KI-gestütztes Phishing: Warum SAP-Systeme jetzt zur digitalen Festung werden müssen

Inhalt:

Laut aktuellen Warnungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und internationalen Analysen wie der ENISA Threat Landscape erreichen Social-Engineering-Angriffe durch Künstliche Intelligenz eine beispiellose Qualität. Wenn Phishing-Mails nicht mehr als solche erkennbar sind und Accounts kompromittiert werden, rückt die interne Sicherheit von SAP-Systemen in den Fokus. Wer sich heute noch nicht proaktiv mit der Sicherheit seiner SAP-Systeme beschäftigt hat, übergeht eines der momentan wichtigsten Themen in der IT-Welt. 

Der technologische Umbruch kommt nicht erst, er ist bereits in vollem Gange. Cyberkriminelle nutzen zunehmend generative KI, um ihre Angriffe zu perfektionieren.

Das BSI warnt in aktuellen Analysen eindringlich davor, dass Angreifergruppen zunehmend Künstliche Intelligenz nutzen, um Social-Engineering-Angriffe zu perfektionieren. Insbesondere die Glaubwürdigkeit von KI-assistiertem Phishing steigt durch immer „menschlichere“ Ergebnisse von Sprachmodellen massiv an [1]. Auch die europäische Cybersicherheitsagentur ENISA bestätigt diesen Trend: Bereits 2025 machten KI-unterstützte Phishing-Kampagnen mehr als 80 Prozent der weltweit beobachteten Social-Engineering-Aktivitäten aus [2]. Für Unternehmen bedeutet dies eine drastische Veränderung der Bedrohungslandschaft. Die Frage ist nicht mehr, ob auf eine Phishing-Mail geklickt wird, sondern wann. Und vor allem: Was passiert danach in Ihren geschäftskritischen SAP-Systemen? 

Die Evolution des Phishings: Von Massenmails zu maßgeschneiderten Angriffen

Lange Zeit waren Phishing-Mails relativ leicht zu entlarven. Schlechte Rechtschreibung, unpersönliche Anreden und offensichtlich gefälschte Absenderadressen gehörten zum Standardrepertoire der Angreifer. Doch diese Zeiten sind endgültig vorbei. Mit dem Aufkommen von Large Language Models (LLMs) und fortschrittlichen KI-Tools hat sich das Spielfeld grundlegend gewandelt. 

Wie KI den Angreifern in die Hände spielt

Moderne KI-Systeme ermöglichen es Cyberkriminellen, in Sekundenschnelle fehlerfreie, hochgradig personalisierte und kontextbezogene Nachrichten zu generieren. Sie analysieren öffentlich zugängliche Informationen aus sozialen Netzwerken, Unternehmenswebsites und früheren Datenlecks, um ein detailliertes Profil ihrer Zielpersonen zu erstellen. Das Ergebnis sind sogenannte Spear-Phishing-Angriffe, die exakt auf die Rolle, die Interessen und das aktuelle Arbeitsumfeld des Opfers zugeschnitten sind. Das Ergebnis sind sogenannte Spear-Phishing-Angriffe, die exakt auf die Rolle, die Interessen und das aktuelle Arbeitsumfeld des Opfers zugeschnitten sind.

Dabei spielen weder die Branche noch die Sprache eine Rolle – mithilfe der richtigen KI-Tools können Spear-Phishing-Angriffe auf jede Personen- und Unternehmenssituation angepasst werden. 

Darüber hinaus ermöglicht KI die Automatisierung von Angriffen in einem bisher ungekannten Ausmaß. Chatbots können in Echtzeit mit Opfern interagieren, Vertrauen aufbauen und sie geschickt dazu manipulieren, sensible Informationen preiszugeben oder schädliche Links anzuklicken. Selbst Sprach- und Videoanrufe können mittlerweile durch Deepfake-Technologien täuschend echt simuliert werden, was das Social Engineering auf eine völlig neue Ebene hebt. 

Die trügerische Sicherheit: Wenn der Account kompromittiert ist

Ist ein Account erst einmal kompromittiert, beginnt für die Angreifer die eigentliche Arbeit. Ab diesem Punkt bewegen sie sich innerhalb des Unternehmensnetzwerks und suchen nach den wertvollsten Zielen. In den meisten Unternehmen ist dies die SAP-Landschaft, das digitale Herzstück, in dem alle sensiblen Finanz-, Personal- und Produktionsdaten zusammenlaufen. 

Das Problem ungehärteter SAP-Systeme

Das fatale Problem: In vielen Fällen sind SAP-Systeme intern nicht ausreichend gehärtet. Sie gleichen einer Burg, deren äußere Mauern zwar hoch sind, deren innere Türen jedoch weit offenstehen. Wenn Angreifer über einen kompromittierten Account in ein ungehärtetes SAP-System eindringen, haben sie oft leichtes Spiel.  

Fehlende Segmentierung, übermäßige Benutzerrechte und offene RFC-Schnittstellen (Remote Function Call) ermöglichen es ihnen, sich über Systemgrenzen hinweg in der Produktivlandschaft oder dem Netzwerk zu bewegen (Lateral Movement) und weitreichenden Schaden anzurichten. Ein einzelner gekaperter Account – selbst wenn es sich nicht um einen Administrator handelt – kann so zur Kompromittierung des gesamten Unternehmens führen. 

Hoodie-Figur im Codehintergrund mit rotem Schriftzug „Cyber Attack“ als Symbol für Cyberangriffe.

Typische Angriffsvektoren nach der Kompromittierung

Sobald Angreifer einen Fuß in der Tür haben, nutzen sie verschiedene Schwachstellen aus, um ihre Privilegien zu erweitern und auf kritische Daten zuzugreifen: 

  • Ausnutzung von Standardpasswörtern: Oftmals werden Standardbenutzer wie SAP* oder DDIC nicht deaktiviert oder deren Passwörter nicht geändert. 
  • Missbrauch von RFC-Verbindungen: Unzureichend gesicherte RFC-Verbindungen zwischen verschiedenen SAP-Systemen können genutzt werden, um von einem weniger kritischen System auf ein hochsensibles System zuzugreifen. 
  • Schwachstellen in Eigenentwicklungen: Fehlerhafter ABAP-Code in kundenspezifischen Entwicklungen bietet häufig Einfallstore für SQL-Injections, das Einschleusen von Schadcode oder dem Umgehen von Berechtigungsprüfungen. 
  • Fehlende Funktionstrennung (SoD): Wenn Benutzer*innen mehr Berechtigungen haben, als sie für ihre tägliche Arbeit benötigen, können Angreifende diese Rechte missbrauchen, um kritische Transaktionen auszuführen. 
  • Ungepatchte Systeme: Fehlende oder verzögerte Sicherheitsupdates bieten Angreifern bekannte Schwachstellen, die sie gezielt ausnutzen können, um tiefer in das System einzudringen. 
     

Die Lösung: SAP-Härtung und proaktive Sensibilisierung

Um dieser Bedrohung wirksam zu begegnen, bedarf es einer zweigleisigen Strategie, die sowohl den Faktor Mensch als auch die technische Infrastruktur adressiert. Es reicht nicht aus, sich auf Firewalls und Spam-Filter zu verlassen. Die Verteidigung muss in die Tiefe gehen – ein Konzept, das in der Cybersecurity als Defence in Depth bezeichnet wird. Selbst wenn die erste Verteidigungslinie (z. B. der Mensch oder der Spam-Filter) bricht, greifen weitere Sicherheitsebenen, die den Angreifer behindern. Um den eigenen Status quo objektiv bewerten zu können, empfiehlt sich im ersten Schritt eine fundierte Bestandsaufnahme. Mit unseren Cybersecurity Assessments analysieren wir Ihre bestehende Sicherheitsarchitektur und identifizieren kritische Einfallstore, bevor Angreifer sie nutzen können.

1. Gezielte SAP-Härtung: Die digitale Festung errichten

Die SAP-Umgebung muss so konfiguriert sein, dass ein kompromittierter Account nicht den Zugriff auf alle Systembestandteile oder gar über Systemgrenzen hinweg auf andere Systeme ermöglicht. Das Ziel ist es, den potenziellen Schaden zu begrenzen und die Ausbreitung eines Angriffs zu verhindern. 

  • Strikte Rechtevergabe (Least Privilege): Benutzer*innen und jeder technische Account sollte nur die Berechtigungen erhalten, die für die jeweilige Aufgabe zwingend erforderlich sind. 
  • Netzwerksegmentierung: Die SAP-Landschaft sollte in verschiedene Sicherheitszonen unterteilt werden, um den Zugriff zwischen den Systemen zu kontrollieren und einzuschränken. 
  • Absicherung von Schnittstellen: RFC-Verbindungen und andere Schnittstellen müssen verschlüsselt und mit starken Authentifizierungsmechanismen versehen werden. 
  • Regelmäßiges Patch-Management: Sicherheitsupdates von SAP müssen zeitnah eingespielt werden, um bekannte Schwachstellen zu schließen. 
  • Qualitätssicherung und Quality Gates: Eigener ABAP-Code muss vor dem produktiven Einsatz zwingend auf Sicherheitslücken geprüft werden.  
  • Deaktivierung von Standardnutzern: Vordefinierte Accounts wie SAP* oder DDIC müssen konsequent deaktiviert oder mit starken, individuellen Passwörtern abgesichert werden. 

2. Regelmäßige SAP-Penetrationstests: Schwachstellen aufdecken, bevor es andere tun

Um verborgene Schwachstellen aufzudecken, bevor Angreifer sie ausnutzen, sind spezialisierte Penetrationstests unerlässlich. Diese simulieren gezielte Angriffe von innen (Grey-Box-Ansatz) und prüfen, wie weit ein Angreifer mit einem kompromittierten Account tatsächlich kommen würde. 

Ein Standard-Penetrationstest, der sich nur auf die Netzwerk- und Betriebssystemebene konzentriert, greift bei SAP zu kurz. Er kann die spezifischen Schwachstellen in der SAP-Anwendungsschicht, in den Konfigurationen oder in den unzähligen Schnittstellen nicht aufdecken. Ein spezialisierter SAP-Penetrationstest hingegen geht genau dort in die Tiefe. Er liefert den „Beweis durch Ausnutzung“ und zeigt schwarz auf weiß, wie ein Angreifer Ihr System kompromittieren könnte. 

Genau hier setzen wir mit unserem spezialisierten SAP Penetrationstest an. Wir prüfen Ihre SAP-Landschaft auf Herz und Nieren, um selbst tief verborgene Schwachstellen in Eigenentwicklungen oder Schnittstellen aufzudecken. 

Mitarbeiter tippt auf Laptop mit eingeblendetem Schloss-Symbol für IT-Sicherheit.

3. Sensibilisierung gegen Social Engineering: Die menschliche Firewall stärken

Mitarbeitende müssen kontinuierlich geschult werden, um die immer raffinierteren, KI-gestützten Angriffe zu erkennen. Ein ausgeprägtes Sicherheitsbewusstsein ist unerlässlich, um die Erfolgsquote von Phishing-Angriffen zu minimieren.

Dabei geht es nicht darum, Mitarbeiter*innen mit theoretischem Wissen zu überhäufen, sondern ihnen praxisnahe Werkzeuge an die Hand zu geben, um verdächtige Aktivitäten zu identifizieren und richtig darauf zu reagieren. 

Fazit: Resilienz als strategischer Vorteil

Die Warnungen des BSI sind eindeutig: KI-gestütztes Social Engineering ist eine der größten Cyber-Bedrohungen unserer Zeit. Unternehmen müssen akzeptieren, dass Accounts kompromittiert werden könnten. Die entscheidende Metrik für die IT-Sicherheit ist daher die Resilienz der internen Systeme.
Eine professionell gehärtete SAP-Landschaft, flankiert von regelmäßigen Penetrationstests und sensibilisierten Mitarbeitenden, bildet eine digitale Festung, die auch dann standhält, wenn die erste Verteidigungslinie fällt. Warten Sie nicht, bis es zu spät ist: Jetzt ist der richtige Zeitpunkt, um den Status quo Ihrer SAP-Systeme zu hinterfragen und proaktive Härtungsmaßnahmen zu ergreifen. 

Der Weg zu einer solchen Resilienz erfordert eine ganzheitliche Strategie, die Technik, Prozesse und den Faktor Mensch vereint. Im Rahmen unserer umfassenden Cybersecurity Beratung begleiten wir Sie von der ersten Risikoanalyse bis zur erfolgreichen Härtung Ihrer geschäftskritischen Systeme. ​​​​​​

 

Jetzt Kontakt aufnehmen! 

FAQs:

1. Warum sind KI-gestützte Phishing-Angriffe so gefährlich?

KI ermöglicht es Angreifern, in Sekundenschnelle fehlerfreie, hochgradig personalisierte und kontextbezogene Phishing-Nachrichten zu erstellen. Diese sind von legitimer Kommunikation kaum noch zu unterscheiden, was die Erkennungsrate durch Mitarbeiter*innen drastisch senkt. 

2. Was bedeutet „Lateral Movement“ im SAP-Kontext?

Lateral Movement beschreibt die Taktik von Angreifern, sich nach der initialen Kompromittierung eines Accounts schrittweise weitere Zugriffsrechte im Netzwerk zu verschaffen. In ungehärteten SAP-Systemen nutzen sie dafür oft offene Schnittstellen oder zu weit gefasste Berechtigungen. 

3. Warum reicht ein normaler IT-Penetrationstest für SAP nicht aus?

Standard-Penetrationstests konzentrieren sich meist auf Netzwerk- und Betriebssystemebene. SAP-Systeme besitzen jedoch eine hochkomplexe, eigene Anwendungsschicht. Nur spezialisierte SAP-Penetrationstests können spezifische Schwachstellen in ABAP-Code, RFC-Verbindungen oder SAP-Konfigurationen aufdecken. 

4. Wie hilft die SAP-Härtung bei einem kompromittierten Account?

Eine konsequente Härtung stellt sicher, dass ein Angreifer, der sich Zugang zu einem Account verschafft hat, in seinen Handlungsmöglichkeiten stark eingeschränkt ist. Durch Segmentierung und das Least-Privilege-Prinzip wird verhindert, dass sich der Angriff auf das gesamte Unternehmen ausweitet. 

5. Welche Rolle spielt die Sensibilisierung der Mitarbeiter*innen?

Da technische Abwehrmaßnahmen KI-generierte Phishing-Mails nicht immer abfangen können, sind aufmerksame Arbeitnehmer*innen die wichtigste Verteidigungslinie. Regelmäßige Schulungen helfen, das Bewusstsein für Social Engineering zu schärfen und Angriffe frühzeitig zu erkennen. 

Das könnte Sie auch interessieren

Modernes Rechenzentrum mit Sicherheitsicon symbolisiert Cybersicherheit von abat.

Cybersecurity Beratung

jetzt beraten lassen 

Cybersecurity Assessments

IT-Sicherheit auf die Probe stellen 

SAP-Penetrationstests

jetzt Risiken minimieren 

Kontaktieren Sie unsere Experten und lassen Sie uns gemeinsam Ihre SAP-Sicherheitsstrategie optimieren. 

abat Insights

Melden Sie sich an und erhalten Sie eine Nachricht, sobald wir neues Wissen für Sie bereitstellen.

Jetzt anmelden! 

Möwen fliegen im Formationsflug über ruhiges Meer mit kleinen Inseln bei blauem Himmel.