Sicherheit für SAP: Umgang mit SAP-spezifischen Schwachstellen und Risiken

Von:

18. Februar 2025

In den letzten Jahren haben Angriffe auf SAP-Systeme stark zugenommen, da Cyberkriminelle zunehmend auf diese kritischen Plattformen abzielen, was die wachsende Notwendigkeit von SAP-Cybersicherheit deutlich macht. Da SAP-Systeme als Rückgrat vieler Unternehmen dienen und sensible Daten wie Finanzunterlagen, Rechtsdokumente und geistiges Eigentum verwalten, gibt dieser zunehmende Fokus Anlass zu großer Sorge. Angreifer entwickeln ihre Techniken ständig weiter und versuchen, Schwachstellen auszunutzen, um finanziellen Gewinn zu erzielen, Spionage zu betreiben oder den Betrieb zu stören.

Die Auswirkungen einer Sicherheitslücke hängen stark vom jeweiligen Kontext ab. Bei SAP-Systemen können selbst relativ einfache Sicherheitslücken aufgrund der Sensibilität der betroffenen Daten und Prozesse katastrophale Folgen haben. So kann beispielsweise eine Cross-Site-Scripting-Sicherheitslücke (XSS) in einem öffentlichen Forum zu Unannehmlichkeiten für die Nutzer führen oder Konten gefährden. Die gleiche Schwachstelle in einem SAP-Dienst könnte jedoch kritische Geschäftsinformationen offenlegen oder verändern und damit die Vertraulichkeit, Integrität oder Verfügbarkeit zentraler Geschäftsfunktionen beeinträchtigen. Es ist bekannt , dass viele Unternehmen Millionen von Dollar verlieren könnten, wenn ihre Geschäftsfunktionen auch nur für kurze Zeit nicht ordnungsgemäß funktionieren. Dies verdeutlicht die besonderen Risiken, die mit der SAP-Sicherheit und der Absicherung von SAP-Umgebungen verbunden sind, in denen Schwachstellen häufig Systeme betreffen, die finanz-, betriebs- oder compliancekritische Prozesse verwalten.

Neben den Auswirkungen, die jede Sicherheitslücke auf ein SAP-System hat, gibt es noch einen weiteren Faktor, der zur Komplexität der Absicherung von SAP-Systemen beiträgt: der Patching-Prozess. Das Patchen von SAP-Systemen ist oft ein zeitaufwändiger und komplexer Prozess, der umfangreiche Tests erfordert, um sicherzustellen, dass Updates den kritischen Geschäftsbetrieb nicht stören. Dies kann zu Verzögerungen von mehreren Wochen führen, bis ein Patch vollständig bereitgestellt ist. Darüber hinaus können Patches Systemausfallzeiten oder die Genehmigung durch mehrere Entscheidungsträger innerhalb eines Unternehmens erfordern, was den Verwaltungsaufwand zusätzlich erhöht. Die Priorisierung von Patches wird oft unterschätzt. Die Durchführung einer gründlichen Priorisierungsanalyse erhöht die Komplexität und verlängert die für die Anwendung von Patches benötigte Zeit zusätzlich.

Spezialisierte Sicherheitsforschungsteams wie Onapsis Research Labs spielen eine entscheidende Rolle bei der Aufdeckung von Schwachstellen und tragen dazu bei, dass Software – wie beispielsweise SAP-Systeme – sicherer und ausgereifter wird. Die verantwortungsvolle Offenlegung ist jedoch der Grundpfeiler dieses Prozesses. Ohne sie könnten Kunden ungeschützt bleiben und nicht über die entscheidende Zeit verfügen, die sie benötigen, um ihre Systeme zu patchen, bevor Angreifer die Schwachstellen ausnutzen. Durch Zusammenarbeit und die Einhaltung verantwortungsvoller Offenlegungspraktiken können Forscher, Anbieter und Nutzer eine sicherere Umgebung für alle gewährleisten.

Die Absicherung von SAP-Systemen ist eine vielschichtige Herausforderung, die durch das zunehmende Interesse von Cyberkriminellen an diesen kritischen Plattformen und die hohe Bedeutung des Schutzes sensibler Geschäftsabläufe noch verschärft wird. Der besondere Kontext von SAP-Sicherheitslücken verstärkt deren potenzielle Auswirkungen, während die Komplexität der Patch-Prozesse eine zeitnahe Behebung zusätzlich erschwert. Sicherheitsforschungsteams, die sich an die Grundsätze der verantwortungsvollen Offenlegung halten, spielen eine entscheidende Rolle dabei, sicherzustellen, dass Sicherheitslücken so behoben werden, dass die Risiken für Unternehmen minimiert werden, und tragen gleichzeitig zu sichererer Software bei.

Stichwörter, ,
Über den Autor

Pablo Artuso

Pablo „Partu“ Agustin Artuso ist ein erfahrener Sicherheitsforscher mit Fachkenntnissen in der Identifizierung von Schwachstellen und der Verbesserung der Sicherheit geschäftskritischer Anwendungen. Dank seines fundierten Hintergrunds im Bereich Cybersicherheit und seiner Spezialisierung auf Systeme wie SAP hat er zur Stärkung der Widerstandsfähigkeit von Unternehmen beigetragen. Seine technische Kompetenz und seine praktische Erfahrung haben ihn zu einer Schlüsselfigur im Bereich der Unternehmenssicherheit gemacht. Während seiner Zeit bei Onapsis wurde er als Redner für die Black Hat USA und die Ekoparty ausgewählt und war der leitende Forscher bei der Entdeckung der als P4CHAINS bezeichneten Schwachstellenfamilie.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen