Was ist ERP-Sicherheit?

Von:

6. Oktober 2022

Zuletzt aktualisiert: 20.03.2026

Seit Jahren werden in der Cybersicherheitsbranche die weltweit wichtigsten Unternehmensressourcen oft übersehen: die geschäftskritischen Anwendungen, die wesentliche Funktionen für die größten kommerziellen und staatlichen Organisationen ausführen. Diese ERP-Systeme (Enterprise Resource Planning) steuern alles von Lieferketten und Fertigung bis hin zu Finanzen, Vertrieb und Personalwesen.

Trotz ihrer entscheidenden Bedeutung gerieten geschäftskritische ERP-Anwendungen in der Vergangenheit für den Großteil der Sicherheitsgemeinschaft oft aus dem Blickfeld. Da Angreifer jedoch zunehmend diese finanziellen und betrieblichen Kernbereiche ins Visier nehmen, benötigen Unternehmen eine spezielle ERP-Sicherheitsstrategie, die ihre wertvollsten Vermögenswerte schützt.

Ein Überblick über ERP-Anwendungen

Mit Hunderttausenden von Implementierungen weltweit unterstützen ERP-Anwendungen die wichtigsten Geschäftsprozesse und beherbergen die wichtigsten Informationen der größten Unternehmen der Welt. Die überwiegende Mehrheit dieser großen Unternehmen hat ERP-Anwendungen von einem der beiden Marktführer implementiert: SAP und Oracle.

Unternehmen nutzen diese Anwendungen zur Unterstützung von Geschäftsprozessen wie Gehaltsabrechnung, Finanzwesen, Bestandsverwaltung, Fertigung, Finanzplanung, Vertrieb, Logistik und Rechnungsstellung. Aufgrund ihrer Natur enthalten diese Anwendungen hoche sensible Informationen, darunter Finanzergebnisse, Fertigungsrezepturen, Preisangaben, geistiges Eigentum, Kreditkartendaten sowie personenbezogene Daten (PII) von Mitarbeitern, Kunden und Lieferanten.

Aktuelle Sicherheitslücken bei ERP-Systemen

ERP-Systeme wie SAP und Oracle E-Business Suite (EBS) sind das operative Herzstück eines Unternehmens. Doch trotz der Bedeutung dieser Systeme sind sie oft ungeschützt vor internem Missbrauch und externen Angriffen.

Genau wie jede andere Software sind auch ERP-Anwendungen anfällig für Sicherheitslücken, die durch Patches behoben und gepflegt werden müssen. Unternehmen haben jedoch häufig Schwierigkeiten bei der Installation von Sicherheitspatches, was auf einige spezifische Merkmale zurückzuführen ist: eine komplexe Systemarchitektur, stark angepasste Funktionen, eine Vielzahl von Integrationen sowie ein allgemeiner Mangel an Fachwissen im Bereich ERP-Sicherheit.

Der schiere Umfang und die Komplexität der Absicherung von ERP-Systemen können überwältigend sein. ERP-Umgebungen bestehen aus einer Vielzahl von Elementen, darunter Prozesse und Arbeitsabläufe, Stammdaten-Warehouses, eine zugrunde liegende Recheninfrastruktur und ein großes Speichernetzwerk. Darüber hinaus tauschen sie Daten mit Hunderten anderer IT-Anwendungen innerhalb und außerhalb des Unternehmens aus. Vielen Unternehmen fehlt der Überblick über diese gemeinsam genutzten Anwendungen, um zu verstehen, was in ihrem ERP-System vor sich geht.

All diese Faktoren zusammen machen es für ERP-Kunden schwierig, in Bezug auf Sicherheitslücken, sichere Konfigurationen und kritische Patches auf dem neuesten Stand zu bleiben. Leider bedeutet dies, dass viele Unternehmen unwissentlich äußerst unsichere ERP-Anwendungen einsetzen.

Jetzt ansehen: Der Stand der SAP-Sicherheit 2025

Die sich wandelnde Bedrohungslage im ERP-Bereich

Angesichts der großen Menge an sensiblen Daten und der Vielzahl ausgenutzter Sicherheitslücken ist es nicht verwunderlich, dass Angreifer es auf diese ERP-Anwendungen abgesehen haben. Die Notwendigkeit von ERP-Sicherheit war noch nie so dringend wie heute. Angreifer verfügen über das Fachwissen, um ungeschützte geschäftskritische Anwendungen zu identifizieren und auszunutzen. SAP und Onapsis fanden Hinweise auf über 300 automatisierte Angriffe, bei denen sieben SAP-spezifische Angriffsvektoren genutzt wurden, sowie auf über 100 manuelle Angriffe durch eine Vielzahl von Angreifern. Das Zeitfenster für die Verteidiger ist klein, und es ist offensichtlich, dass Cyberangreifer über fundierte Kenntnisse von ERP-Anwendungen verfügen. Onapsis Research Labs stellten fest, dass SAP-Anwendungen innerhalb von 72 Stunden nach der Veröffentlichung eines Patches als Angriffswaffe genutzt werden. Sie zielen aktiv auf ungesicherte SAP-Anwendungen ab und nutzen diese durch verschiedene Taktiken, Techniken und Verfahren (TTPs) aus. 

Die geschäftlichen Auswirkungen ungesicherter ERP-Systeme

Wenn ERP-Systeme nicht ordnungsgemäß gesichert sind, sind sie sowohl für Bedrohungen durch Insider als auch für Angriffe von außen anfällig. Wichtige Unternehmensressourcen können gefährdet sein, und schwerwiegende Verstöße gegen Compliance-Vorschriften können unentdeckt bleiben.

Da ERP-Systeme die wertvollsten Daten eines Unternehmens enthalten, gehören zu den am häufigsten angegriffenen Datenkategorien Vertriebs-, Personal- und Finanzdaten sowie geistiges Eigentum. Geraten solche Daten in die falschen Hände oder werden zur Erpressung von Lösegeld zurückgehalten, können die betrieblichen, finanziellen und rufschädigenden Folgen verheerend sein.

Exploits, die auf Fehlkonfigurationen und Sicherheitslücken abzielen, ermöglichen es Angreifern, übliche IT-Sicherheitsmaßnahmen zu umgehen und die vollständige Kontrolle über anfällige Systeme zu erlangen. Durch eine erfolgreiche Ausnutzung kann ein Angreifer Zugriff auf die ERP-Umgebung erlangen und böswillige Aktivitäten durchführen, darunter:

  • Persönliche Daten von Mitarbeitern, Kunden und Lieferanten stehlen
  • Finanzdaten lesen, ändern oder löschen
  • Bankverbindung ändern 
  • Einkaufsprozesse verwalten
  • Störung kritischer Geschäftsabläufe durch Datenmanipulation, vollständige Abschaltung von Prozessen oder den Einsatz von Ransomware
  • Spuren, Protokolle und andere Dateien löschen oder bearbeiten

Die große Bandbreite an möglichen digitalen ERP-Daten ist zudem von entscheidender Bedeutung für viele wichtige Compliance-Vorgaben, darunter CCPA, DSGVO,SOX, PCI-DSS sowie die NIST- und CMMC-Rahmenwerke. Die am häufigsten kompromittierten Informationen unterliegen im heutigen Geschäftsumfeld den strengsten Vorschriften – besonders besorgniserregend ist dabei die Beliebtheit von Vertriebs- und Finanzdaten sowie personenbezogenen Daten. Der Schutz der Integrität dieser regulierten Daten ist gesetzlich vorgeschrieben.

Sechs Schritte zur Absicherung Ihrer ERP-Systeme 

1. Einführung eines risikobasierten Programms zum Schwachstellenmanagement

Herkömmliche Tools wie Firewalls und Endpoint-Scanner sind zwar unverzichtbar, doch während sie Probleme auf Systemebene abdecken, schützen sie die ERP-Anwendungsschicht selbst nicht. Eine Schwachstelle im zugrunde liegenden Betriebssystem mag zwar erkannt werden, doch ein Problem im benutzerdefinierten SAP-Code oder eine Schwachstelle in der Anwendungsschicht der Oracle E-Business Suite (EBS) bleibt unsichtbar.

Mit modernen Tools für das Schwachstellenmanagement erhalten Sicherheitsteams einen umfassenden Überblick über alle Ressourcen in der gesamten IT-Umgebung. So können sie Systeme inventarisieren, versteckte Schwachstellen aufdecken und die tatsächlichen geschäftlichen Auswirkungen einer Sicherheitslücke einschätzen. Ein risikobasierter Prozess zum Schwachstellenmanagement, der Benutzer, Aktivitäten und Einstellungen auf Anwendungsebene überwacht, spart viel Zeit, da sich die Teams so auf die wichtigsten, ausnutzbaren Risiken konzentrieren können.

2. Interne und externe Bedrohungen kontinuierlich überwachen

Sicherheitsteams setzen in der Regel mehrschichtige Sicherheitsstrategien um und implementieren Sicherheitsmaßnahmen auf Perimeter-, Netzwerk- und Endgeräteebene. Herkömmliche NDR- (Network Detection and Response) oder SIEM-Tools (Security Information and Event Management) sind jedoch nicht speziell auf die Protokolle von ERP-Anwendungen ausgelegt. Unternehmen müssen daher spezielle Tools zur Erkennung und Bekämpfung von Bedrohungen einsetzen, die kontinuierlich auf kompromittierte ERP-Anmeldedaten, ungewöhnliches Benutzerverhalten und aktive Angriffsversuche überwachen.

3. Halten Sie Ihre Software auf dem neuesten Stand

ERP-Systeme sollten regelmäßig aktualisiert werden. Indem Sie Ihre Basissoftware auf dem neuesten Stand halten, stellen Sie sicher, dass bekannte Fehler und architektonische Schwachstellen nicht von Angreifern ausgenutzt werden können, um Informationen preiszugeben oder zu stehlen.

4. Rechtzeitiges Patch-Management umsetzen

Angesichts der Häufigkeit von Patch-Veröffentlichungen, der Komplexität des Patch-Prozesses und der enormen Größe von ERP-Anwendungslandschaften sehen sich Unternehmen oft mit einem wachsenden Rückstand bei Sicherheitspatches konfrontiert. Ein manueller Patch-Management-Prozess ist äußerst fehleranfällig. Ohne einen automatisierten Prozess ist es unglaublich schwierig, festzustellen, auf welchen Systemen Patches fehlen, die kritischsten Korrekturen zu priorisieren und zu überprüfen, ob die Patches korrekt installiert wurden.

5. Benutzerdefinierten Code sichern

Mit herkömmlichen Tools ist es mühsam sicherzustellen, dass interne Entwickler sicheren Code schreiben. Benutzerdefinierter Code wird über Transporte in die ERP-Umgebung eingebracht, was die Komplexität erheblich erhöht. Unternehmen benötigen eine Möglichkeit, um zu überprüfen, ob diese Transporte keine Sicherheits-, Leistungs- oder Compliance-Probleme in die Produktionsumgebung verursachen. Die Implementierung einer Lösung für Anwendungssicherheitstests ersetzt zeitaufwändige manuelle Codeüberprüfungen und ermöglicht es Unternehmen, Sicherheit direkt in die DevSecOps-Pipeline zu integrieren.

6. Gezielte Threat Intelligence nutzen

Aktuelle, spezialisierte threat intelligence liefern wichtige Informationen über die derzeit von Angreifern eingesetzten TTPs und ermöglichen es Unternehmen so, Schutzmaßnahmen bereits vor der Veröffentlichung von Patches zu ergreifen. threat intelligence umsetzbare threat intelligence Sicherheitsteams auf neue Ransomware-Kampagnen threat intelligence und erhalten den notwendigen Kontext, um wirksame Sicherheitsmaßnahmen zu entwickeln.

ERP-Sicherheitslösungen: Die Onapsis Platform 

Die Absicherung komplexer SAP- und Oracle-Landschaften erfordert oft den Übergang von manuellen Audits und generischen Netzwerktools zu einer automatisierten, anwendungsspezifischen Überwachung. Speziell entwickelte Plattformen lösen dieses Problem, indem sie die Arbeitslast in verschiedene Funktionsbereiche aufteilen.

So verteilt die Platform diese technischen Aufgaben beispielsweise auf drei spezialisierte Module:

  • Schwachstellenmanagement (Onapsis Assess): Dieses Modul scannt die Anwendungsebene, um fehlende Patches, Systemkonfigurationsfehler und Autorisierungslücken zu identifizieren, wodurch manuelle Systemzustandsprüfungen überflüssig werden.
  • Bedrohungserkennung (Onapsis Defend): Anstatt sich auf allgemeine Netzwerküberwachungslösungen zu verlassen, analysiert dieses Tool ERP-spezifische Anwendungsprotokolle auf verdächtige Aktivitäten und lässt sich in bestehende SIEM-Systeme des Unternehmens integrieren, um Echtzeit-Warnmeldungen bereitzustellen.
  • Anwendungssicherheitstests (Onapsis Control): Diese Lösung lässt sich direkt in die DevSecOps-Pipeline integrieren, um benutzerdefinierten Code und Datenübertragungen zu überprüfen und sicherzustellen, dass Compliance- und Sicherheitsprobleme erkannt werden, bevor sie die Produktionsumgebung erreichen.

Letztendlich ist die Absicherung einer ERP-Landschaft eine zentrale geschäftliche Anforderung. Indem sie die spezifischen Schwachstellen dieser Plattformen erkennen und eine umfassende Sicherheitsstrategie umsetzen, können Unternehmen ihre sensibelsten Daten schützen, die Einhaltung gesetzlicher Vorschriften gewährleisten und den kontinuierlichen Betrieb ihrer kritischen Geschäftsprozesse in einem zunehmend bedrohlichen Umfeld sicherstellen.

Häufig gestellte Fragen zur ERP-Sicherheit

Was ist ERP-Sicherheit?

Unter ERP-Sicherheit versteht man die spezifischen Vorgehensweisen, Prozesse und Tools, die darauf ausgelegt sind, Enterprise-Resource-Planning-Systeme vor unbefugtem Zugriff, Datenlecks und Betriebsstörungen zu schützen. Im Gegensatz zur allgemeinen IT-Sicherheit konzentriert sie sich stark auf die Anwendungsebene, um benutzerdefinierten Code, komplexe Benutzerberechtigungen und Konfigurationen auf Systemebene zu sichern.

Warum sind ERP-Anwendungen so häufig das Ziel von Cyberangriffen?

Diese Systeme enthalten die sensibelsten Informationen eines Unternehmens, darunter Finanzdaten, geistiges Eigentum und personenbezogene Daten (PII). Ein erfolgreicher Angriff ermöglicht es Angreifern, Finanzbetrug zu begehen, streng regulierte Daten zu stehlen oder Ransomware einzusetzen, um kritische Produktions- und Lieferkettenprozesse lahmzulegen.

Inwiefern unterscheidet sich ERP-Sicherheit von herkömmlicher Netzwerksicherheit?

Herkömmliche Sicherheitstools wie Firewalls und Lösungen zur Endpunktüberwachung schützen den Perimeter und die zugrunde liegenden Betriebssysteme. Die ERP-Sicherheit zielt speziell auf die Anwendungsebene ab. Sie identifiziert komplexe Fehlkonfigurationen, anfälligen benutzerdefinierten Code und fehlende anwendungsspezifische Patches, die von herkömmlichen Netzwerküberwachungssystemen einfach nicht erkannt werden können.

Was sind die größten Herausforderungen bei der Absicherung von SAP- und Oracle-Umgebungen?

Die enorme Größe und Komplexität dieser Umgebungen machen ein manuelles Schwachstellenmanagement unglaublich schwierig. Unternehmen haben ständig mit einer hohen Anzahl notwendiger Sicherheitspatches, stark angepasstem internem Code und komplexen Benutzerautorisierungsmodellen zu kämpfen. Diese Faktoren führen oft zu einem gefährlichen Rückstau an ungepatchten Schwachstellen.

Inwiefern wirken sich ERP-Systeme auf die Einhaltung gesetzlicher Vorschriften aus?

Da ERP-Plattformen unternehmensinterne Finanztransaktionen verarbeiten und personenbezogene Daten von Mitarbeitern und Kunden speichern, fallen sie unmittelbar unter den Geltungsbereich wichtiger Compliance-Vorgaben wie SOX, DSGVO und PCI-DSS. Eine unzureichende Absicherung der ERP-Anwendungsschicht kann zu wesentlichen Schwachstellen bei Finanzprüfungen und zu erheblichen behördlichen Sanktionen wegen Datenschutzverletzungen führen.

Stichworte, , ,
Über den Autor
Porträtfoto von David DAprile

David D'Aprile

Als Vice President of Product Marketing bringt David D’Aprile über 20 Jahre Erfahrung in der Förderung von transformativem Wachstum und disruptiven Innovationen bei Onapsis ein. Er ist verantwortlich für die globale Produktmarketingstrategie, die die Führungsposition von Onapsis auf dem SAP-Sicherheitsmarkt festigt. Vor seinem Eintritt bei Onapsis leitete David D’Aprile die Markteinführungsstrategien für marktführende KI-Technologien und hatte verschiedene Führungspositionen bei Unternehmen wie Dell EMC, RSA und Cisco inne. Seine Expertise umfasst Produktmanagement, Marketing und strategische Allianzen und hilft Onapsis dabei, die wichtigsten Herausforderungen im Bereich Schwachstellenmanagement und Compliance, denen moderne Unternehmen gegenüberstehen, effektiv zu bewältigen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen