Aktuell werteten wir die anonymisierten Scans von mehr als 300 SAP-Kundensystemen aus. Beteiligt an dieser bisher umfassendsten Untersuchung ihrer Art waren Unternehmen aller Gr\u00f6\u00dfen und Branchen, vornehmlich in Deutschland und den USA.<\/p>
![\"\"](\"https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/banner_bdc_2026_1200x150.jpg\")
<\/a><\/div><\/div>\nE-3: Was sind die wichtigsten Benchmark-Ergebnisse?<\/h3>\n
Wiegenstein:<\/strong> Zun\u00e4chst fanden wir he\u00adraus, dass jedes SAP-Produktivsystem im Durchschnitt rund zwei Millionen Zeilen selbst geschriebenen Abap-Codes umfasst, mit dem die Kunden die SAP-Standardfunktionen an ihre Gesch\u00e4ftsprozesse anpassen.<\/p>\n H\u00f6chst alarmierend ist die Tatsache, dass wir in ausnahmslos jedem Kundencode zahlreiche Fehler fanden, die die Sicherheit und Stabilit\u00e4t eines SAP-Systems gef\u00e4hrden k\u00f6nnen.<\/p>\n Es ist von rund 2.000 kritischen Fehlern auszugehen pro SAP-System, die Unternehmen f\u00fcr Angriffe verwundbar machen und auch Probleme beim Compliance Audit verursachen k\u00f6nnen.<\/p>\n Wiegenstein:<\/strong> Zum gr\u00f6\u00dften Teil handelt es sich dabei um mangelhaft programmierte oder fehlende Berechtigungspr\u00fcfungen. Allein diese Schwachstellen w\u00fcrden bereits ausreichen, um in einem Unternehmen gro\u00dfen Schaden anzurichten, da Mitarbeiter auf Informationen zugreifen k\u00f6nnen, ohne dazu befugt zu sein \u2013 da kann viel Missbrauch betrieben werden.<\/p>\n Noch Schlimmeres allerdings ist von wirklich gravierenden Sicherheitsfehlern \u2013 den sogenannten Killerfehlern \u2013 in den Abap-Eigenentwicklungen zu bef\u00fcrchten. Davon entdeckten wir aktuell durchschnittlich 16 in jedem SAP-System \u2013 und damit deutlich mehr als noch in den Jahren zuvor.<\/p>\n Wiegenstein:<\/strong> Jeder einzelne dieser Killerfehler ist so hoch kritisch, dass er von Angreifern dazu ausgenutzt werden kann, um das System komplett unter die eigene Kontrolle zu bringen.<\/p>\n SAP-Kundencode bietet zahlreiche Einfallstore, um komplette Datenbest\u00e4nde zu stehlen, zu l\u00f6schen oder zu manipulieren und damit zum Beispiel das Bilanzergebnis eines Unternehmens zu verf\u00e4lschen oder das SAP-System vollst\u00e4ndig zu sabotieren oder einfach mal abzuschalten.<\/p>\n Der wirtschaftliche Schaden, der dadurch entstehen kann, ist enorm. Denken Sie zum Beispiel nur daran, dass die betroffenen Unternehmen f\u00fcr alle Sch\u00e4den haften m\u00fcssen, die durch die Entwendung sensibler Mitarbeiter- oder Kundendaten entstehen. Zugleich k\u00f6nnen solche Vorf\u00e4lle zu hohen Imageverlusten f\u00fchren.<\/p>\n Wiegenstein:<\/strong> Leider nein, denn meist kann nach einer Attacke nicht l\u00fcckenlos nachgewiesen werden, durch welche Sicherheitsl\u00fccke der Angreifer \u00fcberhaupt ins SAP-System eindringen konnte.<\/p>\n War es ein Defekt im Kundencode, im SAP-Standardcode oder bei der System- oder Firewall-Installation? Erschwerend f\u00fcr eine Ursachenanalyse kommt hinzu, dass viele Unternehmen erst nach geraumer Zeit entdecken, dass ihre SAP-Anwendungen gehackt wurden, zum Beispiel bei Routinepr\u00fcfungen oder per Zufall.<\/p>\n Wiegenstein:<\/strong> Prinzipiell kommen als Verursacher zwei Gruppen infrage, n\u00e4mlich die unternehmenseigenen Entwickler oder Beratungsh\u00e4user, die dem Unternehmen die ben\u00f6tigten SAP-Erweiterungen zuliefern.<\/p>\n Dabei k\u00f6nnen die Fehler unbeabsichtigt in den Kundencode gelangen \u2013 etwa durch Programmierer, die nicht daran denken, die erforderlichen Berechtigungspr\u00fcfungen einzubauen.<\/p>\n Andererseits kommt es nat\u00fcrlich auch vor, dass Fehler bewusst eingebaut werden, zum Beispiel von frustrierten Mitarbeitern, die sich an ihrem Arbeitgeber r\u00e4chen wollen, oder von externen Programmierern, die sich damit Zugang zu vertraulichen Unternehmensinformationen verschaffen.<\/p>\n Wiegenstein:<\/strong> Selbstverst\u00e4ndlich. Es trifft keinesfalls zu, dass SAP-Systeme nur \u00fcber das interne Netzwerk zug\u00e4nglich sind, wie viele SAP-Administratoren immer noch behaupten.<\/p>\n Zwar kommt auch unser Benchmark zum Ergebnis, dass lediglich 0,3 Prozent der Abap-Eigenentwicklungen in einem Unternehmen \u00fcber das Internet ansteuerbar sind. Doch wurden schon einige F\u00e4lle bekannt, in denen mit zugekauftem Abap-Code bestimmte Trojaner eingeschleust wurden, durch die gesch\u00e4ftskritische SAP-Daten nach drau\u00dfen gelangten.<\/p>\n Zum Beispiel erhielt ein Unternehmen von einer Fremdfirma selbst geschriebenen Abap-Code, der am Ende jeden Monats die Ergebnisse der Buchungsl\u00e4ufe aggregierte und an eine externe E-Mail-\u00adAdresse versandte. Ein klassischer Fall von Computerkriminalit\u00e4t!<\/p>\n Wiegenstein:<\/strong> Wie die Beispiele zeigen, reichen die herk\u00f6mmlichen Vorkehrungen, wie Firewalls, Antiviren-Software und gute Passw\u00f6rter, keinesfalls aus, um potenzielle Einfallstore beim Abap-Kundencode zu schlie\u00dfen.<\/p>\n Auch gen\u00fcgt es nicht, dass Unternehmen f\u00fcr eine fehlerfreie Konfiguration der Rollen und Berechtigungen ihrer Mitarbeiter sorgen. Vielmehr bedarf es gezielter Strategien und Ma\u00dfnahmen, um den Code von Fehlern zu bereinigen und k\u00fcnftige Gefahren zu vermeiden.<\/p>\n Zun\u00e4chst empfiehlt es sich f\u00fcr Kunden, die Abap-Eigenentwicklungen gr\u00fcndlichen Scans zu unterziehen. Daf\u00fcr bietet sich der Einsatz spezieller Pr\u00fcfsoftware an, die die vorhandenen Fehler und Risiken automatisch identifiziert und, soweit wie m\u00f6glich, auch gleich korrigiert. Solche Scans nehmen in der Regel nur wenige Minuten in Anspruch.<\/p>\n Wiegenstein:<\/strong> Da m\u00fcssen gleich mehrere Ans\u00e4tze verfolgt werden, sowohl organisatorischer als auch technischer Art. Um Fehler schon bei der Programmierung zu verhindern, sollten die eigenen Entwickler spezielle Abap-Sicherheitsschulungen durchlaufen und besondere Richtlinien bei der Programmierung einhalten, wie zum Beispiel die des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI).<\/p>\n Wird Code von au\u00dfen zugekauft, m\u00fcssen die Unternehmen strengstens darauf achten, entsprechende Qualit\u00e4tsstandards in die Vertr\u00e4ge mit den Zulieferern aufzunehmen, zu pr\u00fcfen und auch einzufordern. Dar\u00fcber hinaus sollten k\u00fcnftig keine SAP-Eigenentwicklungen mehr produktiv gehen, solange sie noch f\u00fcr das Unternehmen kritische Fehler enthalten.<\/p>\n Ins Pflichtenheft geh\u00f6ren ebenso ein zeitnahes Einspielen der SAP-Sicherheitspatches und ein laufendes Monitoring aller SAP-Systeme, um Angriffe m\u00f6glichst schnell zu erkennen. Trotz aller Vorsichtsma\u00dfnahmen sind geeignete Notfallpl\u00e4ne unverzichtbar, um Attacken m\u00f6glichst schnell und wirksam entgegensteuern zu k\u00f6nnen.<\/p>\n Wiegenstein:<\/strong> Bei unserem Benchmark handelt es sich um eine fortlaufende Untersuchung. Sie aggregiert die Erkenntnisse aus einer Vielzahl von Scanergebnissen, die uns von SAP-Kunden anonymisiert zur Verf\u00fcgung gestellt werden.<\/p>\n Da diese Zahlen statistischen Aufschluss \u00fcber die Qualit\u00e4t von Abap-Kundencode geben, wird die Aussagekraft des Benchmarks umso h\u00f6her, je mehr SAP-Anwender sich daran beteiligen. Wir freuen uns \u00fcber jedes Unternehmen, das mitmacht. Den Unternehmen selbst bietet sich durch unsere Analyse die M\u00f6glichkeit, in k\u00fcrzester Zeit Einblick in den Zustand ihres selbst geschriebenen Codes zu gewinnen.<\/p>\n Dazu wird der Kundencode eines ausgew\u00e4hlten SAP-Systems komplett gescannt. Im Ergebnis erh\u00e4lt das Unternehmen einen Pr\u00fcfbericht, der pro Fehlertyp exemplarisch f\u00fcnf Fundstellen aufzeigt.<\/p>\n Oft treten dabei Schwachstellen zutage, die nicht nur die Sicherheit, sondern auch die Leistung eines SAP-Systems beeintr\u00e4chtigen. So zeigt unsere Erfahrung, dass viele Systeme nach der Korrektur des Kundencodes nicht nur sicherer, sondern auch viel stabiler und schneller laufen.<\/p>\n Fehlerhafter Kundencode ist ein hoch kritisches Sicherheitsrisiko f\u00fcr SAP-Systeme. Dies fand Virtual Forge bei einem Abap Quality Benchmark heraus. Andreas Wiegenstein, CTO des SAP-Sicherheitsanbieters, erl\u00e4utert die gr\u00f6\u00dften Schwachstellen \u2013 und was Anwender dagegen tun sollten.<\/p>\n","protected":false},"author":38,"featured_media":61274,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[161,2,1591],"tags":[453,3863],"coauthors":[19920],"class_list":["post-61293","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-szene","category-sap-nachrichten","category-1591","tag-abap","tag-trojaner","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",400,155,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-768x297.jpg",768,297,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-100x39.jpg",100,39,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-480x186.jpg",480,186,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-640x248.jpg",640,248,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-720x279.jpg",720,279,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-960x372.jpg",960,372,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",18,7,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",600,232,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",600,232,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":" Fehlerhafter Kundencode ist ein hoch kritisches Sicherheitsrisiko f\u00fcr SAP-Systeme. Dies fand Virtual Forge bei einem Abap Quality Benchmark heraus. Andreas Wiegenstein, CTO des SAP-Sicherheitsanbieters, erl\u00e4utert die gr\u00f6\u00dften Schwachstellen \u2013 und was Anwender dagegen tun sollten.<\/p>\n","category_list_v2":"Szene<\/a>, Community Nachrichten<\/a>, MAG 15-12<\/a>","author_info_v2":{"name":"E-3 Magazin","url":"https:\/\/e3mag.com\/de\/author\/e-3-magazin\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/61293","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/38"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=61293"}],"version-history":[{"count":1,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/61293\/revisions"}],"predecessor-version":[{"id":138451,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/61293\/revisions\/138451"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/61274"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=61293"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=61293"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=61293"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=61293"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}E-3: In welchen Bereichen finden sich diese Schwachstellen?<\/h3>\n
E-3: Was ist an diesen \u201eKillerfehlern\u201c so gef\u00e4hrlich?<\/h3>\n
E-3: Gibt es Erkenntnisse, wie viele SAP-Sicherheitsvorf\u00e4lle tats\u00e4chlich auf schadhaften Kundencode zur\u00fcckgehen?<\/h3>\n
E-3: Wie kommt es \u00fcberhaupt zu fehlerhaften Abap-Eigenentwicklungen?<\/h3>\n
E-3: Also k\u00f6nnen Kundencode-Angriffe auch von externen Hackern gef\u00fchrt werden?<\/h3>\n
E-3: Wie k\u00f6nnen sich SAP-Kunden gegen die Risiken des eigenen Abap-Codes sch\u00fctzen?<\/h3>\n
E-3: Welche Ma\u00dfnahmen sollten Unternehmen langfristig ergreifen?<\/h3>\n
E-3: Welchen Nutzen bietet in diesem Zusammenhang Ihr Abap Quality Benchmark?<\/h3>\n
E-3: Herr Wiegenstein, vielen Dank f\u00fcr das Gespr\u00e4ch.<\/h3>\n","protected":false},"excerpt":{"rendered":"