Die Sicherheit von SAP-Umgebungen wird immer wichtiger. In diesem Artikel erfahren Sie, welchen Bedrohungen SAP-Systeme ausgesetzt sind, wo es Schwachstellen gibt und wie Sie Schäden im Falle eines erfolgreichen Angriffs auf das Unternehmensnetzwerk minimieren können.
Angesichts der Drohkulisse schnell ansteigender Cyberangriffe kommt kein Unternehmen darum herum, seine SAP-Landschaft so weit wie möglich abzusichern.
(Bild: yingyaipumi - stock.adobe.com)
Die CVE-Zahlen für SAP-Systeme sind in den letzten Jahren dramatisch angestiegen.
(Bild: Website CVE-Details, Filter auf SAP)
In der „guten alten Zeit“, als IT noch EDV hieß, waren Cyber-Angriffe auf SAP-Systeme praktisch noch kein Thema. In der heutigen vernetzten Welt jedoch, wo unser Kühlschrank mit unserem Lieferdienst verhandelt, was es morgen zu Essen gibt – und vor allem im Rahmen der allgegenwärtigen digitalen Transformation aller Geschäftsbereiche – ist auch die SAP-Umgebung eines Unternehmens vielfältigen externen Bedrohungen ausgesetzt. Folgerichtig haben sich die Schwachstellen, ausgedrückt in CVE-Zahlen (Common Vulnerabilities and Exposures), für SAP-Landschaften von 2017 (50) bis 2021 (204) vervierfacht.
Monitoring zur wirksamen „Abhärtung“
Ist es einem Angreifer gelungen, trotz Firewall und sonstiger Sicherungsmaßnahmen am Netzwerkperimeter ins interne Unternehmensnetzwerk einzudringen, kann er dort großen Schaden anrichten, sei es durch Ausspionieren sensibler Daten, das Ausführen schädlichen Codes bis hin zur Zerstörung oder Verschlüsselung ganzer Server. Und da bei aller Umsicht niemand garantieren kann, dass es nie zu einem solchen Fall kommen wird, ist es umso wichtiger, die unternehmensweiten SAP-Systeme bestmöglich abzusichern – Stichwort „Hardening“.
SAP versendet zu diesem Zweck so genannte „HotNews“, Sicherheitsmitteilungen der höchsten Priorität. Sie machen auf kritische Schwachstellen aufmerksam und empfehlen Maßnahmen zu deren Behebung, beispielsweise die Installation von Patches oder die Anpassung bestimmter Systemparameter. Auch über weniger kritische Probleme und gesetzliche Änderungen informiert SAP seine Anwender. Allerdings ist es relativ zeit- und personalaufwändig, diese Meldungen nach den für das jeweilige System und dessen Module relevanten Informationen zu durchforsten, um die erforderlichen Maßnahmen zu ergreifen.
Zeitersparnis dank AIOps
An dieser Stelle kommen externe AIOps-Plattformen ins Spiel, die eine ganze SAP-Landschaft überwachen können. Da einige dieser auf SAP-Systeme spezialisierten Plattformen direkt auf den SAP Support Backbone zugreifen können, stehen ihnen auch die HotNews und weiteren Sicherheits- bzw. Änderungsmitteilungen zur Verfügung. Diese Informationen nutzen solche Plattformen, um entsprechend der vorhandenen SAP-Infrastruktur die wichtigsten Meldungen herauszufiltern, Support-Tickets zu generieren und an die zuständigen Personen zu verteilen, oder Drittsysteme wie z. B. ServiceNow zu informieren.
Auf diese Weise lässt sich im großen Umfang Zeit einsparen, wie der Nutzer einer solchen Plattform kürzlich auf einem SAP-Nutzerforum erläuterte (siehe Bildergalerie).
Bildergalerie
Sein Unternehmen, ein führender Schweizer IT-Dienstleister, der große SAP-Umgebungen seiner Kunden betreut, nutzt eine solche AIOps-Plattform für SAP-Umgebungen, um Cybersicherheit sicherzustellen, seine Kunden auf dem aktuellen Stand der Dinge zu halten und dabei Zeit einzusparen. Nach seiner Einschätzung sparen er und seine Kunden auf diese Weise 32 Stunden und mehr pro Monat.
Maßgeschneidertes Monitoring
Darüber hinaus können Benutzer von AIOps-Plattformen individuell einstellen, welche Bereiche und Aspekte ihrer SAP-Umgebung überwacht werden sollen. Beispielsweise können sie tägliche Kontrollen konfigurieren, die prüfen, ob die Sicherheits- und Compliance-Richtlinien ihres Unternehmens in allen SAP-Modulen eingehalten werden:
Ist die Software auf dem aktuellen Stand?
Wurden alle wichtigen Patches eingespielt?
Wurden den Richtlinien entsprechende Passwörter eingerichtet?
Wurde die Netzwerk-Anbindung der Hosts und Clients soweit möglich begrenzt?
Werden Systemänderungen an produktiven Systemen unterbunden?
Sämtliche dieser Kontrollen lassen sich in sogenannten Templates definieren, die anschließend auf die relevanten Bereiche und Module einer SAP-Umgebung angewandt werden. Als Basis hierfür dienen die SAP Security Baselines, in denen die von SAP empfohlenen Mindeststandards für Passwortrichtlinien, Gateway-Sicherheit, Message-Server-Sicherheit, Berechtigungen und vieles mehr hinterlegt sind. Ein Unternehmen kann diese Baselines unverändert „out-of-the-box“ verwenden, aber auch um eigene Sicherheits- und/oder Compliance-Richtlinien erweitern. Auf diese Weise entstehen Sicherheitskontrollen, die tatsächlich nur die Aspekte abfragen, die für ein Unternehmen relevant sind.
Lückenlose Auditierung
Darstellung der Ergebnisse der täglichen Kontrollen in Ampelfarben.
(Bild: Screenshot aus dem Avantra-Produktleitfaden)
Insbesondere in regulierten Branchen sind regelmäßige Audits durch externe Stellen vorgeschrieben, bei denen die Produktionsabläufe, aber auch die internen Vorgänge eines Unternehmens überprüft werden. Darüber hinaus können sich Unternehmen aber auch auditieren lassen, um sich von ihren Marktbegleitern abzusetzen Faktor. Auch hier kann eine AIOps-Plattform gewinnbringend unterstützen. Sie liefert den Auditoren eine Übersicht über die Sicherheit der SAP-Umgebung zum aktuellen Zeitpunkt, aber auch in der Vergangenheit. Nehmen wir noch einmal auf den hypothetischen Fall eines erfolgreichen Netzwerkangriffs. Im Rahmen eines Audits stellt sich hier die Frage, ob das System zum Zeitpunkt des Angriffs sicher war. Das heißt, entsprachen zu diesem Zeitpunkt alle relevanten Sicherungsvorrichtungen (Passwörter, Server-Anbindungen, Zugangsberechtigungen) den unternehmensweiten, branchentypischen bzw. gesetzlichen Standards? Da eine AIOps-Plattform regelmäßige (tägliche oder wöchentliche) Kontrollen durchführt und protokolliert, kann sie auch für die Vergangenheit alle relevanten Informationen bereitstellen – in tabellarischer oder grafischer Form.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Genauso komfortabel erlauben diese Systeme die automatische Erstellung von Reports, ebenfalls individuell zugeschnitten auf die Bedürfnisse des Unternehmens. Diese Reports können automatisch zeit- oder ereignisgesteuert generiert und versendet sowie bei Bedarf abgerufen werden.
Fazit: mit AIOps zur zuverlässigen, effizienten Cyber Security
Angesichts der Drohkulisse schnell ansteigender Cyberangriffe kommt kein Unternehmen darum herum, seine SAP-Landschaft so weit wie möglich abzusichern. SAP liefert dazu eine Vielzahl an Informationen und Richtlinien, deren Durchsicht bzw. Umsetzung die Verantwortlichen jedoch vor große, kaum zu bewältigende Herausforderungen stellt – sei es aufgrund mangelnder Kenntnisse oder fehlender Ressourcen. AIOps-Plattformen können hier wertvolle Dienste leisten und die IT-Teams der Unternehmen erheblich entlasten. Das Ergebnis ist eine bessere Absicherung der Systeme, inklusive Zeitersparnis und effizienteren Audits.
Über den Autor: Bernd Engist ist der Chief Technology Officer von Avantra. Seit der Gründung von Avantra vor 21 Jahren ist Bernd Engist für die technologische Vision und die Produktentwicklung verantwortlich und sorgt für Innovation und erstklassige Qualität. Bernd hat einen MA in Elektrotechnik und Elektronik vom Karlsruher Institut für Technologie (KIT).
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/93/dd/93dda8df29e7c5144c811b11baa2161c/0128951438v1.jpeg "Die Zero-Day-Schwachstelle entwickelte sich zu einer globalen Exploit-Welle und verdeutlicht die Gefahr automatisierter Angriffe auf ERP-Systeme. (Bild: © Zamrznuti tonovi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/49/074944ad2373c2201387e957d6aaf1e8/0127500269v1.jpeg "Daniel Meyer, CTO von Camunda, sieht in Prozessorchestrierung den Schlüssel, um KI-gestützte Automatisierung sicher zu skalieren. (Bild: Camunda)")
:quality(80)/p7i.vogel.de/wcms/46/65/466530a22b95665e42a29262f8888b64/0128942978v2.jpeg "Der Einsatz von KI-Bots birgt Risiken für Unternehmen, da sie Serverressourcen überlasten, personenbezogene Daten missbrauchen und Umsatzverluste verursachen können. Daher sollten Unternehmen Zugriffskontrollen implementieren und geeignete Schutzmaßnahmen ergreifen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/23/30/2330669e6dcfe8562f7ff8e2b2b7e4b8/0128873273v1.jpeg "Wenngleich Quantencomputer aktuell noch sehr teuer sind und deren allgemeine Verfügbarkeit derzeit noch Zukunftsmusik ist, wappnet sich das BSI bereits jetzt gegen die Cyberangriffe von morgen. (ec0de - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/a4/2da4b696d03840fc37a3f5e234c9835e/0128976696v2.jpeg "User and Entity Behavior Analytics erkennt Angriffe, bei denen Kriminell legitime Nutzerkonten missbrauchen, in Echtzeit, indem es Verhalten analysiert und relevante Ereignisse kontextuell korreliert, um interne Bedrohungen effizient zu identifizieren. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/2f/f9/2ff9406a42dff5e4f2d40528b9849327/0107560719.jpeg "SAP HotNews Evaluierung mittels AIOps-Plattform.(Bild: Präsentation „Chancen erkennen, Potenziale entfesseln“ von Mathias Lang, UMB, und Bernd Engist, Avantra, auf den DSAG-Technologietagen 2022.)")
:quality(80)/p7i.vogel.de/wcms/5b/61/5b610c28eb4bff7aac8983c4fa6f1496/0107560718.jpeg "SAP HotNews Evaluierung mittels AIOps-Plattform.(Bild: Präsentation „Chancen erkennen, Potenziale entfesseln“ von Mathias Lang, UMB, und Bernd Engist, Avantra, auf den DSAG-Technologietagen 2022.)")
:quality(80)/p7i.vogel.de/wcms/42/bd/42bdca402bb053f2f31a59dc0c32df17/0107560720.jpeg "SAP HotNews Evaluierung mittels AIOps-Plattform.(Bild: Präsentation „Chancen erkennen, Potenziale entfesseln“ von Mathias Lang, UMB, und Bernd Engist, Avantra, auf den DSAG-Technologietagen 2022.)")
:quality(80)/p7i.vogel.de/wcms/60/4d/604d1b307cdb1228faea310fb800f9a5/0125204506v2.jpeg "Wer SAP-Security systematisch angeht, die internen Rollen definiert und auf bewährte Werkzeuge zurückgreift, kann seine Systeme nicht nur schützen, sondern auch Compliance sicherstellen und im Ernstfall schnell reagieren. (Bild: © YOGI C - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b5/38/b53881d3cbebf07976f3037bc6b6a71f/0124969142v2.jpeg "Die Migration ihrer ERP-Landschaften in die Cloud bietet Unternehmen immense Chancen für Digitalisierung und Effizienzsteigerung, aber gleichzeitig entstehen dadurch auch neue Angriffsflächen. (Bild: © putilov_denis - stock.adobe.com)")