![\"\"](\"https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/banner_26-04_29_1200x150-1.jpg\")
<\/a><\/div><\/div>\n\n\n\nTypische Angriffsvektoren<\/h2>\n\n\n\n
Angriffstypen auf SAP-Systeme lassen sich einerseits in Serververschl\u00fcsselung mit dem Ziel der L\u00f6segelderpressung, andererseits in Insider-Angriffe einteilen. Gef\u00e4hrlich sind beide Vorgehensweisen vor allem durch ihre Schnelligkeit: Ein Bericht von Onapsis und SAP zeigt, dass Angriffe auf kritische SAP-Anwendungen zunehmen und oft schon innerhalb von 72 Stunden nach Ver\u00f6ffentlichung eines Sicherheitspatches erfolgen. Angreifer nutzen dabei immer wieder typische Schwachstellen. Ein besonders h\u00e4ufiger Angriffsvektor sind ungepatchte SAP-Systeme. Obwohl SAP an jedem zweiten Dienstag im Monat im Rahmen des Patch Day sicherheitsrelevante Hinweise ver\u00f6ffentlicht, werden Updates in vielen Unternehmen nicht zeitnah eingespielt. Systeme bleiben dadurch \u00fcber Wochen oder Monate f\u00fcr bekannte Exploits offen. Ebenfalls kritisch sind unzureichend abgesicherte RFC-Schnittstellen. Wird zun\u00e4chst ein weniger gesch\u00fctztes Entwicklungs- oder Testsystem kompromittiert, k\u00f6nnen Angreifer \u00fcber diese Verbindungen lateral auf produktive Systeme zugreifen und dort Funktionen ausf\u00fchren. <\/p>\n\n\n\n
Hinzu kommen mangelhafte Berechtigungskonzepte: Noch immer existieren Standardbenutzer wie SAP* oder DDIC mit schwachen oder unver\u00e4nderten Passw\u00f6rtern sowie \u00fcberprivilegierte Dialog- oder Systembenutzer. Solche Konten werden gezielt genutzt, um Rechte schrittweise bis zur vollst\u00e4ndigen Systemkontrolle auszuweiten. Auch unsicherer Custom Code stellt ein Einfallstor dar, etwa durch fehlende Berechtigungspr\u00fcfungen oder Anf\u00e4lligkeit f\u00fcr Code-Injections. Passw\u00f6rter bleiben ebenfalls ein Dauerproblem, da lange G\u00fcltigkeitszeitr\u00e4ume, schwache Hash-Verfahren und Wiederverwendungen die \u00dcbernahme von Benutzerkonten erleichtern.<\/p>\n\n\n\n
Um die Risiken proaktiv zu adressieren, reicht ein herk\u00f6mmlicher Penetrationstest nicht. Die SAP Secure Operations Map bietet ein anschauliches Modell, um die verschiedenen Sicherheitsebenen zu verstehen. <\/p>\n\n\n\n Klassische Pentests decken in der Regel nur die unterste IT-Infrastrukturebene ab. Die entscheidenden Schwachstellen und Angriffspunkte liegen jedoch meist in den dar\u00fcber liegenden system- und applikationsspezifischen Ebenen, die f\u00fcr Au\u00dfenstehende oft eine Blackbox darstellen. Ein SAP-Penetrationstest setzt daher gezielt dort an, wo klassische Pr\u00fcfungen enden, und analysiert SAP-spezifische Dienste und Protokolle wie Gateway, Message Server oder das Internet Communication Framework ebenso wie die Sicherheit der DIAG- und RFC-Kommunikation. Dar\u00fcber hinaus wird die Anwendungssicherheit gepr\u00fcft, indem Standardtransaktionen, Fiori-Apps und Webservices auf Manipulationsm\u00f6glichkeiten und unberechtigte Zugriffe untersucht werden. Ein weiterer Schwerpunkt liegt auf dem Berechtigungskonzept, das systematisch auf kritische Berechtigungen und potenzielle Pfade zur Rechteausweitung hin analysiert wird. Auch kundenindividueller Abap-Code wird sowohl manuell als auch mit spezialisierten Werkzeugen auf Schwachstellen wie Code-Injection oder fehlende Authority-Checks untersucht. Erg\u00e4nzend erfolgt eine \u00dcberpr\u00fcfung der Systemkonfiguration, insbesondere sicherheitsrelevanter Profilparameter, auf ihre Konformit\u00e4t mit den Best Practices von SAP und DSAG-Empfehlungen. Ein weiterer Vorteil liegt im tiefen Verst\u00e4ndnis der Tester f\u00fcr die SAP-Welt. Sie wissen, wo versteckte Konfigurationen liegen, wie -Gesch\u00e4ftsprozesse manipuliert werden k\u00f6nnen und welche Standardeinstellungen ein Risiko darstellen. Dieser fachliche Fokus erm\u00f6glicht es, Schwachstellen aufzudecken, die f\u00fcr allgemeine Sicherheitsscanner und -experten unsichtbar bleiben. Regulatorische Vorgaben wie Nis2 oder Kritis-Vorgaben fordern einen nachweisbaren, ganzheitlichen Sicherheitsansatz, den der isolierte Penetrationstest allein nicht erf\u00fcllt.<\/p>\n\n\n\n Eine ganzheitliche SAP-Sicherheitsstrategie geht dar\u00fcber hinaus und umfasst eine sichere Softwareentwicklung im Rahmen eines Secure Software Development Lifecycles. Auch die Absicherung der Supply Chain gewinnt an Bedeutung, insbesondere in kritischen Branchen, in denen Abh\u00e4ngigkeiten von externen Partnern erheb-liche Risiken bergen. Erg\u00e4nzt wird dieser Ansatz durch ein kontinuierliches Monitoring, das mithilfe eines zentralen SIEM-Systems sicherheitsrelevante Ereignisse system\u00fcbergreifend erfasst und auswertet. Und schlussendlich erfordert der zunehmende Einsatz von Cloud-L\u00f6sungen eine gesonderte Betrachtung, da deren -Sicherheitsanforderungen und Bedrohungsszenarien sich in vielen Punkten von klassischen On-Premises-Systemen unterscheiden.<\/p>\n\n\n\n <\/p>\n\n\n\n Der Einstieg in die proaktive Absicherung der SAP-Landschaft gelingt mit einem strategischen Vorgehen in vier klaren Schritten.<\/p>\n\n\n\n Scope festlegen:<\/strong> Identifikation der kritischsten Systeme, typischerweise die produktiven ERP- oder S\/4-Hana-Systeme, sowie technische Zuspieler wie ein produktiver Solution Manager.<\/p>\n\n\n\n Auswahl des richtigen Partners<\/strong>: SAP-Pentests erfordern Spezialwissen. Daher ist SAP-Know-how erforderlich, welches \u00fcber das allgemeine Netzwerk-Pentesting hinausgeht. <\/p>\n\n\n\n Risikobasierte Bewertung der Ergebnisse:<\/strong> Ein aussagekr\u00e4ftiger Bericht muss technische Befunde detailliert darstellen und priorisieren. So kann sich auf die Schwachstellen konzen-triert werden, die die gr\u00f6\u00dfte Gefahr f\u00fcr den operativen Betrieb darstellen. <\/p>\n\n\n\n Ma\u00dfnahmen nachhaltig umsetzen:<\/strong> Ein Pentest ist eine Momentaufnahme, welche mit geringerem Aufwand schnell mehr Sicherheit erm\u00f6glicht. Nachhaltige Sicherheit entsteht jedoch erst durch die Integration der -Ergebnisse in regul\u00e4re IT-Prozesse wie Patch-Management und Entwicklungsrichtlinien.<\/p>\n<\/div>\n\n\n\n <\/p>\n\n\n\n Weiter zum Partnereintrag:<\/p>\n\n\n\n Unternehmen investieren massiv in Cybersicherheit, doch ihre wertvollsten Daten bleiben oft ungesch\u00fctzt. SAP-Systeme, das Herzst\u00fcck kritischer Gesch\u00e4ftsprozesse, werden bei Penetrationstests h\u00e4ufig \u00fcbersehen \u2013 ein fatales Vers\u00e4umnis, das Angreifern T\u00fcr und Tor \u00f6ffnet.<\/p>\n","protected":false},"author":5817,"featured_media":162340,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[5,44396],"tags":[73,44414,236,1516],"coauthors":[44413],"class_list":["post-162339","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-management","category-mag-26-04","tag-erp","tag-penetrationstests","tag-sap","tag-security","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-400x180.jpg",400,180,true],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-18x8.jpg",18,8,true],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-600x270.jpg",600,270,true],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-600x450.jpg",600,450,true],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":" Unternehmen investieren massiv in Cybersicherheit, doch ihre wertvollsten Daten bleiben oft ungesch\u00fctzt. SAP-Systeme, das Herzst\u00fcck kritischer Gesch\u00e4ftsprozesse, werden bei Penetrationstests h\u00e4ufig \u00fcbersehen \u2013 ein fatales Vers\u00e4umnis, das Angreifern T\u00fcr und Tor \u00f6ffnet.<\/p>\n","category_list_v2":"IT-Management<\/a>, MAG 26-04<\/a>","author_info_v2":{"name":"Tobias Stage, Abat","url":"https:\/\/e3mag.com\/de\/author\/tobias-stage\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/162339","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/5817"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=162339"}],"version-history":[{"count":3,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/162339\/revisions"}],"predecessor-version":[{"id":162354,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/162339\/revisions\/162354"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/162340"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=162339"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=162339"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=162339"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=162339"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/SAP-spezifische-Schwachstellen_web.jpg\")
SAP-Penetrationstests<\/h2>\n\n\n\n
![\"\"](\"https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/SAP-Systeme-sind-von-Mauern_web.jpg\")
Sicheres SAP-System in vier Schritten
<\/h2>\n\n\n\n![\"Abat\"](\"https:\/\/e3mag.com\/wp-content\/uploads\/2023\/02\/abat-autor.png\")
<\/a><\/figure>\n","protected":false},"excerpt":{"rendered":"