Geschäftskritische SAP-Systeme geraten zunehmend ins Visier von Cyberkriminellen mit tiefem SAP-Know-how. Dies haben der Cybersicherheitsanbieter Onapsis und SAP bei einer globalen Bedrohungsanalyse festgestellt. Sie warnen die Unternehmen vor ausgeklügelten SAP-Angriffsmethoden – und raten dringend zu vorausgreifenden Sicherheitsmaßnahmen.
Angesichts der wachsenden SAP-Bedrohungslage raten SAP-Sicherheitsexperten den Unternehmen dringend zu drei wichtigen Schutzmaßnahmen.
Die Angreifer gezielt anzulocken und dann zu beobachten, welche Techniken und Verfahren sie nutzen, um Zugriff auf ein SAP-System zu erhalten: Dies war das Ziel des gemeinsamen „Threat Intelligence Reports“ von Onapsis und SAP. Dazu bauten die Sicherheitsforscher ein eigenes Sensornetzwerk auf, das weltweit verteilte „Honeypots“ (Honigtöpfe) zum ersten Mal im SAP-Umfeld nutzt. Konkret wurden mehrere SAP-Systeme absichtlich mit Schwachstellen versehen und im Internet zugänglich gemacht. Dann wurden diese „Honeypots“ mehrere Monate lang rund um die Uhr beobachtet. Dabei kristallisierten sich alarmierende Erkenntnisse zur aktuellen SAP-Bedrohungslage heraus.
Ausgewiesene SAP-Kenner am Werk
Insgesamt wurden mehr als 300 erfolgreiche Angriffe registriert, die sich ungepatchte SAP-Sicherheitslücken und fehlerhafte Systemeinstellungen zunutze machten. In über 30 Prozent der Fälle kam es nach wenigen Stunden zu einem Hands-on-Keyboard-Login. Dabei gingen zahlreiche Attacken von weitverbreiteten IT-Infrastrukturen und koordinierten Gruppen in verschiedenen Ländern aus. Viele Unternehmen meinen heute noch immer, dass Angriffe eine hohe Komplexität erfordern oder das notwendige Know-how bei den Angreifern nicht vorhanden ist. Das ist ein Trugschluss.
Vielfach ließ das Vorgehen der Täter eindeutig auf umfassendes SAP-Wissen schließen. So gelang es einigen Angreifern, vorhandene SAP-Schwachstellen auszunutzen, ohne dass bereits ein zugehöriger Public Exploit verfügbar war. Sie besitzen also ausreichendes Technologie-Know-how, um die erforderlichen Exploits selbst entwickeln zu können. Profunde Fachkenntnisse und Raffinesse bewiesen auch die Täter, die zuerst über eine Schwachstelle in ein SAP-System eindrangen und diese dann mit dem zugehörigen Patch verschlossen. Damit konnten sie verhindern, dass sich andere Cyberkriminelle Zugang zur Anwendung verschaffen. Zugleich wurde jeder Hinweis auf die zuvor bestehende Sicherheitslücke entfernt: Die Angreifer konnten sich vollkommen ungestört im kompromittierten SAP-System bewegen. Diese Vorgehensweisen selbst sind im IT-Sicherheitsumfeld nicht neu, doch wurden sie erstmalig im SAP-Umfeld nachgewiesen.
Kontinuierlich suchen, blitzschnell zuschlagen
Auch die Häufigkeit der Angriffsversuche überraschte die Sicherheitsforscher von Onapsis und SAP. Diese lässt sich unter anderem damit erklären, dass viele Cyberkriminelle ganze Verzeichnisse mit SAP-Systemen aufbauen, die im Internet zugänglich sind. Um die Listen aktuell zu halten, scannen sie das Internet permanent nach neuen SAP-Anwendungen. Dieses Vorgehen garantiert einen großen Angriffsradius. Wird nämlich eine neue Exploit-Beschreibung veröffentlicht, wenden sie diese automatisiert auf den gesamten Index an. So schaffen sie es, die entsprechenden SAP-Systeme mit den zugehörigen Schwachstellen per einfachem Knopfdruck zu kompromittieren.
Manche Angreifer legten ein erschreckendes Tempo vor. So gab es Fälle, in denen das Zeitfenster zwischen der Veröffentlichung eines SAP-Sicherheitspatches und der Ausnutzung der zugehörigen Schwachstelle gerade einmal 72 Stunden betrug. Wurden komplett neue ungeschützte SAP-Systeme in der Cloud bereitgestellt, gelang es den Angreifern im kürzesten Fall innerhalb von nur drei Stunden, diese zu entdecken und zu kompromittieren. Auffällig war, dass gerade die Cloud-Plattformen großer IaaS-Anbieter ständig nach verwundbaren SAP-Systemen durchsucht wurden.
Gefährliche Angriffe – schwerwiegende Folgen
Je versierter die Angreifer, desto gefährlicher die Angriffe. Anders als die „Scriptkiddies“, die sich amateurhaft in fremde Systeme einhacken, gingen viele Bedrohungsakteure äußerst professionell vor, um ihren Einfluss zu vergrößern. So wurden zahlreiche Angriffsversuche registriert, bei denen mehrere SAP-Schwachstellen kombiniert ausgenutzt wurden. Ziel war es, eine Rechteausweitung von der Anwendungsebene auf das Betriebssystem zu erreichen. In anderen Fällen wurde auf diesem Weg versucht, mehrere SAP-Systeme in einem Zug zu kompromittieren.
Gelingt ein Angriff, können die Täter zahlreiche schädliche Aktivitäten ausführen. Prinzipiell gehen die Risiken jedoch nicht nur von externen Angreifern aus – auch die eigenen Mitarbeiter kommen als Datendiebe, Wirtschaftsspione und Saboteure in Betracht. In jedem Fall gilt: Werden vertrauliche Informationen gestohlen, unerlaubte Finanztransaktionen ausgelöst oder ganze Geschäftsprozesse gestoppt, können den Unternehmen hohe wirtschaftliche und Reputations-Verluste entstehen. Hinzu kommen Audit- und Compliance-Risiken, die möglicherweise hohe Bußgelder und rechtliche Schritte nach sich ziehen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Dringend Schutzmaßnahmen empfohlen
Angesichts der wachsenden SAP-Bedrohungslage raten die Onapsis- und SAP-Sicherheitsexperten den Unternehmen dringend zu folgenden Schutzmaßnahmen:
1. Systematisches SAP-Patchmanagement Unmittelbar nach der monatlichen Veröffentlichung der Sicherheitsupdates durch SAP sollte jedes Unternehmen eine Patch-Priorisierung vornehmen und kritische Patches sofort einspielen. Dafür ist es erforderlich, die Zuständigkeiten und Verantwortlichkeiten zu klären und geeignete Prozesse zu etablieren.
2. Automatische Gefährdungsanalysen Um SAP-Sicherheitslücken im Bereich von Systemkonfigurationen, Eigenentwicklungen und Transporten aufzuspüren, zu beheben und zu vermeiden, empfiehlt sich der Einsatz spezieller Analyse- und Bewertungstools. Diese sollten auch offizielle Sicherheitsrichtlinien und Empfehlungen berücksichtigen, wie von SAP, der Deutschsprachigen SAP-Anwendergruppe (DSAG) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
3. Zeitnahe SAP-Sicherheitskontrollen Kommt es trotz aller proaktiven Schutzmaßnahmen zu einem Angriffsversuch, muss dieser rasch erkannt und bewertet werden. Vielfach sind geeignete Gegenmaßnahmen zu ergreifen. Doch reichen die üblichen SIEM-Systeme (Security Information and Event Management) zur Überwachung von SAP-Anwendungen nicht aus, da sie die SAP-Logdateien nicht auswerten können. Sie sollten daher um spezielle Werkzeuge für gezielte SAP-Sicherheitskontrollen ergänzt werden.
* Der Autor Frederik Weidemann ist Experte für Cybersicherheit und Chief Technical Evangelist bei Onapsis, wo er Innovationen vorantreibt. In seiner 15-jährigen Berufslaufbahn hat er sich auf ERP-, SAP- und Cloud-Sicherheit fokussiert und zahlreiche Zero-Day-Schwachstellen in geschäftskritischen Anwendungen gefunden. Er ist Mitautor des ersten Buchs über sichere ABAP-Programmierung und war weltweit auf über 50 sicherheitsbezogenen Konferenzen wie RSA und Troopers mit Fachvorträgen vertreten.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/56/a6/56a6cbd330270db46b739e8e67a3bae9/0127223376v1.jpeg "Nur ein DSGVO-konformes, transparentes und von Multi-Cloud-kompatibles europäisches Cloud-Angebot kann eine zukunftssichere und unabhängige IT sicherstellen. (Bild: T-Systems)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f7cc26f7408cedf841ef7b8107413/0129170884v1.jpeg "Positive Bilanz: Die starke Nachfrage nach Cloud- und ERP-Lösungen trieb 2025 Umsatz und Betriebsergebnis von SAP. (Bild: SAP SE)")
:quality(80)/p7i.vogel.de/wcms/df/fa/dffa6a55b202c1f0a15862734e0cbeca/0128866846v1.jpeg "Die Digital Office Conference 2026 am 18. März in Berlin: Innovation, Verantwortung und digitale Souveränität im Fokus. (Bild: Bitkom)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/0d/260d4ace38f8375d654c966e8b4ec1f2/0128861157v1.jpeg "Die Cloud-Branche steht 2026 vor entscheidenden Umbrüchen. Welche Trends sind für Cloud-Landschaften zu erwarten? (Bild: © FATEMA3.0 - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/da/e6/dae656cdda32066f36e03455976a60f4/0128697357v1.jpeg "Vorinstallierte Browser sind praktisch, aber nicht immer die beste Wahl. Worauf Nutzer bei Datenschutz, Features und KI achten sollten – und wie leicht ein Wechsel gelingt. (Bild: © Sentavio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/10/fd10e4216843219ced118a6c8f6f73f8/0128768369v1.jpeg "Deutsche zeigen ein konservativeres Speicherverhalten und greifen lieber auf externe Datenträger wie Festplatten zurück, statt die Cloud zu nutzen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/92/20/9220b5750cce698e3679844fa5d7300d/0127447177v1.jpeg "Onapsis und Microsoft bündeln ihre Kräfte, indem sie ein integriertes SAP-Sicherheitsmonitoring für schnellere SOC-Reaktionen zur Verfügung stellen. Dieses soll mehr Überblick und schnelles Handeln ermöglichen. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1a/4d/1a4d787c3fa4e6a1b86e100f3d0c2b34/0125497186v2.jpeg "Die Migration ihrer ERP-Landschaften in die Cloud bietet Unternehmen immense Chancen für Digitalisierung und Effizienzsteigerung, aber gleichzeitig entstehen dadurch auch neue Angriffsflächen. (Bild: © putilov_denis - stock.adobe.com)")