Monat: Dezember 2025

Hand aufs Herz: Wann haben Sie das letzte Mal proaktiv in das Security Audit Log (SM20) oder das Systemlog (SM21) Ihres SAP-Produktivsystems geschaut? Wahrscheinlich erst dann, als ein Fehler auftrat oder der Auditor im Haus war.

Das ist völlig normal, aber brandgefährlich. SAP-Logs sind im Standard unübersichtlich, auf einzelne Instanzen verteilt und schwer zu durchsuchen. Ein Angreifer weiß das. Er nutzt die Unübersichtlichkeit, um sich im „Rauschen“ der Millionen Log-Einträge zu verstecken. Und hat er erst einmal administrative Rechte erlangt, ist sein erster Schritt oft das Löschen der Spuren direkt im SAP-System.

In diesem Beitrag zeigen wir, wie Sie mit dem werthAUDITOR die Hoheit über Ihre Daten zurückgewinnen: Durch zentrales Log-Archiving und intelligente Threat Detection.

1. Raus aus dem Datensilo: Das manipulationssichere Log-Archiv

Die erste Verteidigungslinie ist Transparenz. Der werthAUDITOR zieht die sicherheitsrelevanten Logs (Security Audit Log, Systemlog, Gateway-Log, HTTP-Log) aus allen angeschlossenen SAP-Systemen ab und speichert sie in einer zentralen, modernen Datenbank (z.B. basierend auf Elastic/OpenSearch).

Das bringt Ihnen drei entscheidende Vorteile:

1. Manipulationssicherheit: Selbst wenn ein Angreifer das SAP-System kompromittiert und dort lokal Logs löscht („Covering Tracks“), sind die Beweise im werthAUDITOR-Archiv bereits sicher verwahrt.
2. Performance & Usability: Statt sich durch träge SAP-Transaktionen zu quälen, suchen Sie in Sekundenbruchteilen über alle Systeme hinweg. „Zeige mir alle Logins von User X auf allen Systemen in den letzten 30 Tagen“ – eine Abfrage, die im SAP Stunden dauert, ist hier ein Klick.
3. Single Point of Truth: Sie korrelieren Ereignisse über Systemgrenzen hinweg.

(Übersicht statt Textwüste: Der SAL/SLOG Viewer visualisiert Ereignisse und macht Anomalien sofort erkennbar)

2. Vom Rauschen zum Alarm: Intelligente Threat Detection

Logs zu haben ist gut, sie zu verstehen ist besser. Niemand kann Millionen Zeilen manuell lesen. Deshalb übernimmt das der werthAUDITOR für Sie.

Unsere Threat Detection Engine scannt den eingehenden Datenstrom in Echtzeit auf bekannte Angriffsmuster und kritische Ereignisse, wie zum Beispiel:

• Debugging im Produktivsystem (insbesondere mit Replace-Funktion).
• Verdächtige Download-Aktivitäten sensibler Daten.
• Zuweisung kritischer Profile wie SAP_ALL außerhalb genehmigter Prozesse.
• Starten von kritischen Reports oder Transaktionen durch Dialog-User.

3. Das Cockpit für Ihre Sicherheit (Management Dashboard)

Erkannte Bedrohungen landen nicht in einer Textdatei, sondern werden visuell aufbereitet. Das Management Dashboard gibt Ihnen jederzeit Auskunft über den Sicherheitsstatus Ihrer Landschaft.

Sie sehen sofort:

• Welche Systeme sind aktuell bedroht?
• Wie entwickeln sich die Sicherheitsvorfälle über die Zeit?
• Gibt es Häufungen bei bestimmten Angriffsmustern?

Dies ermöglicht eine schnelle Reaktion (Incident Response), bevor aus einem Sicherheitsvorfall ein Datenschutz-Desaster wird.

(Alles im Blick: Das Dashboard zeigt Bedrohungen, KPIs und den Sicherheitsstatus der gesamten Landschaft in Echtzeit)

Fazit: Werden Sie zum Jäger

Verlassen Sie sich nicht darauf, dass Ihre Firewall alles abhält. Innentäter oder kompromittierte Accounts agieren innerhalb des Perimeters. Mit dem Log-Archiv und der Threat Detection des werthAUDITOR machen Sie das Licht an. Sie sehen, was passiert – genau in dem Moment, in dem es passiert.

So schützen Sie Ihre Daten nicht nur vor Diebstahl, sondern sichern sich auch wertvolle Beweise für forensische Analysen.

Ihr nächster Schritt: Möchten Sie sehen, was in Ihren Logs wirklich steht? Lassen Sie uns den werthAUDITOR als „stille Alarmanlage“ testen.

Kennen Sie wirklich jede Verbindung in Ihrer SAP-Landschaft? Wissen Sie, welches Testsystem eine vertrauenswürdige RFC-Verbindung („Trusting“) in Ihre Produktion besitzt? Oder welche Cloud-Dienste (BTP) Daten aus Ihrem On-Premise-ERP ziehen?

In vielen Unternehmen gleicht die SAP-Architektur einem historisch gewachsenen Spinnennetz. Schnittstellen wurden für Projekte eingerichtet und nie wieder deaktiviert. Für Angreifer ist dieses undurchsichtige Netz ein Paradies: Haben sie ein schwach gesichertes Entwicklungssystem kompromittiert, nutzen sie vergessene RFC-Verbindungen für das sogenannte „Lateral Movement“, um sich unbemerkt bis ins Herz der Produktion vorzuarbeiten.

In diesem Beitrag zeigen wir, wie Sie mit dem werthAUDITOR dieses Netzwerk kartografieren und Risiken mittels detaillierter Reports sofort eliminieren.

Schritt 1: Das Unsichtbare sichtbar machen (Die Landschaftsanalyse)

Bevor man sichert, muss man verstehen. Der werthAUDITOR scannt Ihre gesamte Landschaft und visualisiert sie in einer interaktiven Topologie-Karte. Sie sehen auf einen Blick, wer mit wem spricht – über Systemgrenzen und Standorte hinweg. Doch die grafische Übersicht ist nur der erste Schritt.

Schritt 2: Hard Facts für Auditoren und Admins – Der Verbindungsbericht

Für die operative Bereinigung und das Audit benötigen Sie Details. Der werthAUDITOR exportiert die Analyseergebnisse in einen umfassenden Excel-Report, der als Arbeitsnachweis und Maßnahmenplan dient.

Welche kritischen Informationen ziehen wir aus den Rohdaten für Sie heraus? Ein Blick in den Report zeigt den enormen Mehrwert:

1. Inventarisierung & Gesundheitsstatus (Tab: Systems) Der Report liefert nicht nur eine Liste der Systeme, sondern bewertet deren Zustand. Sie sehen sofort den Patchstand des Kernels und des Betriebssystems. Veraltete Stände werden rot markiert. Das ist Ihre Basis für ein sauberes Asset Management.

2. Die RFC-Gefahrenanalyse (Tab: Destinations) Hier liegt oft das größte Risiko. Der Report listet nicht nur alle RFC-Verbindungen auf, sondern analysiert deren Qualität:

• Stored User: Wir identifizieren Verbindungen, in denen Passwörter fest hinterlegt sind – oft sogar von privilegierten Usern.
• Trusting-Beziehungen: Der Report filtert gezielt nach „TRUSTING“-Verbindungen. Diese sind besonders kritisch, da sie oft keinen erneuten Login erfordern. Ein Angreifer auf dem Quellsystem ist automatisch auch auf dem Zielsystem.
• Status-Check: Defekte Verbindungen, die nur „Datenmüll“ sind, werden zur Bereinigung vorgeschlagen.

3. Konkrete Bedrohungsliste (Tab: Bedrohungen) Der werthAUDITOR übersetzt technische Daten in Management-Risiken. Im Tab „Bedrohungen“ finden Sie priorisierte Findings wie:

• „Destinations mit privilegiertem stored User erkannt“: Ein Einfallstor für Privileged Escalation.
• „Standard-Anmeldeinformationen gefunden“: Vergessene Default-Passwörter, die jedem Angreifer bekannt sind.
• „Unverschlüsselte Destinations“: Wo fließen Daten im Klartext?

4. Moderne Schnittstellen & Cloud (Tabs: OData, BTP Integration) SAP ist längst nicht mehr nur RFC. Der Report deckt auch die moderne Welt ab. Wir listen alle aktiven OData-Services und ICF-Knoten auf, um die Angriffsfläche im Web zu bewerten. Zudem integrieren wir die SAP Business Technology Platform (BTP): Der Report zeigt Integration Flows und Endpoints. So erkennen Sie Schatten-IT auch in der Cloud.

Fazit: Von der Blackbox zur transparenten Festung

Mit diesem Report verwandeln Sie das diffuse Gefühl der Unsicherheit in eine abarbeitbare Checkliste. Sie können:

1. Veraltete und gefährliche RFC-Verbindungen kappen.
2. Passwörter aus Verbindungen entfernen.
3. Trust-Beziehungen auf das Nötigste reduzieren.
4. Cloud-Integrationen überwachen.

Machen Sie Ihre Schnittstellen zur kontrollierten Schleuse statt zum offenen Tor.

Ihr nächster Schritt: Wissen Sie, wie viele „Trusting“-Verbindungen in Ihrer Produktion enden? Lassen Sie uns gemeinsam einen Scan durchführen und den Report für Ihre Landschaft generieren.

SAP-Systeme bilden das Rückgrat vieler Unternehmen. Doch wer für deren Sicherheit verantwortlich ist, blickt oft auf einen Flickenteppich: Hier ein Tool für Code-Scans, dort manuelle Listen für Patch-Level, und für die Log-Analyse kämpft man sich mühsam durch die SAP-GUI.

Diese Fragmentierung kostet nicht nur Zeit, sie ist ein echtes Sicherheitsrisiko. Angriffe werden übersehen, weil der Gesamtüberblick fehlt. Mit dem werthAUDITOR verfolgen wir einen anderen Ansatz: Eine zentrale Plattform, die alle sicherheitsrelevanten Bereiche abdeckt – von der Konfiguration über den Code bis hin zur Echtzeit-Überwachung.

In unserer neuen Blog-Serie stellen wir Ihnen konkrete Use-Cases vor, wie Sie mit unserer Lösung typische Sicherheitsherausforderungen meistern. Zum Start geben wir Ihnen heute einen Überblick über die Leistungsfähigkeit der Plattform.

1. Zentralisierung statt Datensilos: Das moderne Log-Archiv

Hand aufs Herz: Analysieren Sie gerne Security Audit Logs (SM20) oder Systemlogs (SM21) direkt im SAP-System? Die SAP-eigenen Werkzeuge sind oft unübersichtlich und isoliert auf das jeweilige System beschränkt.

Der werthAUDITOR ändert das radikal. Er zieht die Logs aus allen angeschlossenen SAP-Systemen ab und zentralisiert sie in einem modernen Security Dashboard (z.B. basierend auf Elastic/OpenSearch).

Ihre Vorteile:

• Komfortable Analyse: Statt kryptischer Transaktionen nutzen Sie performante Suchfunktionen und Visualisierungen, um Anomalien sofort zu erkennen.
• Manipulationssicherheit: Ein Angreifer, der in Ihr SAP-System eindringt, versucht oft als erstes, seine Spuren zu verwischen, indem er Logs löscht. Da der werthAUDITOR die Logs bereits exportiert und archiviert hat, bleiben die Beweise sicher verwahrt – ein entscheidender Vorteil für die Forensik.
• Gesamtblick: Korrelieren Sie Ereignisse über Systemgrenzen hinweg, anstatt jedes System einzeln zu prüfen.

(Zentrale Log-Analyse im werthAUDITOR: Übersichtlicher und schneller als jede SAP-Transaktion)

2. Das Minimalprinzip umsetzen: Role Minimization leicht gemacht

Berechtigungen wachsen oft historisch. Ein Mitarbeiter wechselt die Abteilung, behält aber die alten Rechte. Das Resultat sind überberechtigte User („Toxic Combinations“). Eine manuelle Bereinigung ist ein Ritt auf der Rasierklinge: Entzieht man zu viel, steht der Fachbereich still.

Mit der Benutzertrace Analyse des werthAUDITOR automatisieren wir den Weg zum „Least Privilege“-Prinzip.

• Messen statt Raten: Wir zeichnen auf, welche Berechtigungen ein User im Alltag tatsächlich nutzt.
• Automatische Generierung: Auf Basis dieser Fakten erstellt der werthAUDITOR passgenaue Rollenvorschläge oder vergleicht den Ist-Zustand mit der Soll-Rolle.

So reduzieren Sie Angriffsflächen effektiv, ohne den laufenden Betrieb zu gefährden.

(Vom Trace zur Rolle: Automatische Ermittlung der tatsächlich benötigten Berechtigungen)

3. Transparenz in der Systemlandschaft

Wissen Sie ad-hoc, welches Entwicklungssystem eine vertrauenswürdige RFC-Verbindung in Ihr Produktionssystem hat? Veraltete Schnittstellen und unkontrollierte Trust-Beziehungen sind ideale Einfallstore für laterale Bewegungen von Angreifern.

Unsere Grafische Landschaftsanalyse visualisiert Ihre gesamte Topologie. Sie sehen sofort, wie Systeme vernetzt sind und wo kritische Kommunikationspfade verlaufen. Das macht unsichtbare Risiken sichtbar.

4. Basis-Härtung und Code Security

Sicherheit beginnt im Fundament. Der werthAUDITOR prüft Ihre Systeme automatisiert gegen gängige Standards wie den DSAG Prüfleitfaden, BSI IT-Grundschutz oder die SAP Security Baseline.

Doch wir schauen tiefer: Auch Ihr eigenentwickelter ABAP-Code (Z-Code) wird auf Sicherheitslücken wie SQL-Injections oder fehlende Berechtigungsprüfungen gescannt. Das Besondere dabei: Unsere Lösung arbeitet „Zero Footprint“ – es sind keine Agenten auf Ihren SAP-Systemen notwendig, was den Betrieb entlastet.

Ausblick: Unsere Use-Case Serie

Der werthAUDITOR ist mehr als nur ein Audit-Tool – er ist Ihre Schaltzentrale für SAP-Sicherheit. In den kommenden Wochen tauchen wir tiefer in die Praxis ein. Freuen Sie sich auf detaillierte Artikel zu diesen Themen:

• SAP ERP Config Validation: Automatisierte Prüfung tausender Parameter.
• Threat Detection: Angriffe in Echtzeit erkennen (OnPrem & Cloud).
• Vuln Management: Schwachstellen proaktiv managen.
• Role Verification: Rechteänderungen simulieren, bevor sie aktiv werden.
• BTP Security: Sicherheit in der SAP Business Technology Platform.
• Interfaces / RFC Security: Schnittstellen effektiv härten.

Machen Sie Schluss mit dem „Blindflug“ in Ihrer SAP-Sicherheit.

Sie wollen nicht auf den nächsten Artikel warten? Kontaktieren Sie uns für eine Live-Demo und sehen Sie selbst, wie der werthAUDITOR Ihre Landschaft absichert.

Zum heutigen SAP Security Patchday (9. Dezember 2025) wurden insgesamt 14 neue Sicherheitshinweise veröffentlicht. Darunter befinden sich drei „HotNews“-Hinweise mit kritischer Priorität (CVSS > 9.0), die sofortige Aufmerksamkeit erfordern.

Hier findet ihr eine Übersicht aller SAP Security Notes für Dezember 2025:

1. Score 9.9 (Hot News) Nummer: 3685270 [CVE-2025-42880] Code-Injection-Schwachstelle in SAP Solution Manager Link: https://me.sap.com/notes/3685270

Im SAP Solution Manager (Komponente ST 720) wurde eine kritische Code-Injection-Schwachstelle identifiziert. Ein authentifizierter Angreifer kann durch das Ausnutzen eines Remote-fähigen Funktionsbausteins (RFC) beliebigen Code auf dem System ausführen. Dies führt zu einer vollständigen Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems. Da der Solution Manager oft als zentrales Verwaltungswerkzeug dient, ist das Risiko hier besonders hoch.

2. Score 9.6 (Hot News) Nummer: 3683579 [CVE-2025-55754] Mehrere Schwachstellen in Apache Tomcat innerhalb der SAP Commerce Cloud Link: https://me.sap.com/notes/3683579

SAP Commerce Cloud verwendet eine Version von Apache Tomcat, die von mehreren Sicherheitslücken betroffen ist (darunter CVE-2025-55754 und CVE-2025-55752). Diese Schwachstellen ermöglichen es Angreifern, die Verfügbarkeit des Dienstes zu beeinträchtigen oder unautorisierten Zugriff zu erlangen. SAP stellt mit diesem Hinweis aktualisierte Versionen bereit, um die betroffenen Komponenten zu patchen.

3. Score 9.1 (Hot News) Nummer: 3685286 [CVE-2025-42928] Deserialisierungsschwachstelle in SAP jConnect (SDK für ASE) Link: https://me.sap.com/notes/3685286

Im SAP jConnect SDK für Adaptive Server Enterprise (ASE) existiert eine Deserialisierungsschwachstelle. Ein Angreifer könnte speziell präparierte Daten an die Anwendung senden, die beim Deserialisieren zur Ausführung von Schadcode oder zu einer Dienstunterbrechung führen. Betroffen sind die Versionen 16.0.4 und 16.1.

4. Score 8.2 (High Priority) Nummer: 3684682 [CVE-2025-42878] Offenlegung sensibler Daten in SAP Web Dispatcher und Internet Communication Manager (ICM) Link: https://me.sap.com/notes/3684682

Eine Schwachstelle im SAP Web Dispatcher und ICM ermöglicht es unter bestimmten Umständen, interne Test-Schnittstellen oder Diagnose-Informationen offenzulegen. Ein unauthentifizierter Angreifer könnte diese Informationen nutzen, um weitere Angriffe vorzubereiten oder sensitive Konfigurationsdetails einzusehen.

5. Score 7.9 (High Priority) Nummer: 3640185 [CVE-2025-42874] Denial-of-Service (DOS) in SAP NetWeaver (Remote-Service für Xcelsius) Link: https://me.sap.com/notes/3640185

Der Remote-Service für Xcelsius in SAP NetWeaver weist eine Schwachstelle bei der Eingabevalidierung auf. Ein Angreifer mit Netzwerkzugriff kann dies ausnutzen, um den Dienst zum Absturz zu bringen oder die Verarbeitung massiv zu stören (Denial of Service). Dies beeinträchtigt die Verfügbarkeit des Systems erheblich.

6. Score 7.5 (High Priority) Nummer: 3677544 [CVE-2025-42877] Speicherbeschädigungsschwachstelle in SAP Web Dispatcher, Internet Communication Manager und SAP Content Server Link: https://me.sap.com/notes/3677544

Aufgrund logischer Fehler in der Speicherverwaltung von Web Dispatcher, ICM und Content Server kann ein authentifizierter Benutzer eine Speicherbeschädigung (Memory Corruption) auslösen. Dies führt in der Regel zum Absturz der betroffenen Prozesse und somit zu einer hohen Beeinträchtigung der Verfügbarkeit.

7. Score 7.5 (High Priority) Nummer: 3650226 [CVE-2025-48976] Denial-of-Service (DoS) in SAP BusinessObjects Management Console Link: https://me.sap.com/notes/3650226

Eine unzureichende Ressourcenverwaltung in der SAP BusinessObjects Management Console erlaubt es einem nicht authentifizierten Angreifer, den Dienst durch Überlastung lahmzulegen. Dies verhindert, dass legitime Benutzer auf die Anwendung zugreifen können.

8. Score 7.1 (High Priority) Nummer: 3672151 [CVE-2025-42876] Fehlende Berechtigungsprüfung in SAP S/4HANA Cloud (Finanzwesen: Hauptbuch) Link: https://me.sap.com/notes/3672151

Im Finanzwesen (Hauptbuch) der SAP S/4HANA Cloud fehlt eine spezifische Berechtigungsprüfung. Dadurch kann ein authentifizierter Angreifer mit eigentlich geringen Rechten buchungskreisübergreifend Belege lesen, ändern oder buchen. Dies stellt ein ernsthaftes Risiko für die Vertraulichkeit und Integrität von Finanzdaten dar.

9. Score 6.6 (Medium Priority) Nummer: 3591163 [CVE-2025-42875] Fehlende Authentifizierungsprüfung in SAP Internet Communication Framework Link: https://me.sap.com/notes/3591163

Das SAP Internet Communication Framework (ICF) führt für bestimmte Services keine korrekte Authentifizierungsprüfung durch. Ein Angreifer mit hohen Privilegien könnte dies nutzen, um eine Benutzeridentität wiederzuverwenden. Dies verstößt gegen sichere Authentifizierungsstandards.

10. Score 6.5 (Medium Priority) Nummer: 3662324 [CVE-2025-42904] Offenlegung von Informationen in Application Server ABAP Link: https://me.sap.com/notes/3662324

Durch eine fehlerhafte Maskierung in ABAP-Listen kann ein authentifizierter Angreifer im Application Server ABAP sensible Daten einsehen, die eigentlich maskiert sein sollten. Dies führt zu einer unautorisierten Offenlegung von Informationen.

11. Score 6.1 (Medium Priority) Nummer: 3662622 [CVE-2025-42872] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Enterprise Portal Link: https://me.sap.com/notes/3662622

Im SAP NetWeaver Enterprise Portal wurde eine Reflected XSS-Schwachstelle entdeckt. Da URL-Parameter nicht ausreichend bereinigt werden, kann Schadcode im Browser des Opfers ausgeführt werden, was potenziell zum Diebstahl von Sitzungsdaten führt.

12. Score 5.9 (Medium Priority) Nummer: 3676970 [CVE-2025-42873] Denial of Service (DoS) in SAPUI5 (Markdown-it-Komponente) Link: https://me.sap.com/notes/3676970

SAPUI5 verwendet die Drittanbieter-Bibliothek „markdown-it“, die in älteren Versionen anfällig für eine Endlosschleife bei der Verarbeitung fehlerhafter Eingaben ist. Dies kann zu einer hohen CPU-Last führen und die Anwendung blockieren.

13. Score 5.5 (Medium Priority) Nummer: 3659117 [CVE-2025-42891] Fehlende Berechtigungsprüfung in SAP Enterprise Search für ABAP Link: https://me.sap.com/notes/3659117

In SAP Enterprise Search für ABAP können authentifizierte Benutzer aufgrund einer fehlenden Berechtigungsprüfung Datenbanktabelleninhalte lesen und exportieren, auf die sie keinen Zugriff haben sollten.

14. Score 5.4 (Medium Priority) Nummer: 3651390 [CVE-2025-42896] Server-Side Request Forgery (SSRF) in SAP BusinessObjects Business Intelligence Plattform Link: https://me.sap.com/notes/3651390

Ein nicht authentifizierter Angreifer kann die SAP BusinessObjects BI-Plattform dazu bringen, bösartige URLs abzurufen (SSRF). Dies geschieht über manipulierte Parameter auf der Anmeldeseite und kann zur Offenlegung interner Netzwerkinformationen führen.

---

Wir empfehlen euch dringend, insbesondere die HotNews und High Priority Patches so schnell wie möglich zu installieren, um eure SAP-Landschaft abzusichern.