Cyberangriffe auf kritische SAP-Anwendungen, geschäftskritische Innovationen und komplexe Lieferkettenanwendungen in der Luftfahrt- und Verteidigungsindustrie (A&D) bergen existenzielle Risiken. Ein erfolgreicher Angriff wirkt sich nicht nur auf das Geschäftsergebnis aus: Er kann die nationale Sicherheit gefährden, zum Verlust sensibler militärischer geistiger Eigentumsrechte (IP) führen und den Ausschluss von Regierungsaufträgen zur Folge haben. Darüber hinaus können die regulatorischen Auswirkungen im Zusammenhang mit ITAR, EAR, NIST und den daraus resultierenden Geldstrafen enorm sein. Die A&D-Branche ist zudem besonders anfällig für Angriffe angesichts der Zunahme geopolitischer Konflikte, die laut dem Weltwirtschaftsforum als das größte Risiko für die Welt gelten. Während A&D-Unternehmen ihre Abkehr von Altsystemen durch moderne Initiativen zur digitalen Transformation beschleunigen, stehen sie vor der Herausforderung, sich gegen staatlich geförderte Akteure und Insider-Bedrohungen zu verteidigen und gleichzeitig immer strengere regulatorische Rahmenbedingungen wie CMMC 2.0 zu bewältigen.
Die Auswirkungen auf die Branche im Überblick
- Jedes dritte Unternehmen der Luft- und Raumfahrtbranche gab an, dass die Zahl der Cyberangriffe auf seine Lieferkette im letzten Jahr deutlich zugenommen habe.
- Größte Bedrohung: Der Diebstahl von firmeneigenen Konstruktionsplänen und sensiblen Verteidigungsdaten (ITAR/EAR) ist nach wie vor das Hauptziel fortgeschrittener, hartnäckiger Bedrohungen (APTs).
- Im Jahr 2025 wird die Zahl der von SAP identifizierten Sicherheitslücken im Vergleich zu 2024 um 210 % steigen. Drei der bislang größten SAP-CVE-Einträge (CVE-2017-12637, CVE-2025-31324 und CVE-2025-42999) wurden Anfang 2025 als aktiv in der Praxis ausgenutzt identifiziert.
Wesentliche Risikofaktoren
Staatlich geförderte Bedrohungen und Spionage Die Luft- und Raumfahrtindustrie ist ein Hauptziel für staatliche Akteure, die technologische Rückstände aufholen wollen. SAP-Systeme, in denen Konstruktionsspezifikationen, materialwissenschaftliche Daten und Beschaffungslisten gespeichert sind, stellen hochkarätige Ziele für Industrie- und Militärspionage dar.
Strenge Einhaltung gesetzlicher Vorschriften: Die Aufrechterhaltung der „Betriebsgenehmigung“ erfordert die strikte Einhaltung der DFARS-, ITAR- und EAR-Vorschriften sowie der neuen CMMC 2.0-Standards. Eine unzureichende Absicherung der SAP-Systeme, in denen kontrollierte, nicht klassifizierte Informationen (CUI) verwaltet werden, kann zu Geldstrafen in Höhe von bis zu 100 Millionen Euro und zum Verlust der Auftragsberechtigung führen.
Fragmentierte, globale Lieferketten Moderne Verteidigungsplattformen stützen sich auf Tausende von Zulieferern der Stufen 1 bis 4. Diese Vernetzung führt zu einem Problem des „schwächsten Glieds“, bei dem Schwachstellen im SAP-System eines Zulieferers als Hintertür in das gesicherte Netzwerk des Hauptauftragnehmers dienen können.
Zentrale Herausforderungen
NIS2 Compliance-Lücken: Während die meisten A&D-Unternehmen über eine starke Perimetersicherheit verfügen, haben viele Schwierigkeiten, die von NIST SP 800-171 geforderten detaillierten Kontrollen auf die Anwendungsebene ihrer SAP-Systeme anzuwenden, was eine kritische Audit-Lücke hinterlässt.
Risiken der IT/OT-Konvergenz: Die Integration von SAP-Systemen mit industriellen Control (ICS) in der Fertigung zur Echtzeit-Produktionsüberwachung hat die Angriffsfläche vergrößert. Sicherheitsteams fehlt oft der Überblick darüber, wie eine Schwachstelle in SAP zu einer Störung der Produktionslinie führen könnte. Ein Angriff auf die IT- oder OT-Infrastruktur könnte eine unentdeckte Störung im SAP-System zur Folge haben, was zu Datenverlusten oder Betriebsunterbrechungen führen kann.
Die Komplexität einer sicheren Cloud : Da Behörden auf cloud drängen, migrieren Unternehmen aus dem Luft- und Raumfahrtsektor ihre älteren On-Premise-SAP-Systeme in GovCloud- und SAP Sovereign Cloud . Die Gewährleistung gleichwertiger Sicherheits- und Compliance-Standards während und nach dieser Migration stellt für personell unterbesetzte Teams eine enorme technische Hürde dar. Und damit nicht genug: Im RISE with SAP-Modell der geteilten Verantwortung sorgt SAP für die Sicherheit und den Betrieb der zugrunde liegenden cloud , platform und der zentralen technischen Kontrollen, während die A&D-Unternehmen weiterhin für die Sicherheit ihrer SAP-Anwendungen, Konfigurationen, benutzerdefinierten Codes, Benutzer, Daten und die Einhaltung von Vorschriften verantwortlich sind. Für A&D-Umgebungen bedeutet dies, dass Kunden SAP-spezifische Schwachstellen, Zugriffsrisiken und Bedrohungen in S/4HANA und BTP aktiv überwachen müssen.
Mangelnde Transparenz SAP-Anwendungen waren für den Luft- und Raumfahrtsektor bislang ein blinder Fleck. Während SIEM-Tools die Infrastruktur, Betriebssysteme und Datenbankebenen überwachen, bestand bislang eine Lücke bei der SAP-Anwendungsebene. Heute ist mehr denn je eine maßgeschneiderte Lösung erforderlich, um einen umfassenden Überblick über Ihre Landschaft zu gewinnen und umsetzbare Empfehlungen für das Risikomanagement zu erhalten.
Die Onapsis-Lösung
Ein besserer Ansatz für die SAP-Sicherheit in der Luftfahrt- und Verteidigungsindustrie
Die Absicherung Ihrer geschäftskritischen SAP-Landschaft muss Ihre Agilität nicht beeinträchtigen. Onapsis bietet eine spezielle platform SAP, die speziell auf die hohen Anforderungen der Verteidigungsindustrie zugeschnitten ist.
- Automatisierung von Compliance und Vorschriften: Ordnen Sie SAP-Sicherheitskonfigurationen direkt den CMMC 2.0-, NIST 800-171-Kontrollen und der NIST 800-53-Richtlinie zu und verwandeln Sie so monatelange manuelle Auditvorbereitungen in eine automatisierte, kontinuierliche Überwachung. Onapsis lässt sich zudem direkt mit SAP Baseline verknüpfen, Baseline unsere Kunden ohne zusätzlichen Betriebsaufwand automatisch dazu übergehen können, ihre Systeme anhand der neuesten SAP-Richtlinien zu überprüfen.
- Schutz von geistigem Eigentum und vertraulichen Unternehmensdaten: Verschaffen Sie sich einen umfassenden Überblick darüber, wer auf sensible technische Daten in Ihrem SAP-System zugreift, und erhalten Sie Echtzeit-Benachrichtigungen bei unbefugten Exporten oder verdächtigem Verhalten.
- Beschleunigen Sie die sichere digitale Transformation: Verlagern Sie die Sicherheit nach vorne, indem Sie Onapsis in Ihre DevSecOps-Pipeline integrieren, und stellen Sie so sicher, dass benutzerdefinierter Code und Systemänderungen sicher sind, bevor sie überhaupt in Ihre Produktionsumgebung gelangen. Onapsis hilft Ihnen zudem dabei, etwaige technische Schulden zu erkennen, sodass Sie diese nicht nur identifizieren, sondern auch beheben können.
- Einsatzbereite Informationen: Nutzen Sie die Bedrohungsinformationen von Onapsis Research Labs – dem Team, das die kritischsten Sicherheitslücken bei SAP und Oracle aufgedeckt hat –, um defend für die Luft- und Raumfahrtbranche spezifische Angriffsvektoren defend .
- Proaktive Bedrohungserkennung: Nutzen Sie die branchenweit größte Bibliothek (über 2.500) mit vorgefertigten Erkennungsregeln, die speziell auf die Erkennung von Bedrohungen in SAP-Unternehmensumgebungen zugeschnitten sind. A&D-Organisationen können die Behebung von Problemen beschleunigen, indem sie die Ursachen von Bedrohungen erkennen und klare Anweisungen zu deren Abwehr erhalten.
Case Study: Führender Rüstungskonzern
Weltweit führendes Verteidigungsunternehmen sichert die Migration auf SAP GovCloud ab und erreicht Audit-Bereitschaft
Herausforderung
Ein führender Rüstungskonzern migrierte seine zentrale SAP-Umgebung in eine sichere cloud neue behördliche Anforderungen zu erfüllen. Dem Sicherheitsteam fehlte das erforderliche Fachwissen, um zu überprüfen, ob die neue cloud den DFARS-/ITAR-Standards entsprach, und manuelle Prüfungen führten zu erheblichen Projektverzögerungen.
Lösung
Durch die Implementierung der Platform automatisierte der Auftragnehmer sein Schwachstellenmanagement und seine Compliance-Berichterstattung. So gelang es ihm, vor der Inbetriebnahme über 200 risikoreiche Fehlkonfigurationen in seiner neuen Umgebung zu identifizieren und zu beheben.
Ergebnisse
Verbesserung der Fähigkeiten der Entwickler durch die sofortige Kennzeichnung von Schwachstellen mit konkreten und umsetzbaren Empfehlungen hinsichtlich der Geschäftsrisiken und der Behebung.
- 100 % Transparenz über Risiken auf Anwendungsebene in SAP-Systemen, sowohl in lokalen als auch in cloud .
- 85 % kürzere Vorbereitungszeit für Audits zur Einhaltung der NIST 800-171-Vorgaben.
- Nach der Inbetriebnahme ihrer sicheren cloud wurden in der Produktionsumgebung keine kritischen Sicherheitslücken festgestellt.
- Geringerer Aufwand und Zeitersparnis bei den bisher manuell durchgeführten Code-Prüfungen.