360° Risikoanalyse

Status Quo

Die SAP 360° Security Analyse von SERPENTEQ  ist eine technisch tiefgreifende Sicherheitsüberprüfung Ihrer SAP-Systemlandschaft mit klarem Fokus auf Penetrationstests, offensive Angriffssimulationen und Code-Level-Security. Wir denken wie Angreifer – und finden, was automatisierte Scanner übersehen.

Unser Team aus offensiven SAP-Security-Spezialisten analysiert Ihre Systeme aktiv und manuell. Dabei stehen keine Compliance-Checklisten im Vordergrund, sondern die Frage: Wie weit kommt ein realer Angreifer in Ihrer SAP-Umgebung?

Voller Überblick

Offensiver Ansatz

  • Netzwerkbasierte Angriffsvektoren – Aktive Enumeration von SAP-Diensten (Message Server, Dispatcher, ICM, RFC-Gateway), Exploitation bekannter SAP-spezifischer CVEs
  • RFC-Gateway-Angriffe – Ausnutzung fehlkonfigurierter Gateway-ACLs, Registration von externen RFC-Servern, Command Injection über externe Programme
  • SAP Router & Reverse-Proxy-Analyse – Identifikation von Tunneling-Möglichkeiten und ungesicherten Routerstring-Konfigurationen
  • Privilege Escalation – Systematische Ausnutzung von SoD-Konflikten, Berechtigungslücken und Missbrauch von Debug-Berechtigungen (S_DEVELOP) zur Rechteeskalation in Produktion
  • Lateral Movement – Analyse von Trusted-RFC-Verbindungen und Systemvertrauen für Bewegung zwischen SAP-Mandanten und -Systemen

Code Security & ABAP Security Review

  • Statische Code-Analyse (SAST) – Manuelle und toolgestützte Prüfung von ABAP-Code auf kritische Schwachstellen:
    • SQL-Injection via Open SQL & Native SQL
    • Directory Traversal & Path Manipulation
    • OS-Command-Injection über CALL 'SYSTEM'
    • Unsichere Dateioperationen (OPEN DATASET)
    • Hardcodierte Credentials & Schlüssel im Quellcode
  • Dynamische Code-Analyse (DAST) – Laufzeitanalyse kritischer Eigenentwicklungen und User-Exits unter Angriffsbedingungen
  • BSP / Fiori / UI5 Security – Review von Web-Applikationen auf XSS, CSRF und unsichere Autorisierungsprüfungen im Backend (OData-Services, BAPIs)
  • RFC-fähige Funktionsbausteine – Identifikation unsicher exponierter RFC-fähiger Funktionsbausteine ohne Berechtigungsprüfung (AUTHORITY-CHECK)
  • Backdoor & Manipulation Detection – Suche nach verstecktem, schadhaftem oder manipuliertem Code in produktiven Systemen

Ergebnis & Deliverables

  • Technical Findings Report – Vollständige Dokumentation aller Schwachstellen
  • Attack Path Visualisierung – Grafische Darstellung realer Angriffsketten vom initialen Zugriff bis zur vollständigen Systemkompromittierung
  • Priorisierter Remediationsplan – Konkrete Fixes auf Code- und Konfigurationsebene, keine abstrakten Empfehlungen
  • Executive Summary – Kompakte Risikobewertung für Management und CISO

Find out more

Penetration Tests

Evaluieren Sie vorhanden Schwachstellen in SAP Systemen mit Black oder Grey Box Pentests.

Managed Service

Automatisierte, kontinuierliche 360° Überwachung der Cybersicherheit ganzer SAP-Systemlandschaften.

C-Level Awareness

Tauchen Sie mit uns als C-Level-Führungskraft in das Thema SAP Cybersecurity ein.

Von einzelnen SAP Anwendungen bis hin zu komplexen SAP Landschaften – unsere Lösungen sind skalierbar, leistungsstark und bringen Ihre Sicherheit auf das nächste Level.

Unsere Lösungen im Überblick
50+ Unternehmen setzen auf unsere Expertise
wir können sap cybersecurity

Maximieren Sie mit uns die Sicherheit Ihrer SAP Systeme.

Jetzt Kontakt aufnehmen

Wir sichern
SAP Systeme.

Lösungen

360° RisikoanalysePenetration TestsManaged ServicesC-Level Awareness

Unternehmen

TeamKontakt aufnehmen

Rechtliches

ImpressumDatenschutzrichtlinie
SERPENTEQ GmbH © 2026. Alle Rechte vorbehalten.