Die 5 größten SAP-Sicherheitsrisiken und wie man sie mindert

Von:

8. Mai 2025

SAP-Anwendungen bilden das Rückgrat vieler großer Unternehmen und steuern geschäftskritische Prozesse wie Finanzwesen, Treasury, Lieferkette und Personalwesen. Dadurch sind sie ein bevorzugtes Ziel für Cyberangriffe. Der Schutz dieser Anwendungen ist von größter Bedeutung, doch die Komplexität und Vernetzung von SAP-Umgebungen bieten oft eine riesige Angriffsfläche.

Das Verständnis gängiger Schwachstellen und Angriffsvektoren ist der erste entscheidende Schritt zur Stärkung Ihrer Abwehrmaßnahmen. Werfen wir einen Blick auf die fünf größten SAP-Sicherheitsrisiken, denen Ihr System derzeit ausgesetzt sein könnte.

1. Fehlende SAP-Sicherheitspatches: Eine offene Einladung an Angreifer

SAP-Anwendungen laufen auf einem komplexen Technologie-Stack, der aus zahlreichen Komponenten besteht, die gewartet und aktualisiert werden müssen. SAP veröffentlicht regelmäßig Sicherheitspatches, die neu entdeckte Sicherheitslücken beheben, in der Regel am zweiten Dienstag jedes Monats (SAP Patch Day). Werden diese Patches nicht rechtzeitig installiert, bleiben bekannte SAP-Sicherheitslücken für Angriffe offen. Angreifer suchen aktiv nach ungeschützten Systemen, die somit leichte Ziele darstellen.

Risiken einer verzögerten SAP-Patch-Installation: 

Nicht gepatchte Systeme sind anfällig für eine Vielzahl von Angriffen, von Denial-of-Service-Angriffen (DoS) bis hin zur Ausführung von Befehlen aus der Ferne und unbefugtem Zugriff. Angreifer nutzen diese Schwachstellen aktiv aus. So wurde beispielsweise kürzlich beobachtet, dass CVE-2025-31324 in der Praxis aktiv ausgenutzt wurde. Darüber hinaus unterstreichen kritische Entdeckungen wie die SAPSprint-Schwachstelle zur Remote-Code-Ausführung (CVE-2025-42937) die Dynamik von SAP-Bedrohungen und die dringende Notwendigkeit einer raschen Patch-Anwendung.

So verbessern Sie die SAP-Patch-Compliance:

  • Legen Sie einen klaren Prozess fest: Stellen Sie sicher, dass Ihr Patch-Management-Prozess ordnungsgemäß kommuniziert wird, damit kritische Patches für BASIS-Administratoren nicht überraschend kommen.
  • Setzen Sie Prioritäten mit Bedacht: Halten Sie sich über die neuesten SAP-Sicherheitshinweise auf dem Laufenden und priorisieren Sie deren Umsetzung anhand der CVSS-Werte. Achten Sie auf außerplanmäßige Sicherheitspatches.
  • Führen Sie regelmäßige Überprüfungen durch: Überprüfen Sie Ihre Systeme regelmäßig, um fehlende Patches zu identifizieren und Ihren etablierten Patch-Management-Prozess zu testen.
  • Automatisieren Sie den Prozess: Ziehen Sie automatisierte Lösungen für das Schwachstellenmanagement wie Onapsis Assess in Betracht, Assess die Erkennung und Priorisierung zu optimieren.

2. Die Gefahr von Standard-Anmeldedaten: Der beste Freund eines Hackers

Viele SAP-Komponenten und sogar kundeneigene Anwendungen werden mit Standard-Benutzernamen und -Passwörtern ausgeliefert. Diese Zugangsdaten sind zwar für die Ersteinrichtung vorgesehen, sind jedoch, wenn sie unverändert bleiben, allgemein bekannt und können von böswilligen Akteuren leicht ausgenutzt werden. Standardbenutzer betreffen SAP-Anwendungen, die sowohl auf dem SAP NetWeaver Application Server ABAP als auch auf dem Java-Server laufen.

Das Risiko von Standard-Anmeldedaten

 Standard-Anmeldedaten bieten einen einfachen Einstiegspunkt für unbefugte Zugriffe und ermöglichen es Angreifern, control wichtige Systemfunktionen und sensible Daten zu erlangen. Einige Notfallzugriffsmechanismen in SAP können bekannte Benutzernamen und Passwörter beinhalten.

So beheben Sie Sicherheitslücken bei SAP-Standardzugangsdaten:

  • Sofort ändern: Ändern Sie bei der Ersteinrichtung des Systems umgehend alle Standardpasswörter.
  • Standardbenutzer sperren: Sperren Sie Standardkonten, wenn diese nicht verwendet werden oder für keinen bestehenden internen Prozess benötigt werden.
  • MFA einrichten: Führen Sie die Multi-Faktor-Authentifizierung (MFA) ein, um die Sicherheit zusätzlich zu erhöhen.
  • Konten überprüfen: Überprüfen Sie regelmäßig die Benutzerkonten und Berechtigungen und entfernen oder deaktivieren Sie nicht mehr benötigte Konten. SAP stellt einen Standardbericht zur Verfügung (RSUSR003), um den Status bekannter Standardbenutzer bei allen Kunden zu überprüfen.

3. Sicherheitslücken in benutzerdefiniertem Code (z. B. SQL-Injection-Angriffe)

SAP-Anwendungen werden in der Regel angepasst, um die Prozesse eines Unternehmens auf die Standard-SAP-Anwendungen abzustimmen. Dabei können Entwickler verschiedene Arten von Sicherheitslücken verursachen, wie beispielsweise Injektionsfehler oder fehlende Berechtigungsprüfungen. Eine sehr bekannte Art von Sicherheitslücke in diesem Bereich ist die sogenannte SQL-Injection, bei der es sich um eine Schwachstelle in Webanwendungen handelt. Angreifer können bösartigen SQL-Code in Eingabefelder einschleusen, wodurch sie möglicherweise Sicherheitskontrollen umgehen und auf Daten in der zugrunde liegenden Datenbank zugreifen, diese ändern oder sogar löschen können.

Risiken durch Sicherheitslücken im benutzerdefinierten SAP-Code: 

Angreifer können Software-Schwachstellen ausnutzen, die benutzerdefinierten Code in SAP-Anwendungen betreffen, was unter Umständen zu einer vollständigen Kompromittierung des Systems führen kann. Im Falle eines erfolgreichen SQL-Injection-Angriffs kann dies schwerwiegende Datenlecks, finanzielle Verluste und Reputationsschäden zur Folge haben.

Bewährte Verfahren zur Absicherung von SAP-Eigenprogrammcode:

  • Sichere Programmierpraktiken: Implementieren Sie sichere Programmierpraktiken, einschließlich Eingabevalidierung und parametrisierter Abfragen, in allen benutzerdefinierten ABAP- und Webanwendungen, die mit der SAP-Datenbank interagieren.
  • Kontinuierliche Tests: Führen Sie regelmäßig Code-Reviews und Schwachstellenscans für alle bekannten Arten von Fehlern mithilfe automatisierter Anwendungssicherheitstests (AST) durch.
  • Entwickler schulen: Entwicklern die für ABAP spezifischen Grundsätze der sicheren Programmierung vermitteln.
  • „Shift Left“: Integrieren Sie sichere Entwicklungspraktiken direkt in Ihre Softwareentwicklungsprozesse (DevSecOps), um zu verhindern, dass Schwachstellen in die Produktion gelangen.

4. Unzureichende Autorisierungs- und Zugriffskontrollen: Insider-Bedrohungen und mehr

Detaillierte Berechtigungskonzepte sind für den Betrieb komplexer und geschäftskritischer Anwendungen von grundlegender Bedeutung, und dies gilt auch für SAP-Anwendungen. Schlecht konfigurierte Rollen und Berechtigungen können jedoch dazu führen, dass Benutzer Zugriff auf Funktionen und Daten erhalten, die über ihren Aufgabenbereich hinausgehen. Dies erhöht nicht nur das Risiko von internem Betrug und Fehlern, sondern kann auch von externen Angreifern ausgenutzt werden, denen es gelingt, Konten mit weitreichenden Berechtigungen zu kompromittieren.

Control in SAP-Systemen: 

Unzureichende Zugriffskontrollen können dazu führen, dass Unbefugte auf Daten zugreifen, diese verändern oder löschen sowie kritische Systemfunktionen ausführen.

So setzen Sie bewährte Verfahren für SAP-Berechtigungen um:

  • Prinzip der geringsten Berechtigungen: Gewähren Sie Benutzern nur die Berechtigungen, die sie zur Erfüllung ihrer spezifischen Aufgaben benötigen.
  • Regelmäßige Überprüfungen: Überprüfen und kontrollieren Sie regelmäßig die Benutzerrollen und Berechtigungen.
  • Control : Stellen Sie sicher, dass Notfall- und temporäre Zugänge ordnungsgemäß definiert und umgesetzt werden, damit jede Anfrage ordnungsgemäß genehmigt, protokolliert und überprüft werden kann.
  • SoD umsetzen: Die Aufgabentrennung (SoD) durchsetzen, um Interessenkonflikte zu vermeiden und das Betrugsrisiko zu verringern.

5. Mangelnde Sicherheit beim Änderungsmanagement

Das SAP-Transportmanagement bezeichnet den Prozess der Übertragung von Änderungen (Konfigurationen, benutzerdefinierter Code usw.) zwischen verschiedenen Systemen in Ihrer SAP-Landschaft (z. B. Entwicklung, Test, Produktion). Wenn dieser Prozess nicht ordnungsgemäß definiert ist und Sicherheitsaspekte nicht berücksichtigt werden, könnten böswillige Änderungen in die Produktionsumgebung gelangen, was zu erheblichen Störungen und Sicherheitsverletzungen führen kann.

Risiken eines mangelhaften oder fehlenden SAP-Änderungsmanagements:

 Böswillige Änderungen könnten in die Produktionsumgebung gelangen und potenzielle Angriffe auf das Unternehmen ermöglichen, darunter auch Finanzbetrug.

So sichern Sie SAP-Transport- und Änderungsprozesse:

  • Sichere Verzeichnisse: Schützen Sie Transportverzeichnisse und Dateisysteme durch geeignete Zugriffskontrollen.
  • Zuverlässige Genehmigungsverfahren: Führen Sie einen strengen Änderungsmanagementprozess mit ordnungsgemäßen Genehmigungsverfahren und unveränderlichen Prüfpfaden ein.
  • Prüfungen automatisieren: Automatisieren Sie Sicherheits- und Compliance-Prüfungen für alle Objekte, die die Change-Management-Pipeline durchlaufen, bevor sie in die Produktion freigegeben werden.

So schützen Sie Ihre Kronjuwelen

Die Absicherung Ihres SAP-Systems ist kein einmaliger Vorgang, sondern ein fortlaufender Prozess, der Wachsamkeit, einen proaktiven Ansatz und ein tiefgreifendes Verständnis potenzieller Bedrohungen erfordert. Ganz gleich, ob Sie Teil eines Unternehmens mit einem ausgereiften SAP-Sicherheitsprozess sind oder gerade erst die ersten Schritte unternehmen: Indem Sie diese fünf wichtigsten Sicherheitsrisiken angehen und die empfohlenen Maßnahmen umsetzen, können Sie Ihre SAP-Umgebung erheblich stärken und die wichtigsten Vermögenswerte Ihres Unternehmens schützen. 

Schließlich ist es für die Aufrechterhaltung einer sicheren SAP-Landschaft von entscheidender Bedeutung, dass Ihre BASIS-Administratoren und SAP-Teams über ein fundiertes Verständnis von Sicherheitsrisiken und -bedrohungen verfügen. Sie können Ihre Anwender weiterhin über Cybersicherheitsbedrohungen und bewährte Verfahren aufklären – mithilfe des kürzlich erschienenen „Cybersecurity for SAP“ | Buch und E-Book – von SAP PRESS.  

Häufig gestellte Fragen zu Sicherheitsrisiken bei SAP

Was sind derzeit die größten Sicherheitsrisiken bei SAP?

Zu den größten Sicherheitsrisiken bei SAP zählen Fehlkonfigurationen, nicht gepatchte Sicherheitslücken, übermäßige Benutzerrechte, unsicherer benutzerdefinierter Code und unzureichende Integrationskontrollen.

Warum ist das Patchen in SAP-Umgebungen so wichtig?

Nicht gepatchte SAP-Systeme sind ein bevorzugtes Angriffsziel. Angreifer nutzen oft bekannte Sicherheitslücken aus, bevor Unternehmen die entsprechenden Patches installieren.

Wie kann ich assess mein SAP-System diesen Risiken ausgesetzt ist?

Führen Sie regelmäßig Schwachstellenanalysen und Konfigurationsüberprüfungen mit speziellen SAP-Sicherheitstools wie Onapsis Assess durch.

Welche Rolle spielt der Benutzerzugriff bei SAP-Risiken?

Eine unsachgemäße Zugriffsverwaltung kann zu einer Ausweitung von Berechtigungen oder internem Missbrauch führen. Die Einführung control rollenbasierten control unerlässlich.

Stellt benutzerdefinierter Code eine echte Sicherheitsbedrohung in SAP-Systemen dar?

Ja. Unsicherer benutzerdefinierter Code kann versteckte Schwachstellen verursachen. Regelmäßige Codeüberprüfungen und automatisierte Scans tragen dazu bei, dieses Risiko zu mindern.

Können Integrationen von Drittanbietern die SAP-Sicherheit gefährden?

Ja. Unzureichend gesicherte Integrationen können zu Einfallstoren werden. Überprüfen Sie alle Schnittstellen und sichern Sie diese durch geeignete Authentifizierung und Verschlüsselung.

Wie kann man neuen SAP-Bedrohungen am besten einen Schritt voraus sein?

Verfolgen Sie die Veröffentlichung von SAP-Patches aufmerksam, abonnieren Sie threat intelligence zu threat intelligence (wie beispielsweise von Onapsis) und sorgen Sie für regelmäßige Sicherheitstests.

Wie trägt Onapsis dazu bei, SAP-Sicherheitsrisiken zu minimieren?

Onapsis bietet automatisiertes Schwachstellenmanagement, Compliance-Überwachung und Bedrohungserkennung, speziell für SAP-Umgebungen entwickelt.

Gelten diese Risiken auch für SAP S/4HANA?

Auf jeden Fall. S/4HANA bringt zwar Verbesserungen mit sich, übernimmt aber auch Risiken aus den Altsystemen. Ein „Security-First“-Ansatz bleibt daher unerlässlich.

Wie oft sollten SAP-Systeme einer Sicherheitsüberprüfung unterzogen werden?

Vierteljährliche Überprüfungen sind als Mindestanforderung zu empfehlen. Bei Systemen mit hohem Risiko oder solchen, die mit dem Internet verbunden sind, können häufigere Überprüfungen erforderlich sein.

Stichworte, , , , , ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen