Tobias Harmes
Tobias Harmes
27. November 2025

SAP Penetration Test

43
SAP PENETRATION TEST

Ein Penetrationtest (Pentest) ist ein simulierter Angriff auf das Netzwerk, SAP-System oder andere potenziell anfällige Bereiche des SAP-Systems. Das Unternehmen setzt beim Pentest einen Sicherheitsexperten als potenziellen Hacker ein. Dieser simuliert tatsächliche Angriffsszenarien und erkennt die Sicherheits-Schwachstellen im System.

Inhaltsverzeichnis

  1. Ziel von Penetration Tests
  2. Vorteile
  3. Ablauf eines SAP Penetration Tests
    1. Vorbereitung und Gestaltung
    2. Angriffssimulation
    3. Analyse und Nachbereitung
  4. Typischer Aufbau eines Penetrationstest-Berichts
    1. Zusammenfassung
    2. Methoden
    3. Ergebnisse
    4. Maßnahmenempfehlungen
    5. Unterstützendes Material
  5. SAP Pentest Tools
  6. Angriffsszenarien
    1. Zugang über Remote Function Call (RFC)
    2. Überwinden der Passworthürde
    3. Code Injection
  7. Rechtliche Aspekte
  8. Fazit
  9. Weitere Informationen
  10. FAQ
    1. Was ist ein SAP Penetration Test?
    2. Welche Vorteile bietet der SAP Penetration Test?
    3. Welches Ziel hat der SAP Penetration Test?
    4. Wer kann mir beim Thema SAP Penetration Test helfen?
    5. Kontaktieren Sie mich

Ziel von Penetration Tests

Ein Pentest verfolgt das Ziel, Schwachstellen im System und in der Umgebung aktiv aufzudecken, um vorhandene Risiken und Sicherheitslücken besser zu verstehen und anschließend zu beheben. In der Regel führt ein externer Pentester die Tests durch und bewertet dabei gezielt die Angriffsflächen. Gleichzeitig liefert der SAP-Pentest jedoch nur eine Momentaufnahme der aktuellen Sicherheitslage und zeigt damit ausschließlich potenzielle Schwachstellen zum Testzeitpunkt auf.

Zusammenfassend lassen sich folgende Ziele ableiten:

  • Schwachstellen-Identifikation
  • Aufdecken von potenziellen Fehlen, die aus fehlerhafter Bedienung entstehen
  • Erhöhung der Sicherheit des SAP-Systems

Vorteile

Die Vorteile eines Penetrationstests sind:

  • zunächst ein detaillierter Abschlussbericht, der die Schwächen in den verschiedenen Bereichen des Systems aufzeigt. Der Bericht beinhaltet zudem klare, priorisierte Schritte zur Verringerung der Schwachstellen. Dem Unternehmen fällt es dadurch leicht, Maßnahmen und Schritte zur Beseitigung der Schwachstellen durchzuführen.
  • eine realitätsnahe Angriffssimulation.
  • die Absicherung der Unternehmens-, Kunden- und Mitarbeiterdaten.
  • die Erfüllung der DSGVO und anderer regulatorischer Anforderungen und dadurch
  • der Aufbau einer Vertrauensbasis für Kunden und Geschäftspartner.

SAP Penetration Test - kontrollierte Überprüfung ihres Systems

Wir führen eine kontrollierte Überprüfung des Sicherheits-Zustandes Ihres SAP-Systems durch - mit unserem SAP Penetration Test.

informieren

Ablauf eines SAP Penetration Tests

Vorbereitung und Gestaltung

Der Ablauf und die Durchführung eines Pentests werden in enger Abstimmung zwischen Pentester und Unternehmen besprochen. Im Vorhinein werden individuelle Möglichkeiten und der Fokus des Pentests besprochen.

Angriffssimulation

Beim üblichen Black-Box-Test greift der Pentester das System vollständig von außen und ohne jegliche Unterstützung an. Allerdings erfordert diese Methode eine aufwendige Abstimmung mit allen Unternehmensbereichen und führt dadurch oft zu langen Testlaufzeiten von mehreren Monaten. Alternativ entscheidet sich ein Unternehmen auch für einen Grey-Box- oder White-Box-Test.

Beim Grey-Box-Test startet der Pentester mit definierter Hacker-Software mehrere potenzielle Angriffsszenarien auf das SAP-System. Dabei nutzt er die intern zugängliche Infrastruktur und simuliert somit einen Angreifer, der von innen heraus agiert, beispielsweise einen Systemadministrator. Anschließend führt er den White-Box-Test durch. Hier setzt er einen SAP-Scanner ein, um detailliert Sicherheitslücken im SAP-System aufzudecken.

Die Ziele eines Pentests liegen dabei bewusst auf der Infrastrukturebene, also etwa bei der Datenbank, dem Anwendungsserver oder dem SAP-Gateway.

Analyse und Nachbereitung

Der SAP-Pentest liefert zunächst konkrete Befunde. Anschließend analysiert das Sicherheitsteam diese Ergebnisse ausführlich. Gemeinsam mit den Sicherheitsexperten entwickelt das Unternehmen daraufhin gezielte Handlungsempfehlungen, um die identifizierten Schwachstellen zu beseitigen. Diese Ausarbeitung erfolgt typischerweise in Form eines schriftlichen Penetrationstest-Berichts.

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

Typischer Aufbau eines Penetrationstest-Berichts

Ein Pentest-Bericht sollte neben Übersichtlichkeit und einer zusammenhängenden Protokollierung des Angriffs Maßnahmen zur Sicherheitsverbesserung beinhalten. Ein typischer Aufbau eines Berichts könnte wie folgt aussehen:

Zusammenfassung

In der Zusammenfassung werden die Ergebnisse des Pentest und die gefunden Schwachstellen dargestellt. Zudem werden die empfohlenen Verbesserungsmaßnahmen ohne ausführliche Erläuterung genannt.

Methoden

In den Methoden werden die Strategie des Tests, die verwendeten Tools und Eckdaten zu den getesteten Systemen vorgestellt.

Ergebnisse

Im Ergebnis Teil des Berichts werden die die gefundenen Schwachstellen ausführlich beschrieben. Zusätzlich werden die gefunden Schwachstellen hinsichtlich ihrer Relevanz gewichtet und kategorisiert.

Maßnahmenempfehlungen

Ausgehend von der Analyse werden Verbesserungsmaßnahmen und konkrete Implementationspläne erörtert und vorgestellt.

Unterstützendes Material

Um das Verständnis für Außenstehende zu erhöhen, wird dem Bericht unterstützendes Material wie Screenshots oder Quellenbezüge angehängt.

SAP Risikominimierung

Howto: SAP Risikominimierung

Risiko durch fehlende Berechtigungsgruppen von Programmen und Tabellen im SAP minimieren.

Jetzt anfordern

SAP Pentest Tools

Um einen Pentest an einem SAP-System durchzuführen können Tester unterschiedliche Tools auswählen. Besonders häufig trifft man auf

  • SAP Penetration Testing Framework (SAP Pent-Test) – dies ist ein Framework, das speziell für Penetrationstests an SAP-Systemen entwickelt wurde. Es enthält eine Vielzahl von Tools und Methoden, die für die Durchführung von Penetrationstests an SAP-Systemen verwendet werden können.
  • ERPScan Security Monitoring Suite ist ein von SAP zertifiziertes Tool. Es ermöglicht zyklische Pentests bekannter Schwachstellen von SAP-Systemen automatisiert durchzuführen.
  • Burp Suite ist ein Tool das hauptsächlich für Sicherheitstestungen von Web-Applikationen verwendet wird. Es erlaubt Cloud-Applikationen innerhalb der SAP BTP (Business Technology Platform) zu testen.
  • Metasploit ist ein vielseitiges Framework zur Herstellung von IT-Security. Es ermöglicht, Exploits und Payloads auf SAP-Systemen auszuführen und Schwachstellen zu indentifizieren.
  • Nmap ist ein frei verfügbarer Portscanner. In SAP-Systemen lassen sich damit Schwachstellen in Web-basierten SAP-Anwendungen aufdecken.

Angriffsszenarien

Mit SAP Pentest können mehrere Angriffsszenarien durchgeführt werden, die auf verschiedene Schwachstellen fokussiert sind:

Zugang über Remote Function Call (RFC)

Durch einen RFC kann der Zugriff auf Funktionen in einem entfernten System erfolgen. In diesem Szenario kann ein Hacker bestimmte Kommandos ausführen und Daten auslesen lassen. Mit RFC sind aber auch SAP-eigene Protokolle oder Schnittstellen gemeint, mit denen verschiedene Funktionen abgewickelt werden können. Solche Schnittstellen sind API’s, die sich aus Programmen wie z.B. Microsoft Excel aufrufen lassen.

Überwinden der Passworthürde

Der Pentester kann sich Passwörter üblicherweise auf drei unterschiedlichen Wegen organisieren. Da es bei SAP Systemen oft reguläre Standardbenutzer mit Standardpasswörtern gibt, sind diese im Internet leicht auffindbar. Hat ein Unternehmen diese Passwörter nicht ausgetauscht, ist es für den Pentester sehr leicht das System zu hacken. Außerdem können die Passwörter aus einer Datenbank gestohlen werden. Der Pentester checkt, ob schwach verschlüsselte Passwörter in Benutzung sind. Die dritte Möglichkeit ist das Auslesen der Passwörter. Das ist oft der Fall, wenn die Verbindung zwischen Client und Server nicht ausreichend sicher ist.

Code Injection

Während des Pentests prüfen die Tester mit Code-Scannern, ob Schwachstellen in der Programmierung vorliegen. Entdecken sie eine solche Schwachstelle, versuchen sie anschließend, diese über eine Code Injection auszunutzen und in das System einzudringen. Dabei fügen sie über ein normales Eingabeformular künstlichen Code in die Applikation ein und führen ihn direkt aus. Im schlimmsten Fall verschaffen sie sich dadurch Zugriff auf Datenbanken und können diese manipulieren oder auslesen.

Webinar: Best Practices für Pentests im SAP-Umfeld

Im Webinar erfahren Sie, wie genau ein Pentest durchgeführt wird, welche (Angriffs-) Möglichkeiten es gibt und was unsere Best-Practices in diesem Bereich sind.
Jetzt anmelden

Rechtliche Aspekte

Das durchführende Unternehmen holt vor Beginn des Pentests das Einverständnis der zu testenden Organisation ein. Liegt diese Zustimmung jedoch nicht vor, gilt der Pentest laut Rechtslage als illegal und stellt somit eine Straftat dar. Daher testet das Pentesting-Team ausschließlich eigene oder ausdrücklich freigegebene IT‑Systeme und niemals die Netze oder Systeme Dritter.

Fazit

Trotz des hohen zeitlichen Aufwands erweisen sich Pentests häufig als sehr hilfreich. Führt ein Unternehmen Pentests regelmäßig durch, steigern sie erheblich die Informationssicherheit. Danach diskutiert das Team gemeinsam mit den Sicherheitsexperten die gefundenen Schwachstellen und entwickelt daraus direkt umsetzbare Handlungsempfehlungen.

Dieser Artikel erschien bereits im Januar 2023. Der Artikel wurde am 27.11.2023 erneut geprüft und mit leichten Anpassungen aktualisiert.

Weitere Informationen

FAQ

Was ist ein SAP Penetration Test?

Ein Penetrationtest (Pentest) ist ein simulierter Angriff auf das Netzwerk, SAP-System oder andere potenziell anfällige Bereiche des SAP-Systems. Das Unternehmen setzt beim Pentest einen Sicherheitsexperten als potenziellen Hacker ein. Dieser simuliert tatsächliche Angriffsszenarien und erkennt die Sicherheits-Schwachstellen im System.

Welche Vorteile bietet der SAP Penetration Test?

Zu den Vorteilen zählen ein detaillierter Abschlussbericht, der die Schwächen in den verschiedenen Bereichen des Systems aufzeigt. Der Bericht beinhaltet zudem klare, priorisierte Schritte zur Verringerung der Schwachstellen. Die Absicherung der Unternehmens-, Kunden- und Mitarbeiterdaten, welche mit der Durchführung der Penetration erreicht wird, ist eine solide finanzielle Investition für das durchführende Unternehmen.

Welches Ziel hat der SAP Penetration Test?

Das Ziel und der Zweck eines Pentests ist es, Schwachstellen im System und der Umgebung zu identifizieren, um vorhandene Risiken und Schwächen zu verstehen und zu beheben.

Wer kann mir beim Thema SAP Penetration Test helfen?

Wenn Sie Unterstützung zum Thema SAP Penetration Test benötigen, stehen Ihnen die Experten von RZ10, dem auf dieses Thema spezialisierten Team der mindsquare AG, zur Verfügung. Unsere Berater helfen Ihnen, Ihre Fragen zu beantworten, das passende Tool für Ihr Unternehmen zu finden und es optimal einzusetzen. Vereinbaren Sie gern ein unverbindliches Beratungsgespräch, um Ihre spezifischen Anforderungen zu besprechen.


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Weitere Beiträge:

1 noch...

it-sa 2019: Recap

Ich habe den Forumstag auf der it-sa 2019, der IT-Security Messe und Kongress in Nürnberg, besucht. Mein Recap dazu in dieseem Beitrag.
Artikel lesen
SAP Security

TISAX in SAP - Anforderungen im SAP System umsetzen

TISAX in SAP umsetzen
Wollen Sie die TISAX Zertifizierung erlangen oder haben Sie schon eine temporäre Zertifizierung erhalten und arbeiten an den festgestellten Mängeln im SAP?
#sap security, #TISAX
Artikel lesen
SAP Berechtigungen » SAP schützen

Checkliste zur Vorbereitung auf ein SAP Berechtigungsredesign

Checkliste Berechtigungsredesign
In Ihrem Unternehmen steht eine Erneuerung der SAP Berechtigungen an? Mit unserer Checkliste können Sie sich auf das SAP Berechtigungsredesign vorbereiten.
#RedesignBerechtigungen
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
Kostenloses E-Book
Fachartikel SAP Basis & Security
Download
Kostenloses Whitepaper
Download
Kostenloses E-Book
Mobile App Security
Download
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage