Sicherheit für das SAP-Kernsystem der globalen Luxusbranche: Ein Bedrohungsbericht für 2026

Von:

15. Mai 2026

Für die weltweit führenden Luxusmarken ist SAP mehr als nur Unternehmenssoftware. Es ist das operative Nervensystem der Marke, das hochwertige Lieferketten, handwerkliche Produktionspläne, exklusive Kundenverzeichnisse und den weltweiten Einzelhandelsbetrieb steuert. Während Luxusmarken ihre digitale Transformation vorantreiben, umgehen raffinierte Angreifer die Frontend-Systeme, um direkt auf diesen Unternehmenskern abzuzielen.

Dieses Executive Briefing befasst sich mit der zunehmenden Zahl SAP-spezifischer Sicherheitslücken, den sich bis ins Jahr 2026 hin entwickelnden neuen Taktiken von Angreifern sowie den strategischen Maßnahmen, die erforderlich sind, um den Luxuseinzelhandel gegen systemische Störungen abzusichern. Für eine umfassende Analyse können Unternehmen auf das vollständige, aufgezeichnete Webinar „Luxury Threat Briefing“ zugreifen.

Das digitale Nervensystem der globalen Luxusbranche

Der Schutz von SAP-Umgebungen steht in direktem Zusammenhang mit dem Schutz des Markenwerts, da diese Systeme die sensibelsten Betriebs- und Kundendaten enthalten, die für die Aufrechterhaltung der Marktexklusivität erforderlich sind.

Für ein modernes Luxusunternehmen verwaltet SAP den gesamten Lebenszyklus der wertvollsten Vermögenswerte der Marke. Dazu gehören die präzise Terminplanung für limitierte Handwerkserzeugnisse, die globale Vertriebslogistik sowie der Schutz der Kundendaten von Ultra-High-Net-Worth-Kunden (UHNW). Eine Sicherheitsverletzung in diesem Umfeld gefährdet das grundlegende Vertrauen und die Diskretion, die das Luxuserlebnis ausmachen.

Cyberkriminelle sind sich dieser Dynamik bewusst. Gruppen, die Advanced Persistent Threats (APTs) und Ransomware einsetzen, wissen, dass eine Störung der SAP-Anwendungsschicht zwangsläufig zu systemweiten Betriebsausfällen führt. Der Schwerpunkt hat sich von oberflächlichen Störangriffen auf das Netzwerk hin zu tiefgreifenden, strukturellen Kompromittierungen von Unternehmen verlagert.

Die sich verschärfende Bedrohungslage und die Deserialisierungs-Krise

Die Entdeckung und die weitverbreitete Ausnutzung kritischer SAP-Zero-Day-Sicherheitslücken haben gezeigt, dass hochentwickelte Cyberkriminelle mittlerweile in der Lage sind, direkt innerhalb der ERP-Ebene Code aus der Ferne auszuführen.

In der Vergangenheit war die SAP-Infrastruktur für allgemeine Angreifer ein weitgehend unbekanntes Terrain. Untersuchungen der Onapsis Research Labs , dass sich diese Situation grundlegend geändert hat. Angreifer nutzten kürzlich massive Sicherheitslücken aus, insbesondere CVE-2025-31324, eine kritische Schwachstelle bei der unsicheren Deserialisierung innerhalb von SAP NetWeaver AS Java mit einem maximalen CVSS-Wert von 10,0.

Diese spezifische Sicherheitslücke ermöglicht es Angreifern, die Authentifizierung vollständig zu umgehen. Die Ausnutzung begann zunächst durch staatlich gestützte Akteure aus Russland und China. Nach der Veröffentlichung eines voll funktionsfähigen Exploits durch die Hackergruppe ShinyHunters kam es weltweit zu Hunderten von kompromittierten Unternehmen. Die Kommerzialisierung solcher Exploits auf Dark-Web-Marktplätzen, wo SAP-Funktionen zur Remote-Code-Ausführung für bis zu 250.000 US-Dollar verkauft werden, belegt die immense finanzielle Motivation, die diese Angriffe bis ins Jahr 2026 antreibt.

Quantifizierung der geschäftlichen Auswirkungen von SAP-Sicherheitsverletzungen

Ausfälle im Luxussektor führen zu einer Reputationskrise, wobei Sicherheitsverletzungen bei SAP zu Bestandsmanipulationen, Preischaos und einem dauerhaften Vertrauensverlust bei sehr vermögenden Kunden führen.

Wenn Angreifer in den SAP-Kern eindringen, reichen die geschäftlichen Auswirkungen weit über gewöhnliche IT-Störungen hinaus. Öffentliche Insolvenzanträge und starke Schwankungen des globalen BIP wurden direkt mit ungelösten Sicherheitsverletzungen bei SAP in Verbindung gebracht. Für Luxusmarken stellen bestimmte Angriffsszenarien existenzielle Risiken dar:

  • Lagerbestandsdiebstähle: Angreifer manipulieren Bestandsaufzeichnungen, um limitierte Artikel abzuzweigen oder den Abfluss von „Phantomware“ in den Graumarkt zu erleichtern, was Fälschungsaktivitäten begünstigt.
  • Preismanipulation: Unbefugte Änderungen an globalen Preislisten führen zu sofortigem Chaos im Betriebsablauf von Boutiquennetzwerken und E-Commerce-Plattformen.
  • Verletzungen des Datenschutzes: Die Weitergabe privater Kaufhistorien und Listen von UHNW-Kunden verstößt gegen das zentrale Markenversprechen der absoluten Diskretion.
  • Störungen in der Hochsaison: Ein Ransomware-Angriff, bei dem die SAP-HANA-Datenbank während umsatzstarker Zeiträume wie der Fashion Week oder der Weihnachtssaison verschlüsselt wird, führt zu verheerenden finanziellen Verlusten und zum Bruch von Partnerschaften im Einzelhandel.

Den Mythos der Compliance bei Cloud überwinden

Die Einhaltung gesetzlicher Vorschriften ist nicht gleichbedeutend mit betrieblicher Sicherheit, insbesondere wenn Unternehmen im Rahmen von Modellen der geteilten Verantwortung auf cloud umsteigen.

Es herrscht die gefährliche Fehlannahme, dass das Bestehen eines Compliance-Audits gleichbedeutend mit echter Sicherheit sei. Compliance-Rahmenwerke legen zwar eine notwendige baseline fest, doch agieren Angreifer in der unüberwachten „letzten Meile“ jenseits dieser Schwellenwerte. In dem Bedrohungsbericht wurde ausdrücklich darauf hingewiesen, dass Unternehmen ihre SAP-Umgebungen direkt in bestehende Programme zur Reaktion auf Sicherheitsvorfälle integrieren müssen, um in der aktuellen Bedrohungslandschaft bestehen zu können.

Für börsennotierte Luxusmarken macht ein erfolgreicher Angriff auf das SAP-System die Finanzberichterstattung unmöglich und hat unmittelbare regulatorische Konsequenzen zur Folge. Unternehmen müssen strenge SAP-SOX-Compliance einhalten, um die Integrität der Finanzdaten zu gewährleisten, sowie strenge SAP-DSGVO-Compliance, um die Privatsphäre der Registrien von Kunden mit extrem hohem Vermögen zu schützen. Werden diese Rahmenwerke jedoch lediglich als Checklisten betrachtet, sind Unternehmen in hohem Maße anfällig. Durch die Automatisierung von SAP-Compliance-Audits ersetzen Sicherheitsteams die manuelle Sammlung von Nachweisen durch eine kontinuierliche Überwachung der Kontrollen und beseitigen so proaktiv die Konfigurationslücken, die Angreifer aktiv ausnutzen.

Dieses Risiko verschärft sich bei cloud , wie beispielsweise beim Übergang zu RISE with SAP. Zwar stellt SAP im Rahmen des Shared-Responsibility-Modells eine hochsichere cloud bereit, doch bleiben die einzelnen Unternehmen weiterhin vollumfänglich für die Sicherung ihrer spezifischen Geschäftsdaten, Benutzerberechtigungen und Anwendungskonfigurationen verantwortlich. Verlässt man sich ausschließlich auf die Infrastruktursicherheit cloud , bleibt die kritische Anwendungsebene vollständig für Angriffe anfällig.

Ein Fahrplan für operative Resilienz

Der Aufbau einer soliden SAP-Sicherheit erfordert eine einheitliche Strategie, die kontinuierliches Schwachstellenmanagement, Echtzeit-Bedrohungserkennung und automatisierte Tests der Anwendungssicherheit miteinander verbindet.

Sicherheitsteams müssen die SAP-Telemetrie in umfassendere unternehmensweite Programme zur Reaktion auf Sicherheitsvorfälle integrieren. Sich auf manuelle, punktuelle Bewertungen zu verlassen, reicht nicht aus, um Bedrohungsakteuren entgegenzuwirken, die in der Lage sind, neue Schwachstellen bereits innerhalb von 72 Stunden nach Veröffentlichung eines Patches auszunutzen.

Unternehmen müssen eine kontinuierliche Überwachung der Kontrollmechanismen einführen, um den Kern des Unternehmens zu schützen. Durch ein umfassendes Schwachstellenmanagement wird sichergestellt, dass kritische fehlende Patches entsprechend ihrer Auswirkungen auf das Geschäft priorisiert werden. Die Integration von Funktionen zur Erkennung und Abwehr von Bedrohungen in Echtzeit ermöglicht es Security Operations Centern (SOC), aktive Angriffsversuche auf die Anwendungsebene zu erkennen und darauf zu reagieren. Schließlich sorgt die Einbindung automatisierter Anwendungssicherheitstests in die Entwicklungspipeline dafür, dass benutzerdefinierter Code und Komponenten von Drittanbietern überprüft werden, bevor sie Risiken in die Produktionsumgebung einbringen.

Die Absicherung der SAP-Anwendungsschicht ist keine optionale IT-Aufgabe mehr. Sie ist eine zwingende Voraussetzung für die Wahrung der Markensouveränität und den Schutz des unsichtbaren Schatzes des globalen Luxusunternehmens.

Häufig gestellte Fragen

Warum nehmen Cyberkriminelle gezielt SAP-Systeme in der Luxusbranche ins Visier?

Cyberkriminelle nehmen SAP im Luxussektor ins Visier, da dort wichtige Betriebsdaten gespeichert sind, darunter Verzeichnisse von Kunden mit extrem hohem Vermögen sowie Daten zur globalen Lieferkettenlogistik. Durch die Kompromittierung dieses Kernsystems können Angreifer weitreichende Ransomware-Kampagnen durchführen, Bestände limitierter Auflagen manipulieren oder hochsensible private Kaufhistorien abgreifen.

Welche Bedeutung hatte die Sicherheitslücke CVE-2025-31324?

CVE-2025-31324 war eine kritische Zero-Day-Sicherheitslücke im Zusammenhang mit unsicherer Deserialisierung in SAP NetWeaver AS Java, die es Angreifern ermöglichte, ohne Authentifizierung Remote-Code auszuführen. Die Veröffentlichung eines voll funktionsfähigen Exploits für diese Sicherheitslücke durch die Hackergruppe ShinyHunters führte zur Kompromittierung von Hunderten von Unternehmen weltweit.

Wird durch die Migration zu RISE with SAP die Anwendungsschicht automatisch gesichert?

Die Migration zu RISE with SAP führt aufgrund des Modells der geteilten Verantwortung nicht automatisch zu einer Absicherung der Anwendungsebene. Während SAP die zugrunde liegende cloud absichert, bleiben die einzelnen Unternehmen weiterhin vollumfänglich für die Sicherheit ihrer Geschäftsdaten, Benutzerzugriffe, Systemkonfigurationen und benutzerdefinierten Codes verantwortlich.

Was ist der Unterschied zwischen SAP-Compliance und SAP-Sicherheit?

Die SAP-Compliance überprüft bei punktuellen Audits die Einhaltung gesetzlicher Vorgaben, während die SAP-Sicherheit einen kontinuierlichen Echtzeit-Schutz vor aktiven Cyberbedrohungen erfordert. Das Bestehen eines Compliance-Audits garantiert keinen Schutz vor raffinierten Angreifern, die zwischen den Audit-Zyklen aktiv unüberwachte Schwachstellen und Konfigurationen ausnutzen.

Stichworte, , ,
Über den Autor

Onapsis

Onapsis schützt die geschäftskritischen Anwendungen, die die Weltwirtschaft am Laufen halten. Als Marktführer im Bereich ERP-Cybersicherheit bieten wir die umfassendste Lösung für die Absicherung von SAP- und Oracle-Anwendungen. Unsere threat intelligence auf dem Onapsis Research Labs, dem weltweit führenden Team von SAP-Sicherheitsforschern, das sich der Aufdeckung kritischer Schwachstellen und Bedrohungen widmet, die geschäftskritische Systeme betreffen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen
Blog

Die Umsetzung der DORA-Verordnung im Jahr 2026: Was die Verordnung für SAP-Landschaften bedeutet

Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) im Januar 2025 hat sich die regulatorische Landschaft für den europäischen Finanzsektor grundlegend verändert. Mit Blick auf das Jahr 2026 erwarten die Aufsichtsbehörden umfassende Echtzeit-Nachweise für die operative Widerstandsfähigkeit anstelle theoretischer Governance-Maßnahmen. Für Unternehmen, die komplexe Unternehmensumgebungen betreiben, bedeutet dies, dieses Rahmenwerk mit einem umfassenderen SAP-Konzept für Governance, Risiko und Compliance in Einklang zu bringen…

Weiterlesen