Planung für das neue Jahr über reaktive Maßnahmen hinaus. Entwickeln Sie eine umfassende SAP-Sicherheitsstrategie , die Sicherheit in jede Phase Ihres Lebenszyklus integriert, von der Entwicklung bis zum Betrieb. Durch diesen proaktiven Ansatz können Sie die Feiertage in der Gewissheit genießen, dass Ihre wertvollsten Vermögenswerte sicher sind, und das neue Jahr mit einem sauberen Gesundheitszeugnis beginnen.

Häufig gestellte Fragen (FAQs)

Warum sind SAP-Systeme während der Winterferien einem höheren Risiko ausgesetzt?

In der Winterzeit kommt es zu Personalengpässen in den Sicherheitszentralen (SOCs), während gleichzeitig der Druck des Jahresabschlusses hinzukommt. Angreifer nutzen dieses „abgelenkte“ Umfeld aus, da sie wissen, dass längere Reaktionszeiten ihre Erfolgschancen erhöhen.

Wie sollten wir mit „Code-Freezes“ im Vergleich zu Sicherheitspatches umgehen?

Code-Freezes sorgen zwar für Stabilität in den Systemen zum Jahresende, sollten jedoch niemals kritische Sicherheitspatches blockieren. Unternehmen benötigen einen vordefinierten „Break-Glass“-Prozess, um auch während eines Freezes dringende Sicherheitskorrekturen (etwa bei einer Zero-Day-Sicherheitslücke) vornehmen zu können.

Welche konkreten Risiken zum Jahresende wirken sich auf die SAP-Sicherheit aus?

Neben den üblichen Angriffen birgt das Jahresende ein erhöhtes Risiko für Finanzbetrug (aufgrund des hohen Transaktionsvolumens) sowie für Social-Engineering-Angriffe, die als Steuerformulare, Jahresendboni oder dringende Anfragen von Führungskräften getarnt sind.

Wie können wir SAP-Systeme mit weniger Personal effektiv überwachen?

Vertrauen Sie auf automatisierte Lösungen zur kontinuierlichen Überwachung, die das Bereitschaftspersonal sofort auf schwerwiegende Bedrohungen hinweisen, ohne dass eine manuelle Überprüfung der Protokolle rund um die Uhr erforderlich ist.

Warum stellt benutzerdefinierter Code in der hektischen Vorweihnachtszeit ein Risiko dar?

 Entwickler beeilen sich oft, Funktionen noch vor dem Code-Freeze zum Jahresende fertigzustellen. Diese Eile kann dazu führen, dass Sicherheitsprüfungen ausgelassen werden, was dazu führt, dass Schwachstellen wie fest codierte Anmeldedaten oder SQL-Injection-Lücken kurz vor den Feiertagen in die Produktion gelangen.

Stichworte
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen