SAP-Anwendungen live hacken und verteidigen: Clean Core, Dark Shadows

10:00 Uhr EDT

28. Mai 2026

Da Unternehmen zunehmend eine „Clean Core“-Strategie verfolgen, hat sich die Angriffsfläche der SAP-Landschaft in zwei unterschiedliche Bereiche aufgeteilt: die rasante Innovation bei SAP BTP und die tief verwurzelte Komplexität von benutzerdefiniertem ABAP-Code. Die Sicherheit kann es sich nicht länger leisten, diese Bereiche als blinde Flecken zu behandeln. Eine einzige übersehene Schwachstelle in einer BTP-Anwendung kann zum Verlust Ihrer sensibelsten Daten führen; eine einzige fehlerhafte Zeile in ABAP kann einem böswilligen Entwickler die Schlüssel zum Königreich verschaffen.

In dieser Folge stellen wir zwei hochriskante Bedrohungsszenarien vor, die auf realen Vorfällen basieren und auf die sich jeder SAP-Kunde vorbereiten muss:

  • Der BTP-Blindspot: Wir zeigen, wie ein harmloser Entwicklerfehler in einer benutzerdefinierten BTP-Anwendung – beispielsweise ein unsicherer API-Endpunkt oder eine fehlerhafte Authentifizierungsprüfung – zu einer offenen Tür zum Herzstück des Unternehmens wird. Sehen Sie, wie ein Angreifer diese Schwachstelle ohne jegliche Anmeldedaten ausnutzt, um sensible Unternehmensdaten unbemerkt abzugreifen.
  • Das Trojanische Pferd: Wir tauchen tief in den ABAP-Kern ein, um zu zeigen, wie ein böswilliger Entwickler oder Auftragnehmer die Standardprüfungen umgehen und eine ausgeklügelte Hintertür in ein ABAP-Programm einschleusen kann. Durch das Einfügen weniger Zeilen bösartigen Codes verschafft sich der Angreifer SAP_ALL-Rechte, wodurch er Finanzdaten und Stammdaten in der Produktionsumgebung ändern kann, während er die Compliance-Kontrollen umgeht.

Sobald Sie verstanden haben, wie die Systeme angegriffen werden können, müssen Sie wissen, wie Sie dies verhindern können. Wir werden folgende Themen behandeln: 

  • So erkennen Sie Sicherheitslücken in BTP-Code bereits beim Erstellen und verhindern, dass unbeabsichtigte Sicherheitsrisiken überhaupt den Schreibtisch des Entwicklers verlassen.
  • So nutzen Sie die automatisierte Überprüfung von ABAP-Transporten, um zu verhindern, dass schädliche ABAP-Programme jemals in Ihre Produktionsumgebung gelangen.
  • So führen Sie automatisierte Scans von Code „im Ruhezustand“ durch, um versteckte Hintertüren und Schwachstellen aufzudecken, die möglicherweise schon seit Jahren in Ihrem System schlummern.

Machen Sie mit und erfahren Sie, wie Sie Ihren Clean-Core-Strategie Strategie sichern können, indem Sie sowohl anfälligen als auch bösartigen Code im gesamten BTP- und ABAP-Spektrum beseitigen.

Weitere Folgen entdecken

Der SAP-Zero-Day, der alles veränderte – On-Demand
Hacking und Verteidigung von SAP-Anwendungen – Folge III erscheint in Kürze

Referenten

Juan (JP) Perez-Etchegoyen

CTO und Mitbegründer

Onapsis

Sind Sie bereit, Ihre Sicherheitslücke bei SAP zu schließen?

Wir zeigen Ihnen, wie einfach es sein kann, Ihre Geschäftsanwendungen zu schützen.

Kontaktieren Sie uns