Unsere SAP Pentests prüfen RFC/ICM-Schnittstellen, ABAP-Code, Berechtigungskonzepte, SAP HANA und S/4HANA Cloud auf reale Angriffspfade – durchgeführt von zertifizierten Pentestern mit Enterprise-Erfahrung.
Ein spezialisierter SAP Pentest ist besonders relevant, wenn eine oder mehrere dieser Bedingungen auf Sie zutreffen.
Sie betreiben SAP ECC, S/4HANA oder SAP BW als zentrale Geschäftsanwendung.
Finanzbuchhaltung, Personalwesen, Produktion oder Logistik laufen über SAP.
RFC-Verbindungen, Web Dispatcher, Fiori Apps, OData-APIs oder EDI-Anbindungen zu Partnern und Lieferanten.
NIS2, ISO 27001, SOX oder branchenspezifische Vorgaben erfordern Wirksamkeitsnachweise.
On-Premise und Cloud-Systeme (BTP, S/4HANA Cloud) mit komplexen Integrationsszenarien.
SAP steuert Ihre Finanzen, Lieferketten und Personaldaten – wird aber bei klassischen Pentests fast immer ausgelassen. Angreifer wissen das.
Ein kompromittiertes SAP-System gibt Angreifern Zugriff auf Finanzdaten, Kundenstammdaten, Gehaltsinformationen und Produktionssteuerung – der Super-GAU für jedes Unternehmen.
Die meisten Pentesting-Anbieter haben keine SAP-Expertise. RFC-Schnittstellen, ABAP-Eigenentwicklungen und mandantenübergreifende Berechtigungen werden systematisch nicht geprüft.
Cloud-Migration (S/4HANA), API-Anbindungen und hybride Landschaften vergrößern die Angriffsfläche. Neue Schnittstellen bedeuten neue Angriffsvektoren, die SAP-spezifisches Know-how erfordern.
Über Jahre gewachsene Berechtigungskonzepte mit SAP_ALL-Vergaben, fehlender SoD-Trennung und verwaisten Accounts sind in fast jeder SAP-Umgebung zu finden.
Wir testen gezielt die SAP-Komponenten, deren Kompromittierung die größten Auswirkungen auf Ihr Unternehmen hätte – individuell auf Ihre SAP-Landschaft zugeschnitten.
Remote Function Calls sind das Rückgrat der SAP-Kommunikation – und einer der häufigsten Angriffsvektoren. Wir prüfen RFC-Verbindungen auf fehlende Authentifizierung, offene Funktionsbausteine und ungesicherte Systemverbindungen.
Kundenspezifischer ABAP-Code enthält häufig Sicherheitslücken: fehlende Authority Checks, SQL-Injections, Directory Traversal. Wir prüfen Eigenentwicklungen auf sicherheitskritische Patterns und dokumentieren Befunde mit PoC.
Segregation of Duties, kritische Transaktionen, SAP_ALL-Vergaben, verwaiste Accounts. Wir analysieren Ihr Berechtigungskonzept auf reale Privilege-Escalation-Pfade – nicht nur auf theoretische Regelverstöße.
SAP GUI-Zugänge, die über das Internet oder aus unsicheren Netzwerksegmenten erreichbar sind, öffnen direkte Angriffspfade. Wir prüfen Netzwerk-Exposition, Verschlüsselung und Login-Sicherheit.
SAP HANA als In-Memory-Datenbank speichert alle geschäftskritischen Daten in Echtzeit. Wir prüfen Datenbank-Zugriffsrechte, XS-Engine-Sicherheit, Verschlüsselungskonfiguration und Backup-Exposition.
Cloud-Migration bringt neue Angriffsvektoren: API-Sicherheit, Identity Federation, Cloud-spezifische Berechtigungsmodelle. Wir testen Ihre S/4HANA-Cloud-Umgebung auf hybride Schwachstellen zwischen On-Premise und Cloud.
Fiori Apps und SAP UI5-Anwendungen erweitern die Angriffsfläche ins Web. Wir testen Fiori Launchpad, OData-Services, Authentifizierung und Autorisierung nach OWASP-Methodik – inklusive Business-Logic-Schwachstellen.
Anonymisierte Beispiele aus unserer Praxis. Diese Schwachstellen finden wir in fast jeder SAP-Umgebung – weil sie von Standard-Pentests und Vulnerability Scans systematisch übersehen werden.
RFC-Verbindungen zwischen Systemen ohne individuelle Authentifizierung – mit hinterlegtem SAP_ALL-Benutzer. Über Trusted-Verbindungen war der Sprung auf alle verbundenen Systeme möglich.
Kundenspezifische Reports und Funktionsbausteine ohne AUTHORITY-CHECK. Jeder authentifizierte Benutzer konnte auf sensible Daten zugreifen, die durch das Berechtigungskonzept geschützt sein sollten.
Historisch gewachsene Rollen mit nahezu vollständigen Berechtigungen – an Dialog-Benutzer vergeben. Keine SoD-Kontrollen, keine regelmäßige Rezertifizierung.
ICF-Services wie /sap/bc/soap und /sap/bc/webdynpro ohne Zugriffsbeschränkung aktiv – direkt aus dem Internet erreichbar, teilweise ohne Authentifizierung.
SAP GUI ohne SNC-Verschlüsselung. Credentials und Geschäftsdaten im Klartext über das Netzwerk – abfangbar durch jeden Angreifer im selben Segment.
Dynamische ABAP-Anweisungen (GENERATE SUBROUTINE POOL, dynamisches SQL) ohne Input-Validierung. Potenzial für Code-Injection durch authentifizierte Benutzer.
Jeder SAP Pentest folgt einem klar definierten Prozess – in enger Abstimmung mit Ihrem SAP-Basis-Team.
Klärung von SAP-Landschaft, Modulen, Schnittstellen und Testansatz. Definition von Scope, Testzeiten und Eskalationswegen mit Ihrem SAP-Basis-Team.
Systematische Erfassung der SAP-Systemlandschaft: Mandanten, RFC-Verbindungen, exponierte Services, Berechtigungsstrukturen und Custom Code.
Gezieltes Ausnutzen identifizierter Schwachstellen: RFC-Missbrauch, ABAP-Exploits, Privilege Escalation über Berechtigungslücken, HANA-Zugriff.
Detaillierter technischer Bericht mit PoC-Dokumentation sowie Executive Summary mit SAP-spezifischen Handlungsempfehlungen und CVSS 4.0 Bewertung.
Review der Ergebnisse mit Ihrem SAP-Team und IT-Security. Begleitung bei der Priorisierung und Remediation der gefundenen Schwachstellen.
Alle SAP Pentests folgen etablierten Methoden und Bewertungsstandards – für Vergleichbarkeit, Nachvollziehbarkeit und behördentaugliche Dokumentation.
Unsere Vorgehensweise orientiert sich am BSI-Leitfaden – dem deutschen Referenzstandard für strukturierte, reproduzierbare und behördlich anerkannte Sicherheitsüberprüfungen. Phasen, Dokumentation und Berichterstattung folgen diesem Framework.
Jede identifizierte Schwachstelle wird nach CVSS 4.0 bewertet – dem aktuellsten Standard für objektive, nachvollziehbare Risikoeinschätzungen. Grundlage für Ihre Priorisierungsentscheidungen und NIS2-Dokumentation.
Die DSAG-Prüfleitfäden sind der etablierte Standard für SAP-spezifische Sicherheitsüberprüfungen im deutschsprachigen Raum. Unsere SAP Pentests orientieren sich an den Prüfkatalogen für Berechtigungen, RFC-Sicherheit und SAP-Basis-Konfiguration.
Unser Team kombiniert tiefgreifende SAP-Kenntnisse mit offensiver Sicherheitsexpertise. Wir testen SAP-Systeme nicht mit generischen Vulnerability Scannern, sondern mit manuellem, kreativem Pentesting – abgestimmt auf die Besonderheiten Ihrer SAP-Landschaft.
Erfahrung mit SAP ECC, S/4HANA, SAP BW, CRM und branchenspezifischen Modulen. Kein generischer Pentest, der SAP als Blackbox behandelt.
Alle Daten und Testergebnisse verbleiben in Deutschland. Klare Vertragsbasis nach deutschem Recht, volle DSGVO-Konformität, NDA auf Wunsch vor dem ersten Gespräch.
Sie arbeiten direkt mit den Experten, die Ihren Test durchführen – keine Vermittler, keine Informationsverluste. Bei kritischen Befunden erfolgt sofortige Eskalation.
Wir arbeiten eng mit Ihren SAP-Administratoren zusammen. Testzeiten, Scope und Eskalationswege werden vorab definiert – keine unkontrollierten Aktionen auf Ihren Produktivsystemen.
Kein Standardangebot, kein Verkaufsgespräch. Wir nehmen uns Zeit, Ihre SAP-Landschaft, Ihre Module und Ihre Risikoexposition zu verstehen – und besprechen dann, welcher Testansatz für Sie sinnvoll ist.
Kurze Nachricht genügt – wir melden uns für ein Erstgespräch.
Antworten auf die wichtigsten Fragen rund um SAP Pentests, Methodik und Ablauf.
SAP-Systeme verwenden proprietäre Protokolle (RFC, DIAG), eigene Programmiersprachen (ABAP) und spezifische Berechtigungsmodelle, die von Standard-Pentesting-Tools und generischen Pentestern nicht abgedeckt werden. Ein spezialisierter SAP Pentest deckt Schwachstellen auf, die herkömmliche Tests systematisch übersehen – von offenen RFC-Funktionsbausteinen über fehlende Authority Checks in ABAP bis hin zu mandantenübergreifenden Privilege-Escalation-Pfaden.
Der Scope wird individuell auf Ihre Umgebung zugeschnitten. Typische Prüfbereiche umfassen: RFC/ICM-Schnittstellen (Destinations, Gateway Security, ICM-Konfiguration), ABAP-Eigenentwicklungen (Authority Checks, Injections, unsichere Patterns), Berechtigungskonzepte (SoD, kritische Transaktionen, SAP_ALL), SAP GUI Exposition (Netzwerk, SNC, SSO), SAP HANA (Datenbankzugriff, XS Engine, Verschlüsselung) und S/4HANA Cloud (APIs, Identity Federation, hybride Angriffspfade).
Die Dauer hängt vom Scope ab. Ein fokussierter Test einzelner Komponenten (z.B. nur RFC-Schnittstellen oder Berechtigungskonzept) dauert typischerweise 3–5 Tage. Ein umfassender SAP Pentest über mehrere Module und Systeme nimmt 1–3 Wochen in Anspruch. Im kostenlosen Erstgespräch definieren wir gemeinsam den sinnvollen Umfang für Ihre Anforderungen und Ihr Budget.
Nein. Alle Tests werden in enger Abstimmung mit Ihrem SAP-Basis-Team durchgeführt. Testzeiten, Eskalationswege und No-Go-Bereiche werden vorab definiert. Bei jedem kritischen Befund kommunizieren wir sofort und direkt. Auf Wunsch beginnen wir auf einem Nicht-Produktivsystem, bevor wir auf Produktivsysteme wechseln.
Ja. Für NIS2-betroffene Unternehmen sind SAP-Systeme typischerweise geschäftskritische Assets, die unter die Wirksamkeitsprüfung nach Artikel 21 NIS2 fallen. Ein dokumentierter SAP Pentest dient als Nachweis gegenüber Aufsichtsbehörden. Unsere Berichte sind so strukturiert, dass sie direkt als Wirksamkeitsnachweis verwendet werden können.
Die Kosten richten sich nach Umfang und Komplexität Ihrer SAP-Landschaft – Anzahl der Systeme, Module, Schnittstellen und gewünschte Testtiefe. Ein SAP Pentest ist kein Standardprodukt. Wir erstellen nach einem kurzen Erstgespräch ein kostenloses, unverbindliches Angebot, das genau auf Ihre Umgebung zugeschnitten ist.