ERP-Systeme im Fadenkreuz
Der Vorfall um CVE-2025-31324 in SAP NetWeaver Visual Composer im Frühjahr dieses Jahres begann wie viele Sicherheitsmeldungen: als technischer Hinweis, der nur Spezialisten etwas anzugehen schien. Wenige Tage später zeigte sich, dass die Lücke in großem Stil ausgenutzt wurde. Der CVSS-Score von 10 signalisierte, dass es sich um eine der gefährlichsten Schwachstellen handelt, die in ERP-Systemen der letzten Jahre bekannt wurden.
Präparierte HTTP-Anfragen
Angreifer nutzten die Lücke gezielt aus, um über präparierte HTTP-Anfragen Schadcode einzuschleusen, Webshells zu installieren und so langfristigen Fernzugriff zu etablieren – unter anderem, um sensible Daten abgreifen zu können. Betroffen waren nicht nur produktive Systeme, sondern auch Test- und Entwicklungssysteme, die über das Internet erreichbar waren. Besonders heikel: Selbst in Cloud-Szenarien wie in Rise-Umgebungen, bei denen Visual Composer offiziell nicht genutzt wurde, war die Komponente installiert – und das System damit theoretisch angreifbar. Das zeigt, dass Angreifer längst nicht mehr nur gezielt produktive Kernmodule attackieren, sondern auch Randkomponenten als Einfallstor ins Herz der ERP-Landschaft nutzen.
Ein erfolgreicher Angriff auf ein ERP-System bleibt selten auf einen Bereich beschränkt. Im Beispiel eines produzierenden Unternehmens können Produktionslinien stillstehen, Lieferungen sich verzögern, Bestände falsch angezeigt oder Bestellungen fehlerhaft ausgeführt werden. Im allerschlimmsten Fall breitet sich der Vorfall entlang der Lieferkette aus – und trifft auch Partner und Kunden.
In einer vernetzten Welt kann der Ausfall eines ERP-Systems die Reputation eines Unternehmens nachhaltig beschädigen. Börsennotierte Firmen riskieren zudem Kursverluste, wenn Angriffe öffentlich werden. Compliance-Pflichten wie Meldefristen an Aufsichtsbehörden verschärfen den Druck zusätzlich. Strategische Sicherheit ist daher das A und O.
Grenzen des Cloud-Vertrauens
Rise with SAP gilt für viele Unternehmen als Schlüssel zur Modernisierung der ERP-Landschaft. Infrastruktur, Betriebssystem- und Datenbankpatches übernimmt der Provider, was Ressourcen freisetzt. Doch genau hier liegt die Tücke: Sicherheitsverantwortung endet nicht am Rand des Provider-Stacks.
Alles, was die grundlegende Infrastruktur überschreitet, wie zum Beispiel kundenspezifische Erweiterungen, Rollen und Berechtigungen, Schnittstellen zu Partnern und externen Applikationen, liegt in der Verantwortung des Unternehmens.
Zero-Day-Fall
Der Zero-Day-Fall verdeutlicht, dass Lücken überall auftreten und das gesamte Unternehmen bedrohen können – auch in Bereichen, die nicht aktiv genutzt werden. Werden hier nicht regelmäßig alle Systeme und Schnittstellen überprüft und gepatcht, entsteht eine unbemerkte Angriffsfläche, die wächst und wächst.
In der Praxis setzen Unternehmen daher vermehrt auf automatisierte Schwachstellenscans und kontinuierliche Überwachungslösungen, wie sie unter anderem von spezialisierten Anbietern wie Onapsis bereitgestellt werden.
Solche Tools helfen, selbst komplexe Rise-Umgebungen rund um die Uhr im Blick zu behalten, und entlasten gleichzeitig Sicherheitsteams – ein wichtiger Faktor nicht nur im Hinblick auf immer komplexer werdende Angriffe, sondern auch angesichts zunehmender Anforderungen und des Fachkräftemangels in der IT-Security.
Die Migration zu Rise with SAP ist nicht nur ein technisch notwendiges Projekt, sondern auch eine Gelegenheit, Altlasten zu identifizieren und zu beseitigen. In der Praxis werden jedoch oft komplette Systeme „lift-and-shift“ übertragen – inklusive veralteter Custom Codes, ungenutzter Module und offener Schnittstellen.
Altlasten im Visier
Diese Altlasten sind ein attraktives Ziel für Angreifer. Sie enthalten häufig bekannten, aber ungepatchten Code, was ein hohes Risiko für das System darstellt, ihre Absicherung fällt durch das Raster, wenn der Fokus ausschließlich auf der neuen Plattform liegt.
Eine gründliche Bestandsaufnahme, bevor Systeme in die Cloud gehen, ist daher essenziell, um Transparenz zu erlangen und um etwaige nicht (mehr) genutzte Applikationen, Custom Codes, Schnittstellen und Ähnliches zu eliminieren. Inventarisierungs- und Analysetools unterstützen ERP-Teams dabei, potenzielle Risiken zu identifizieren und zu priorisieren, bevor sie zur Schwachstelle werden.
High-Risk-Umgebung ERP
ERP-Systeme geraten immer stärker ins Visier organisierter Cyberkriminalität. Neben gezielten Angriffen durch privat agierende Angreifer sowie durch staatlich unterstützte Gruppen nehmen auch Ransomware-Kampagnen zu, die gezielt Geschäftsprozesse lahmlegen, um Lösegeldforderungen zu untermauern.
Immer häufiger setzen Angreifer auf Kombinationen: Erst wird beispielsweise über eine ungepatchte Schwachstelle ein initialer Zugang geschaffen, dann werden Berechtigungen ausgeweitet, Daten abgeschöpft und – oft erst Wochen später – die Systeme verschlüsselt. Dieses schrittweise Vorgehen erschwert die Entdeckung und erhöht den Schaden.
Im schlimmsten Fall wird der Angriff erst im Moment der Verschlüsselung bemerkt. Dann, wenn es bereits zu spät ist und sensible Informationen bereits in Umlauf geraten sind.
Aktuelle Bedrohungsinformationen aus spezialisierten Forschungslabors, etwa den Onapsis Research Labs, können hier helfen, neue Angriffsmuster frühzeitig zu erkennen und Gegenmaßnahmen einzuleiten, bevor Schäden entstehen.
Sie informieren in Echtzeit und umfassend über ihre Beobachtungen und geben Handlungsempfehlungen, um Unternehmen und ihre ERP-Systeme bestmöglich zu schützen.
Sicherheitslücken wie die zu Beginn des Artikels skizzierte Zero-Day-Schwachstelle verdeutlichen die Bedeutung schneller Reaktionszeiten. Angreifer beginnen oft schon Stunden nach der Veröffentlichung von Exploit-Details mit der Suche nach verwundbaren Systemen.
Unternehmen, die zu viel Zeit für Tests, Freigaben und damit für das Patching benötigen, erhöhen damit ihr Risiko erheblich. Hier spielt Automatisierung eine Schlüsselrolle. Automatisierte Lösungen können Patches und Konfigurationsänderungen priorisieren, Abhängigkeiten analysieren und die Umsetzung dokumentieren – was nicht nur die Geschwindigkeit erhöht, sondern auch Audit-Anforderungen unterstützt. Gerade in Zeiten knapper Personalressourcen ist auch diese Entlastung ein entscheidender Vorteil.
Monitoring und Analytics
Die Datenmengen in Rise- oder Hybrid-ERP-Umgebungen sind enorm. Ohne intelligente Auswertung entsteht leicht ein „Rauschen“, in dem echte Bedrohungen untergehen. Entsprechende automatisierte Analyseverfahren können hier Muster erkennen, die auf manuellem Weg kaum sichtbar wären – etwa ungewöhnliche Zugriffsmuster auf bestimmte Tabellen oder eine plötzliche Häufung fehlgeschlagener Logins aus geografisch entfernten Regionen. Anbieter wie Onapsis kombinieren solche Analysefunktionen mit Bedrohungsinformationen aus eigenen Research Labs. Das ermöglicht, dass erkannte Anomalien nicht nur technisch, sondern auch im Kontext aktueller Angriffskampagnen bewertet werden. So lässt sich schneller feststellen, ob ein Vorfall isoliert oder Teil einer größeren, koordinierten Angriffswelle ist.
Compliance als Treiber
Wenn beispielsweise ein global agierender Chemie-Konzern feststellt, dass eine ERP-Schnittstelle zu einem Laborsystem ungeschützt an das Internet angeschlossen ist, kann dies nicht nur Produktionsabläufe gefährden, sondern auch Umweltauflagen verletzen. Ein Handelsunternehmen, dessen Cloud-ERP über unsichere API-Endpunkte erreichbar ist, riskiert neben finanziellen Verlusten auch langfristige Reputationsschäden. Solche Szenarien sind realistisch – und vermeidbar.
Zudem erhöhen regulatorische Anforderungen wie die NIS2-Richtlinie der Europäischen Union, branchenspezifische Sicherheitsstandards und internationale Normen den Druck, ERP-Systeme und sensible Daten zuverlässig zu schützen. Wer hier proaktiv handelt, senkt nicht nur das Risiko von Bußgeldern, sondern schafft gleichzeitig eine belastbare Sicherheitsarchitektur.
Diese Compliance-Rahmenwerke wirken wie ein Katalysator: Sie zwingen Organisationen, ihre Sicherheitsprozesse zu dokumentieren, Verantwortlichkeiten festzulegen und regelmäßige Überprüfungen vorzunehmen. Doch das allein schützt nicht. Wenn Audits nur formal erfüllt werden, während reale Sicherheitslücken bestehen bleiben, entsteht eine trügerische Sicherheit. Ein integrierter Ansatz, der Compliance-Anforderungen und technische Schutzmaßnahmen verzahnt – unterstützt durch kontinuierliche, automatisierte Prüfungen –, ist daher entscheidend.
Fazit: Proaktivität als Leitprinzip
ERP-Security darf nicht auf das Einspielen von Patches reduziert werden. Notwendig ist es, einen kontinuierlicher Prozess zu etablieren: regelmäßige Bestandsaufnahmen und Bewertungen, Risikoanalysen, Schulungen sowie die enge Verzahnung von IT- und Fachbereichen. Cloud-Modelle wie Rise with SAP ändern daran nichts. Im Gegenteil: Sie erfordern, dass Sicherheitsprozesse über Unternehmensgrenzen hinweg nahtlos funktionieren – vom Provider über interne IT-Teams bis zu externen Partnern. Nur wer seine ERP-Security proaktiv und strategisch angeht, unterstützt durch moderne Automatisierung und fundierte Threat Intelligence, kann in einer Bedrohungslage, wie sie heute allgegenwärtig ist, handlungsfähig bleiben.
DE
EN
ES
FR
