Zero-Day-Welle 2026: Warum ERP-Systeme zum Hauptziel von Hackern werden – und was das für Ihr Unternehmen bedeutet

Zero-Day-Welle 2026: Warum ERP-Systeme zum Hauptziel von Hackern werden – und was das für Ihr Unternehmen bedeutet

Stellen Sie sich vor: Dienstagmorgen, 7:30 Uhr. Ihre Mitarbeiter kommen ins Büro, wollen Aufträge bearbeiten, Rechnungen schreiben, den Lagerbestand prüfen. Doch statt des gewohnten SAP-Anmeldebildschirms erscheint eine Nachricht: „Ihre Systeme wurden verschlüsselt. Für die Freigabe zahlen Sie 0,8 Bitcoin an folgende Adresse…“

Ihr ERP-System – das digitale Herzstück Ihres Unternehmens – ist lahmgelegt. Keine Bestellungen, keine Rechnungen, keine Produktion. Stillstand. Kompletter Stillstand.

„So etwas passiert doch nur Konzernen“, denken Sie jetzt vielleicht. Falsch. Im April 2025 erschütterte eine Zero-Day-Schwachstelle (CVE-2025-31324) mit einem CVSS-Score von 10.0 – dem maximal möglichen Wert – die SAP-Welt. Betroffen: SAP NetWeaver Systeme weltweit. Das Perfide: Selbst Unternehmen mit aktuellen Patches waren angreifbar. Und die Angreifer? Die verstanden die SAP-Systeme oft besser als die, die sie schützen sollten.

In diesem Artikel erfahren Sie, warum 2026 zum Jahr der ERP-Angriffe wird, welche Schwachstellen gerade jetzt akut sind, und vor allem: Was Sie als KMU konkret tun können, um Ihr digitales Herzstück zu schützen.

2025 war das Jahr der Zero-Days – 2026 wird es noch schlimmer

Das Onapsis Research Labs, spezialisiert auf SAP-Sicherheit, bezeichnet 2025 als „The Year of the Zero-Day“. Drei kritische Entwicklungen prägten das Jahr: Die massive NetWeaver-Zero-Day-Schwachstelle, eine Welle von Deserialisierungs-Fehlern mit Perfect Score (CVSS 10.0), und ein dramatisch schrumpfendes Verteidigungsfenster.

Was heißt das konkret? Angreifer weaponisierten Exploits innerhalb von Stunden nach der Veröffentlichung. Nicht Tage, nicht Wochen – Stunden. Bis ein Unternehmen den Patch getestet, freigegeben und ausgerollt hatte, waren die Angreifer längst im System.

Paul Laudanski, Director Security Research bei Onapsis, bringt es auf den Punkt: „CVE-2025-31324 war ein Weckruf: Angreifer verstehen ERP-Systeme inzwischen oft besser als jene, die sie schützen sollen. 2026 werden wir mehr Zero-Days, mehr automatisierte Exploit-Chains und mehr Angriffe auf Integrationen zwischen ERP-, CRM- und HR-Systemen sehen.“

Januar 2026: Der erste Patch-Day bestätigt den Trend

Der SAP-Patch-Day im Januar 2026 lieferte keine Entwarnung. Im Gegenteil: SAP veröffentlichte 17 neue Sicherheitsnotizen, davon vier mit kritischem Risiko-Level. Die schwersten Schwachstellen:

CVE-2026-0501: SQL-Injection in S/4HANA (CVSS 9.9)

Eine SQL-Injection-Schwachstelle in SAP S/4HANA Private Cloud und On-Premise im Bereich Finanzen und Hauptbuch. Das Problem: Ein RFC-fähiger Funktionsbaustein erlaubt es Angreifern, native SQL-Anweisungen einzuschleusen. Bereits Nutzer mit eingeschränkten Rechten können bei erfolgreicher Ausnutzung das gesamte System kompromittieren.

Was bedeutet das in der Praxis? Ein Angreifer, der sich Zugang zu einem normalen Benutzer-Account verschafft hat – etwa durch Phishing oder ein schwaches Passwort – kann über diese Schwachstelle die komplette Kontrolle über Ihr ERP-System erlangen. Alle Finanzdaten, alle Kundendaten, alle Geschäftsprozesse.

CVE-2026-0500: Code-Injection in Wily Introscope (CVSS 9.6)

In SAP Wily Introscope Enterprise Manager können unauthentifizierte Angreifer manipulierte JNLP-Dateien erstellen. Klickt ein Mitarbeiter auf eine solche URL, wird Schadcode auf seinem System ausgeführt – mit vollständiger Kompromittierung von Vertraulichkeit, Integrität und Verfügbarkeit.

CVE-2026-0492: Rechteausweitung in SAP HANA (CVSS 8.8)

Eine Rechteausweitungslücke in der SAP HANA-Datenbank ermöglicht es Angreifern, ihre Privilegien zu erweitern und auf kritische Daten zuzugreifen.

Zusätzlich: Code-Injection in S/4HANA (CVE-2026-0494, CVSS 9.1), fehlende Autorisierungsprüfungen, und drei Schwachstellen in der SAP Fiori App.

Die Botschaft ist klar: ERP-Systeme stehen 2026 massiv unter Beschuss.

Warum ERP-Systeme so attraktiv für Angreifer sind

ERP-Systeme wie SAP, Microsoft Dynamics, Oracle oder SAP Business One sind das digitale Rückgrat eines Unternehmens. Sie enthalten:

• Alle Finanzdaten: Rechnungen, Zahlungsverkehr, Konten
• Kundendaten: Kontakte, Verträge, Bestellhistorie
• Lieferantendaten: Preise, Konditionen, Verträge
• Produktionsdaten: Stücklisten, Prozesse, Kapazitäten
• HR-Daten: Gehälter, Personalakten, Verträge

Ein erfolgreicher Angriff auf Ihr ERP-System bedeutet:

1. Komplette Geschäftsunterbrechung: Ohne ERP können Sie nicht arbeiten. Keine Aufträge, keine Rechnungen, keine Auslieferungen.
2. Datenverlust oder -diebstahl: Ihre Geschäftsgeheimnisse, Preislisten und Kundendaten landen beim Angreifer – oder bei der Konkurrenz.
3. Erpressung: Ransomware-Gruppen wissen, dass Unternehmen ohne ERP nicht überlebensfähig sind. Sie setzen die Lösegeldforderungen entsprechend hoch an.
4. Reputationsschaden: Ein erfolgreicher Angriff wird publik. Kunden verlieren Vertrauen.

Ein reales Beispiel: Ein mittelständischer Großhändel mit 45 Mitarbeitern nutzte SAP Business One. Über einen Zero-Day-Exploit verschafften sich Angreifer Zugang zu Kundendaten, Preislisten und Lieferantenverträgen. Die sensiblen Informationen landeten bei der Konkurrenz. Mehrere Großkunden kündigten ihre Rahmenverträge. Schadensumfang: Sechsstellig. Das Unternehmen musste Insolvenz anmelden.

Die erschreckende Wahrheit: Patching allein reicht nicht mehr

Früher war die Devise einfach: Patch erscheint, Patch wird installiert, System ist sicher. 2026 ist das Konzept überholt.

Warum? Aus drei Gründen:

1. Angreifer sind schneller als Ihre Patch-Zyklen

Die CVE-2025-31324-Schwachstelle wurde aktiv ausgenutzt, bevor SAP überhaupt einen Patch veröffentlicht hatte. Und selbst nach dem Patch dauerte es Wochen, bis Unternehmen ihn ausgerollt hatten – genug Zeit für Angreifer, Tausende Systeme zu kompromittieren.

2. Patches können nicht sofort ausgerollt werden

ERP-Systeme sind geschäftskritisch. Man installiert keinen Patch blind am Produktivsystem. Erst muss getestet werden: Funktioniert alles noch? Brechen Customizings? Gibt es Kompatibilitätsprobleme? Das dauert – im Durchschnitt 2-4 Wochen bei gut aufgestellten Unternehmen, bei KMUs oft länger.

3. Selbst gepatchte Systeme bleiben angreifbar

Patches schließen bekannte Schwachstellen. Aber: Fehlkonfigurationen, schwache Passwörter, unzureichende Zugriffskontrollen – all das bleibt. Laudanski warnt: „Ohne kontinuierliches Monitoring, Konfigurationskontrollen und anwendungsnahe Threat Detection bleiben selbst gepatchte Systeme angreifbar.“

KI beschleunigt die Entwicklung von Exploits

Künstliche Intelligenz ist nicht nur ein Thema für Marketing und Produktivität – sie verändert auch die Angriffsmethoden fundamental. Angreifer nutzen KI, um:

• Schwachstellen systematisch zu identifizieren: KI kann Code-Repositories analysieren und potenzielle Sicherheitslücken finden, bevor sie öffentlich werden.
• Exploits schneller zu entwickeln: Was früher Tage dauerte, schafft KI in Stunden. Die Time-to-Exploit schrumpft dramatisch.
• Angriffsketten zu automatisieren: Statt manuell jeden Schritt auszuführen, orchestriert KI komplexe Angriffsketten automatisiert.

Das Resultat: Die Geschwindigkeit, mit der kritische Schwachstellen entdeckt und ausgenutzt werden, steigt exponentiell.

Aber: KI hilft auch den Verteidigern. Automatisiertes Monitoring, verhaltensbasierte Anomalieerkennung und proaktive Vorhersagen ermöglichen es, Angriffe zu erkennen, bevor sie richtig beginnen. Laudanski: „2026 wird das Jahr, in dem Cybersicherheit von reaktiver Verteidigung zu intelligenter Vorhersage übergehen muss.“

Was bedeutet das konkret für KMUs?

„Aber wir nutzen doch gar kein SAP“, denken Sie jetzt vielleicht. Doch die Prinzipien gelten für alle ERP-Systeme:

• SAP Business One (häufig bei KMUs)
• Microsoft Dynamics 365 / Business Central
• Oracle NetSuite
• Sage
• Lexware, DATEV, oder andere branchenspezifische Lösungen

Alle diese Systeme sind Angriffsziele. Alle enthalten kritische Geschäftsdaten. Und alle können Ihr Unternehmen stilllegen, wenn sie kompromittiert werden.

Ein Beispiel aus der Praxis: Ein Ingenieurbüro mit 28 Mitarbeitern nutzte ein branchenspezifisches ERP-System für Projektplanung und Abrechnung. Ein Ransomware-Angriff verschlüsselte alle Projektdaten. Backup? Vorhanden – aber auf demselben Netzwerk, also ebenfalls verschlüsselt. Resultat: 3 Wochen Stillstand, verlorene Projekte, €215.000 Schaden.

Die gefährlichen Blindspots in ERP-Landschaften

Warum sind ERP-Systeme oft schlechter geschützt als andere IT-Infrastruktur? Drei Hauptgründe:

1. ERP fällt durch das Raster klassischer Security-Tools

ERP-Systeme sind hochgradig individuell angepasst. Jedes Unternehmen hat eigene Workflows, eigene Module, eigene Integrationen. Generische Security-Tools können das nicht adäquat überwachen. Es entstehen gefährliche Blindspots.

2. Fehlende ERP-Sicherheitsexpertise

SAP-Security ist ein Spezialgebiet. Ihre IT-Abteilung mag exzellent darin sein, Windows-Server zu härten und Firewalls zu konfigurieren – aber SAP-Berechtigungen, ABAP-Code-Schwachstellen und RFC-Funktionsbausteine sind eine ganz andere Hausnummer.

3. „Läuft doch“ –Mentalität

ERP-Systeme laufen oft jahrelang stabil. Solange keine offensichtlichen Probleme auftreten, wird an der Konfiguration nichts geändert. „Never touch a running system“ – ein gefährliches Motto in der heutigen Bedrohungslage.

Was Sie jetzt konkret tun sollten: 6 Schritte für besseren ERP-Schutz

Sie müssen kein SAP-Sicherheitsexperte werden, um Ihr ERP-System besser zu schützen. Hier sind sechs konkrete Maßnahmen, die jedes KMU umsetzen kann:

1. Patch-Management professionalisieren

Ja, Patching allein reicht nicht – aber es ist die Grundlage. Definieren Sie einen klaren Prozess:

• Monatliche Überprüfung der Security-Bulletins Ihres ERP-Anbieters
• Test-System für Patch-Verifikation
• Maximaler Zeitraum bis zum Produktiv-Rollout: 4 Wochen für kritische Patches, 8 Wochen für normale

Haben Sie kein Test-System? Dann ist jetzt der richtige Zeitpunkt, eines anzuschaffen. Die Kosten sind minimal im Vergleich zu einem erfolgreichen Angriff.

2. Zugriffskontrollen verschärfen

Prüfen Sie kritisch:

• Wer hat welche Berechtigungen in Ihrem ERP-System?
• Gibt es „Super-User“, die alles dürfen?
• Sind alte Benutzer-Accounts noch aktiv?
• Werden externe Dienstleister über privilegierte Accounts angemeldet?

Faustregel: Least Privilege Principle. Jeder Nutzer bekommt nur die Rechte, die er für seine Arbeit braucht. Nicht mehr.

3. Separierung von ERP und Office-Netzwerk

Ihr ERP-System sollte nicht im gleichen Netzwerk-Segment laufen wie die Office-PCs. Warum? Weil die meisten Angriffe über Phishing-Mails auf Mitarbeiter-PCs starten. Von dort bewegen sich Angreifer lateral durchs Netzwerk – bis sie das ERP-System erreichen.

Lösung: Netzwerksegmentierung. ERP läuft in einem eigenen, abgeschotteten Netzwerksegment mit streng kontrollierten Zugängen.

4. Monitoring implementieren

„Was Sie nicht sehen, können Sie nicht schützen.“ Installieren Sie Monitoring-Tools, die ERP-spezifische Anomalien erkennen:

• Ungewöhnliche Anmeldeversuche
• Zugriffe außerhalb der üblichen Arbeitszeiten
• Massenhafte Datenexporte
• Änderungen an kritischen Konfigurationen

Viele ERP-Systeme haben eingebaute Logging-Funktionen – aber die müssen aktiviert und ausgewertet werden.

5. Backup-Strategie überprüfen

Die 3-2-1-Regel gilt auch für ERP-Daten:

• 3 Kopien Ihrer Daten
• Auf 2 verschiedenen Medien
• 1 Kopie offline (Air-Gapped Backup)

Kritisch: Testen Sie regelmäßig die Wiederherstellung. Ein Backup, das sich nicht wiederherstellen lässt, ist wertlos.

6. Externe Expertise einholen

ERP-Security ist komplex. Es ist keine Schande, externe Hilfe zu holen. Ein jährlicher Security-Audit durch Spezialisten kostet deutlich weniger als ein erfolgreicher Angriff.

NIS-2 macht ERP-Security zur Pflicht – mit persönlicher Haftung

Falls Sie noch nicht überzeugt sind, dass ERP-Security Priorität haben sollte: NIS-2 macht es zur rechtlichen Pflicht. Die EU-Richtlinie, die in Deutschland ab Oktober 2024 gilt, betrifft auch viele KMUs in kritischen Sektoren.

Die Konsequenzen bei Verstößen:

• Bußgelder bis zu €10 Millionen oder 2% des weltweiten Jahresumsatzes
• Persönliche Haftung der Geschäftsführung

Das ist kein Kavaliersdelikt mehr. Security ist Chefsache – rechtlich und faktisch.

Fazit: 2026 wird zum Stresstest für ERP-Sicherheit

Die Bedrohungslage für ERP-Systeme spitzt sich dramatisch zu. Zero-Day-Schwachstellen, KI-beschleunigte Exploits, und professionalisierte Angreifergruppen machen ERP-Systeme zum lukrativsten Angriffsziel.

Die gute Nachricht: Sie sind dem nicht wehrlos ausgeliefert. Mit professionellem Patch-Management, verschärften Zugriffskontrollen, Netzwerksegmentierung, Monitoring, solider Backup-Strategie und externer Expertise können Sie Ihr Risiko massiv senken.

Die schlechte Nachricht: Wenn Sie nichts tun, ist es nur eine Frage der Zeit. Cyberkriminelle werden nicht weniger, sondern mehr. Ihre Methoden werden nicht schlechter, sondern besser. Und Ihr ERP-System? Das wird nicht sicherer, nur weil Sie hoffen, verschont zu bleiben.

Paul Laudanski formuliert es so: „Wer jetzt handelt, schafft die Grundlage für resiliente Geschäftsprozesse und nachhaltiges Wachstum. Unternehmen, die Transparenz, Automatisierung und klare Verantwortlichkeit kombinieren, werden 2026 zu den Gewinnern gehören. Sicherheit ist längst kein Kostenfaktor mehr, sondern ein strategischer Vorteil.“

Die Frage ist nicht, ob Sie in ERP-Security investieren. Die Frage ist: Möchten Sie proaktiv investieren – oder reaktiv zahlen, nachdem Ihr System kompromittiert wurde? Im ersten Fall kostet es einige Tausend Euro. Im zweiten Fall kann es Ihre Existenz kosten.

Ihr ERP-System ist das Herz Ihres Unternehmens. Behandeln Sie es entsprechend.

#ERP #ITSicherheit #SAP #Cybersecurity #ZeroDay #KMU #Mittelstand #S4HANA #NIS2 #Risikomanagement #BusinessSoftware