Ein veröffentlichter Exploit, ein paar Zeilen Code – und plötzlich stehen zig ERP-Landschaften unter Beschuss. Die Angriffe rund um CVE-2025-31324 zeigen eindrücklich, wie schnell Schwachstellen zu massenhaften Kampagnen werden können und warum klassische Schutzmechanismen dafür nicht mehr ausreichen.
Die Zero-Day-Schwachstelle entwickelte sich zu einer globalen Exploit-Welle und verdeutlicht die Gefahr automatisierter Angriffe auf ERP-Systeme.
Sicherheitslücken in ERP-Systemen werden heute nicht mehr nur punktuell ausgenutzt, sondern in automatisierte Angriffsabläufe eingebettet, die in kurzer Zeit enorme Reichweite erzielen. Angreifer bauen initiale Kompromittierungen zu langfristigen Zugriffsmöglichkeiten aus und nutzen diese als Basis, unter anderem für Datendiebstahl, Manipulation oder weitere Ausbreitung. Für Unternehmen bedeutet das, dass Reaktionsfenster immer kürzer und die Anforderungen an Monitoring und Incident Response deutlich höher werden.
Was ist passiert? Eine Timeline von CVE-2025-31324
Im März 2025 nutzen Akteure erstmals eine neue Schwachstelle in „SAP NetWeaver“ aus – ein Zero-Day-Angriff. Bis zur Bereitstellung des Patches im April hatten bereits zahlreiche Kompromittierungen stattgefunden und Angreifer nutzten zuvor installierte „Webshells“ weiterhin aus, sodass die Bedrohung trotz Patch weiter bestehen blieb. Erst Wochen später, im August, folgte eine öffentliche Exploit-Phase, ausgelöst durch die Veröffentlichung eines lauffähigen Exploit-Skripts in einem Telegram-Channel, die eine zweite Angriffswelle nach sich zog.
Diese Abfolge – von der stillen Zero-Day-Phase bis zur öffentlichen Exploit-Verbreitung – macht CVE-2025-31324 einzigartig und gleichzeitig zu einem Lehrbeispiel für moderne ERP-Angriffe: Es zeigt, wie lange ein Risiko bestehen kann, selbst wenn ein Patch existiert, und wie schnell eine solche Dynamik zur globalen Bedrohung wird.
Überblick in Kürze: die Mechanik hinter dem Exploit
Wichtig aus Sicht von Erkennungs- und Abwehrteams war in diesem Fall die Kombination aus folgenden Eigenschaften: das Vorhandensein eines öffentlich dokumentierten, lauffähigen Exploits; der Einsatz von Webshells ab dem Zero-Day-Angriff; und ein modularer Angriffsablauf, bei dem die erste Kompromittierung schnell in lateralere Aktivitäten und Datendiebstahl übergehen kann. Diese Merkmale erschweren klassische Defensivstrategien, die sich primär auf Signaturen, IP-Blocklisten oder punktuelle Patching-Zyklen stützen.
Der Exploit nutzte eine Java-Deserialisierungslücke, die über einen Upload-Pfad ausgenutzt wurde. Angreifer konstruierten serialisierte Objekte, die beim Deserialisieren schädlichen Code auslösten. Es bot zwei Betriebsmodi: einen Modus zur einmaligen Befehlsausführung (–command) für schnelle Prüfungen und einen Modus zum Ablegen einer Webshell (–dropshell) für persistente Kontrolle. Praktische Beobachtungen zeigten darüber hinaus mehrere Webshell-Varianten, darunter Implementierungen mit verschlüsselter Kommunikation und Mechanismen für dynamisches Class-Loading, was die Erkennung erschwerte. Ebenfalls dokumentiert wurden wiederkehrende Upload-Versuche an einen spezifischen Upload-Endpunkt. Diese technischen Details stammen aus der forensischen Analyse der Onapsis-Forschungsteams.
Technik und Ablauf sind typisch: Ein initialer, oft automatisierter Scan erkennt verwundbare Endpunkte. Das veröffentlichte Exploit-Tool ermöglicht danach einfachen Zugriff für eine große Zahl an Angreifern. Als nächster Schritt kommt meist die Ablage einer Webshell, um Persistenz zu schaffen und Folgeaktionen zu ermöglichen.
Erstens die Verfügbarkeit eines funktionierenden Exploits für eine nicht triviale Schwachstelle;
Zweitens die schnelle Automatisierung und Verbreitung dieses Exploits;
Drittens die gezielte Verschleierung der Angriffe über anonymisierende Netzwerke.
Zusammengenommen erhöhen diese Faktoren die Angriffsintensität unmittelbar nach Exploit-Veröffentlichung und verkleinern die Zeitfenster für erfolgversprechende Abwehrmaßnahmen drastisch. CVE-2025-31324 ist deshalb nicht nur ein Einzelfall, sondern ein Indikator für eine sich verändernde Exploit-Ökonomie: Angriffe werden zunehmend modular, reproduzierbar und quasi „user friendly“, so dass selbst Angreifer mit begrenzter Spezialkenntnis effektiv operieren können.
Parallel dazu ändert sich die Infrastruktur: Cloud- und Managed-ERP-Modelle verschieben Verantwortlichkeiten, die nicht jedem Kunden klar sind. Das bietet Angreifern ideale Angriffspunkte.
Der Fall lehrt daher: Es reicht nicht mehr, Schwachstellenlisten zu beobachten. Unternehmen müssen verstehen, wie Exploits genutzt, wie sich Angreifer dauerhaft Zugang verschaffen und später lateral vorgehen. Nur so lassen sich die richtigen Erkennungs- und Reaktionsketten definieren.
Was Security- und ERP-Teams beachten sollten:
Aus den Beobachtungen lassen sich klare Empfehlungen für operative Teams ableiten:
1. Vollständige und aktuelle Inventarisierung: Jedes Modul, auch jede Test- und Entwicklungsinstanz sowie jede mitgelieferte Komponente muss bekannt und bewertet sein. Verwaiste Add-ons und selten genutzte Module sind bevorzugte Ziele. Sie sollten offengelegt und, falls nicht benötigt, entfernt oder zumindest isoliert werden.
2. Konsequentes Monitoring: SAP-spezifische Logs und Ereignisse müssen lückenlos ausgewertet und verstanden werden. Nur wenn Datenübermittlungen, ABAP-Änderungen, ungewöhnliche Tabellenzugriffe und Upload-Events in die Beurteilung eingehen, lassen sich frühe Kompromittierungszeichen erkennen.
3. Schnelle Priorisierung: Nach Veröffentlichung eines Exploits beginnt ein Wettlauf. Eine risikobasierte Priorisierung und beschleunigte Patch-Workflows sind deshalb unerlässlich. Teams benötigen Mechanismen und Lösungen, die kritische Lücken automatisiert erkennen, priorisieren und konkrete Handlungsempfehlungen liefern.
4. Proaktive Scans: Gezieltes Suchen nach „JSP/Servlet“-Ablagen, ungewöhnlichen POST-Requests oder neu angelegten Admin-Konten identifiziert Kompromittierungen, die sonst leicht übersehen werden.
5. Automatisierung als Skalierungshebel: Angesichts des globalen Fachkräftemangels sind automatisierte Priorisierung und Scans sowie vordefinierte Reaktions-Playbooks unverzichtbar. Automatisierung reduziert Time-to-Detect und Time-to-Respond und befreit das Sicherheitsteam von repetitiven Aufgaben, damit menschliche Expertise dort eingesetzt werden kann, wo Kontext und strategische Entscheidungen nötig sind. Gleichzeitig darf Automatisierung nicht blind erfolgen: Die Tools müssen ERP-Kontext kennen. Lösungen, die Schwachstellen mit diesem Kontext verknüpfen, schaffen die Basis.
6. Shared-Responsibility operationalisieren: In Cloud-Szenarien wie „RISE“ bleiben viele applikationsnahe Aspekte in Kundenverantwortung. Unternehmen müssen die Zuständigkeiten genau definieren, damit Patch-, Monitoring- und Incident-Response-Aufgaben nicht durch Annahmen verloren gehen.
Wie sich solche Angriffe praktisch verhindern oder eindämmen lassen
Prävention kombiniert technische Härtung mit organisatorischer Disziplin. Technische Maßnahmen umfassen rechtzeitiges Patching, Härtung von Upload-Pfaden, konsequente Netzwerksegmentierung, verschlüsselte Kommunikation und die Isolierung nicht benötigter Komponenten. Auf Betriebsebene sind getestete Incident-Response-Prozesse, klare Eskalationspfade und regelmäßige Simulationen zentral. Im konkreten Fall wirkten schnelle IOC-Checks, gezieltes Hunting nach neu deployten Artefakten und das Blockieren identifizierter TOR-Exit-Node-IPs unmittelbar begrenzend.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der Beitrag von Threat Research und spezialisierten Tools
Frühwarnung entsteht durch Beobachtung: Forschungsgruppen mit branchenspezifischer Erfahrung tragen entscheidend dazu bei, Exploit-Wellen früh zu erkennen und technisch zu charakterisieren. Spezialisierte ERP-Security-Plattformen, die Threat Research, kontinuierliche Scans und automatisierte Priorisierung verbinden, ermöglichen es, die Lücke zwischen SAP-Fachwissen und allgemeinen Security-Kompetenzen zu schließen, indem sie direkt nutzbare Einblicke und Empfehlungen mit Prioritäten liefern. Denn generalistische Security-Tools sind wichtig, reichen aber oft nicht aus, um ERP-spezifische Angriffsmuster zu erkennen.
Fazit: Resilienz statt Reaktivität
Die Exploit-Welle um CVE-2025-31324 ist weniger ein einmaliger Zwischenfall als ein Lehrstück: moderne Exploits sind modular, automatisierbar und werden schnell von diversen Akteuren genutzt. Gegen diese Dynamik helfen nur drei grundsätzliche Hebel: bessere Sichtbarkeit, mehr Proaktivität und höhere Reaktionsgeschwindigkeit sowie durchdachte Automatisierung. Wer diesen Dreiklang beherrscht, wappnet seine ERP-Landschaft optimal für die nächste Exploit-Welle.
Hinweis:
Die Beobachtungen zu Exploit-Mechanik basieren auf der Analyse der Onapsis Research-Teams und wurden öffentlich zugänglich dokumentiert. Weitere technische Details erfahren Sie hier.
Über den Autor: Juan Pablo Perez-Etchegoyen ist Chief Technology Officer bei Onapsis.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/93/dd/93dda8df29e7c5144c811b11baa2161c/0128951438v1.jpeg "Die Zero-Day-Schwachstelle entwickelte sich zu einer globalen Exploit-Welle und verdeutlicht die Gefahr automatisierter Angriffe auf ERP-Systeme. (Bild: © Zamrznuti tonovi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/49/074944ad2373c2201387e957d6aaf1e8/0127500269v1.jpeg "Daniel Meyer, CTO von Camunda, sieht in Prozessorchestrierung den Schlüssel, um KI-gestützte Automatisierung sicher zu skalieren. (Bild: Camunda)")
:quality(80)/p7i.vogel.de/wcms/46/65/466530a22b95665e42a29262f8888b64/0128942978v2.jpeg "Der Einsatz von KI-Bots birgt Risiken für Unternehmen, da sie Serverressourcen überlasten, personenbezogene Daten missbrauchen und Umsatzverluste verursachen können. Daher sollten Unternehmen Zugriffskontrollen implementieren und geeignete Schutzmaßnahmen ergreifen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/23/30/2330669e6dcfe8562f7ff8e2b2b7e4b8/0128873273v1.jpeg "Wenngleich Quantencomputer aktuell noch sehr teuer sind und deren allgemeine Verfügbarkeit derzeit noch Zukunftsmusik ist, wappnet sich das BSI bereits jetzt gegen die Cyberangriffe von morgen. (ec0de - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/a4/2da4b696d03840fc37a3f5e234c9835e/0128976696v2.jpeg "User and Entity Behavior Analytics erkennt Angriffe, bei denen Kriminell legitime Nutzerkonten missbrauchen, in Echtzeit, indem es Verhalten analysiert und relevante Ereignisse kontextuell korreliert, um interne Bedrohungen effizient zu identifizieren. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/18/3b/183bf543b2d7c8ac5683663a24e270d1/0124425733v2.jpeg "Eine neu entdeckte Zero-Day-Schwachstelle in SAP NetWeaver wird von Cyberkriminellen bereits ausgenutzt. SAP hat mit einem Notfallpatch reagiert. (Bild: photon_photo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/3f/a23f06b1e52cc3e10b5af823d7de13b0/0128405508v2.jpeg "SAP-Landschaften werden häufig angegriffen, weil die Systeme geschäftskritische Daten bündeln und technische sowie organisatorische Schwächen attraktive Angriffspunkte bieten. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/ea/22eafb292cca6766c5a92ea4a18da2e0/0124707738v2.jpeg "Wie auch Microsoft veröffentlicht SAP beim Patchday einmal im Monat Sicherheitsupdates zu neuen Schwachstellen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/b3/3db3b3ca88f8308df633d9f97dcd5d3b/0128598788v2.jpeg "Die deutschen Aufsichten verhängten 2025 Millionenbußgelder – von fehlenden Partnerkontrollen bis zu WhatsApp-Datenlecks und Blackbox-Automatisierung. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/3b/183bf543b2d7c8ac5683663a24e270d1/0124425733v2.jpeg "Eine neu entdeckte Zero-Day-Schwachstelle in SAP NetWeaver wird von Cyberkriminellen bereits ausgenutzt. SAP hat mit einem Notfallpatch reagiert. (Bild: photon_photo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/4f/d24fea58461d49ffe3811b7d26397e63/0128582456v2.jpeg "Zunehmende ERP-Angriffe und KI-gestützte Exploits zwingen Unternehmen, Sicherheit strategisch zu verankern und Monitoring plus anwendungsnahe Detection aufzubauen. (Bild: © Blue Planet Studio - stock.adobe.com)")