FOTOMEK/ ADOBE
SAP-Sicherheit im KI-Zeitalter: Vorteil für die Verteidigung
Wo künstliche Intelligenz (KI) zunächst Kriminellen Vorteile verschaffte, setzt nun auch die Verteidigung sie immer gezielter ein. Das Momentum scheint sich zu verlagern.
SAP-Systeme mit ihren geschäftskritischen Inhalten zu schützen, war jahrelang eine mühsame, zumeist manuelle Arbeit – während die Angreifer immer neue Tools und Techniken verwendeten, um Schwachstellen schneller zu entdecken und auszunutzen. Im Hase-und-Igel-Spiel mit den Verteidigern hatten sie immer die Nase vorn.
Der Aufstieg von künstlicher Intelligenz (KI) hat dieses Ungleichgewicht noch verstärkt, zunächst jedenfalls. Kriminelle nutzen KI, um die Erkundung zu automatisieren, ABAP-Code in großem Maßstab zu analysieren und sogar Exploits mithilfe generativer Modelle zu entwickeln. Das scheint sich aber aktuell zu drehen. Denn auch die Verteidigung arbeitet inzwischen mit KI-gestützten Sicherheitsanwendungen. Und es hat den Anschein, als würde gerade dieser KI-Einsatz die Macht momentan wieder in ihre Hände verlagern.
Das Spiel mit der Geschwindigkeit
Warum künstliche Intelligenz zunächst den Angreifern das Momentum verschaffte, hat einen einfachen Grund: Diese brauchen dadurch heute immer weniger SAP-Kenntnisse. Mit KI-gestützten Analyse-Tools können sie massenhaft und intelligent nach falsch konfigurierten SAP-Gateways, Message-Servern, bekannten oder neuen SAP-Schwachstellen oder Fehlkonfigurationen scannen. Sie können ebenso große Mengen von ABAP- oder JavaScript-Code auf Schwachstellen analysieren und sogenannte laterale Bewegungen in SAP-Landschaften automatisieren. Mit Sprachmodellen generieren und testen sie potenzielle Exploits.
Ausgeklügelte, auf SAP ausgerichtete Angriffe brauchen damit viel weniger Expertenwissen als bisher, um in SAP-Umgebungen einzubringen. Es wird einfach an die KI ausgelagert. Kosten und Zeitaufwand für erfolgreichen Attacken haben sich somit drastisch reduziert.
KI für defensive SAP-Sicherheit
Noch scheint die Zukunft angesichts dessen düster. Fälle wie die erst im April 2025 veröffentlichte schwerwiegende Sicherheitslücke in SAP-Java-Systemen (CVE-2025-31324) zeigten noch einmal das ganze Bedrohungspotenzial auf (das hier mit in China ansässigen staatlichen Akteuren in Verbindung gebracht wurde). Konkret bestand das Risiko in einer bekannten Komponente, die uneingeschränkte Uploads ermöglicht und zu einer vollständigen Kompromittierung des SAP-Systems führen kann.
Mit KI kann man nun auf solche Angriffsszenarien schneller und besser reagieren und es stehen mittlerweile Sicherheits-Tools mit starken KI-Funktionen zur Verfügung. Die gegenwärtige Machtdynamik zwischen Angreifern und Verteidigern dürfte sich deshalb ausgleichen und sogar umkehren. Vorausschauende SAP-Sicherheitsteams experimentieren schon länger damit. In folgenden Security-Bereichen wird Künstliche Intelligenz schon bald eine wichtige Rolle einnehmen:
Im proaktiven Schwachstellenmanagement scannen KI-gestützte Code-Analyse-Tools benutzerdefinierten ABAP-Code intelligenter auf Sicherheitslücken. Sie empfehlen sichere Kodierungsalternativen und automatisieren die Analyse und das Testen der Auswirkungen von Patches. SAP-Security-Teams erkennen dadurch Schwachstellen schneller und können sie beheben, bevor sie ausgenutzt werden.
„KI läutet eine neue Ära der SAP-Sicherheit ein – eine Ära, die sowohl Risiken als auch Chancen birgt. Angreifer nutzen sie, aber eben auch Verteidiger.“
Christoph Nagy, SecurityBridge
Im Bereich der verhaltensbasierten Erkennung von Bedrohungen stützt sich herkömmliche SAP-Sicherheitsüberwachung auf Signaturen und statische Regeln. KI hingegen kann Anomalien im Benutzerverhalten besser und tiefer erkennen und sich durch Lernen an sich entwickelnde Angriffstechniken anpassen. Sie wird mit umfangreichen Datensätzen trainiert und deckt damit Angriffe im Frühstadium auf.
Künstliche Intelligenz ermöglicht des weiteren Echtzeit-Reaktionen auf Bedrohungen. Auf der Grundlage von Angriffsmustern empfiehlt sie Abhilfemaßnahmen und priorisiert Alarme, die sie gleichzeitig richtig kontextualisiert. Stellt sie eine Eskalation der Rechte fest, löst sie automatisch Sperrungen aus. Dies alles ermöglicht es Verteidigern, unmittelbar zu reagieren - und nicht erst nach Stunden oder Tagen.
Die Uhr schlägt für die Guten
KI ist nicht nur Werkzeug, sondern zugleich ein Kraftmultiplikator. Je weiter sie sich entwickelt, desto mehr können Verteidiger – auch im Bereich SAP-Sicherheit – davon profitieren:
- Bei der Skalierung, indem mit KI ein einziger Sicherheitsanalyst Tausende von Endpunkten und SAP-Instanzen schützen kann.
- Bei der Präzision, indem sich die Machine-Learning-Modelle mit der Zeit verbessert, Fehlalarme abnehmen und echte Bedrohungen aufgedeckt werden.
Mit KI-Tools sind Security-Teams schneller, weil sich durch die automatisierte Erkennung und Beseitigung von Bedrohungen das Zeitfenster zwischen Schwachstelle und Patch sowie zwischen Exploit und Beseitigung erheblich verkürzt. Und schließlich profitieren Sicherheitsfachkräfte (ebenso wie Kriminelle) von der besseren Zugänglichkeit: Tools, die früher nur Ausgewählte zu bedienen wussten, sind heute benutzerfreundlich und in moderne SAP-Sicherheitsplattformen eingebettet.
Fazit: von Reaktion zur Widerstandsfähigkeit
KI läutet eine neue Ära der SAP-Sicherheit ein – eine Ära, die sowohl Risiken als auch Chancen birgt. Angreifer nutzen sie, aber eben auch Verteidiger. Mit den richtigen Investitionen und der richtigen Einstellung kann sie ihnen helfen, von reaktiv zu proaktiv zu wechseln, von überfordert zu befähigt. Die Zukunft der SAP-Sicherheit entscheidet sich an zweierlei Faktoren: Wer hat die ausgefeiltesten Tools? Und – was noch wichtiger ist: Wer kann sich am schnellsten anpassen? Security-Spezialisten haben künstliche Intelligenz mittlerweile höchst wirkungsvoll in ihre Sicherheitplattformen integriert. Derart ausgestattet, sind Verteidiger in der Lage, den Vorteil für sich zurückzuerobern.
Über den Autor:
Christoph Nagy ist Mitgründer und Geschäftsführer von SecurityBridge, einem Spezialisten für SAP-Sicherheit mit Hauptsitz in Ingolstadt.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
