Home  /  SAP AI Security

SAP lernt denken.
Wir prüfen, ob es sicher denkt.

SAP Joule, Custom BTP Agents, MCP-Server und LLM-Pipelines schaffen eine völlig neue Angriffsfläche. Wir testen sie offensiv — bevor es jemand anderes tut.

AI Security Assessment anfragen → Die neue Angriffsfläche
SAP AI Angriffsoberfläche 2026
Benutzer / Fiori Launchpad BEKANNT
↓ Natural Language Prompt
SAP AI Agent (Joule / Custom) NEUE FLÄCHE
↓ Tool Calls / Function Execution
MCP Server (Tool Access Layer) NEUE FLÄCHE
↓ API Calls / RFC / OData
SAP Backend (S/4, BTP, ECC) BEKANNT
↓ Daten / Transaktionen / Buchungen
Geschäftskritische Daten & Prozesse IMPACT
⚠ Prompt → Agent → MCP → SAP → Buchung: Eine Kette, die niemand testet
Das Problem

SAP-Agenten handeln autonom. Aber wer prüft ihre Entscheidungen?

Unternehmen rollen SAP AI Agents aus, die eigenständig Buchungen anlegen, Bestellungen auslösen und Daten ändern. Die Security-Frage stellt niemand.

Das Versprechen

„Frag Joule einfach, was du brauchst.“ SAP AI Agents sollen Geschäftsprozesse beschleunigen: natürlichsprachige Eingaben, automatische Tool-Auswahl, eigenständige Ausführung. Ein Benutzer tippt einen Satz — der Agent führt eine Buchung durch.

Das Risiko

Dieselbe Kette, die einen legitimen Prozess beschleunigt, kann von einem Angreifer missbraucht werden: Prompt Injection → Agent handelt im Kontext des Benutzers → MCP-Server führt SAP-Transaktion aus → Buchung ist erfolgt. Kein klassisches Berechtigungskonzept greift.

Drei neue Angriffsflächen

Was wir testen — und was sonst niemand testet

SAP AI führt drei Schichten ein, die in keinem klassischen SAP-Security-Assessment vorkommen.

🤖

SAP AI Agents

Joule, Custom BTP Agents und AI-gestützte Workflows, die eigenständig SAP-Transaktionen ausführen.

  • Prompt Injection (Direct & Indirect)
  • Agent Privilege Escalation
  • Tool Selection Manipulation
  • Context Window Poisoning
  • Multi-Step Chain Exploitation
  • Guardrail Bypass & Jailbreaking
🔗

MCP Server & Tool Layer

Model Context Protocol Server, die als Brücke zwischen AI-Modell und SAP-Backend fungieren.

  • MCP Tool Definition Manipulation
  • Unauthorized Tool Invocation
  • Input Schema Bypass
  • Credential Exposure in Tool Results
  • Cross-Tool Data Leakage
  • Server Impersonation & Spoofing

AI-to-SAP Pipeline

Die gesamte Kette: vom User-Prompt über LLM-Reasoning bis zur ausgeführten SAP-Transaktion.

  • End-to-End Prompt-to-Transaction Attacks
  • RAG Poisoning (Knowledge Base Manipulation)
  • Embedding Injection in Vektordatenbanken
  • API Key & Token Leakage via LLM Output
  • Training Data Extraction
  • AI-Assisted Social Engineering
Deep Dive

MCP Server Security für SAP

Das Model Context Protocol ist der neue Standard für Tool-Integration in AI-Systeme. In SAP-Umgebungen werden MCP-Server zur Brücke zwischen Agent und Backend — und damit zum kritischsten Angriffspunkt.

Warum MCP-Server die neuen RFC-Verbindungen sind

In den 90ern verbanden RFC-Verbindungen SAP-Systeme untereinander — ohne dass jemand die Sicherheit dieser Brücken prüfte. 30 Jahre später kennen wir das Ergebnis: Hunderte unsichtbare Angriffspfade.

MCP-Server wiederholen dieses Muster. Sie verbinden AI-Modelle mit SAP-Backends, definieren welche Tools ein Agent nutzen darf, und führen Aktionen im Kontext des Benutzers aus. Wer den MCP-Server kontrolliert, kontrolliert was der Agent in SAP tun kann.

Wir auditieren MCP-Server-Implementierungen in SAP-Umgebungen: Tool-Definitionen, Berechtigungsmodell, Input-Validierung, Output-Sanitization und die gesamte Trust Chain vom Benutzer-Prompt bis zur SAP-Transaktion.

MCP Security Audit anfragen →
User / Fiori / Chat Interface
„Lege eine Bestellung über 50.000€ für Lieferant X an“
↓ Natural Language
SAP AI Agent (Joule / Custom)
Reasoning · Tool Selection · Parameter Extraction · Multi-Step Planning
↓ MCP Protocol (Tool Call)
MCP Server (Tool Access Layer)
Tool: create_purchase_order · Input: {vendor: X, amount: 50000} · Auth: User Context
↓ OData / RFC / BAPI Call
SAP S/4HANA Backend
ME21N: Bestellung angelegt · Buchung durchgeführt · Workflow gestartet
⚠ Prompt Injection ⚠ Tool Confusion ⚠ Schema Bypass ⚠ Auth Escalation
Agent-Typen

Welche SAP AI Agents wir testen

Von SAP-eigenen Agents bis zu Custom-Entwicklungen auf BTP — jeder Agent-Typ hat eigene Schwachstellen.

SAP Native

SAP Joule

SAPs eingebetteter AI-Copilot für S/4HANA, SuccessFactors, Ariba und BTP. Natürlichsprachige Interaktion mit SAP-Transaktionen.

Angriffsvektoren:
Indirect Prompt Injection via SAP-Datenfelder · Joule Context Manipulation · Cross-Module Privilege Abuse · Guardrail Bypass für geschützte Transaktionen
Custom BTP

Custom AI Agents auf BTP

Eigenentwickelte Agents auf SAP BTP mit CAP/RAP, die über MCP-Server auf SAP-Backends zugreifen.

Angriffsvektoren:
Unsichere MCP-Tool-Definitionen · Fehlende Input-Validierung · Overprivileged Service Users · RAG-Poisoning über BTP Document Service
Integration

AI in SAP Integration Suite

AI-gestützte iFlows, intelligentes Routing und AI-generierte Transformationen in der Integration Suite.

Angriffsvektoren:
iFlow Logic Manipulation via AI · Credential Store Access durch Agent · Message Routing Hijack · AI-generierte Mapping-Exploits
Third-Party

Third-Party LLM-Integrationen

OpenAI, Anthropic oder Open-Source-Modelle, die über APIs an SAP-Systeme angebunden sind.

Angriffsvektoren:
API Key Exposure · Data Leakage an externes LLM · Unverschlüsselte Prompts mit Geschäftsdaten · Model Substitution Attacks
Methodik

Unser AI Security Assessment Prozess

Strukturiert, reproduzierbar und auf SAP-spezifische AI-Risiken zugeschnitten.

01

AI Landscape Mapping

Erfassung aller AI-Komponenten: Agents, MCP-Server, LLM-Anbindungen, RAG-Pipelines, Tool-Definitionen.

02

Threat Modeling

SAP-spezifisches AI Threat Model: Welche Geschäftsprozesse sind durch AI-Missbrauch gefährdet?

03

Offensive Testing

Prompt Injection, Tool Manipulation, MCP Exploitation, End-to-End Chain Attacks auf realen Systemen.

04

Reporting & Hardening

Executive Report + technischer Deep Dive + konkrete Hardening-Maßnahmen für jeden gefundenen Vektor.

Engagement-Modelle

AI Security Assessments für SAP

Focused

MCP Server Audit

Gezieltes Security-Audit eines MCP-Servers oder einer AI-Agent-Implementierung in SAP.

  • 1 MCP-Server oder 1 Agent
  • Tool-Definition Review
  • Input/Output Validation Testing
  • Prompt Injection Versuche
  • Berechtigungsmodell-Analyse
  • Technischer Report + Quick Wins
Ab 6.000 € Anfragen →
Empfohlen

Full AI Security Assessment

Vollständiges Assessment aller AI-Komponenten in Ihrer SAP-Landschaft: Agents, MCP-Server, Pipelines.

  • Alle SAP AI Agents & MCP-Server
  • End-to-End Prompt-to-Transaction Testing
  • RAG Pipeline & Knowledge Base Audit
  • Cross-Agent Privilege Analysis
  • Executive Report + Board-Präsentation
  • Hardening Roadmap mit Prioritäten
Ab 18.000 € Anfragen →
Maximum

AI Red Team + SAP

Kombination: AI Security Assessment + Full SAP Red Team. Angriff über AI-Schicht ins SAP-Backend und zurück.

  • AI Agent als Angriffsvektor für SAP
  • SAP-Kompromittierung als AI-Poisoning-Vektor
  • Cross-Layer: AI + SAP + OT
  • Business Impact Validierung
  • Vollständiger Report + Live-Demo
  • Remediation Workshop (ganzer Tag)
Ab 35.000 € Anfragen →

Wie sicher sind Ihre SAP AI Agents?

Die meisten Unternehmen rollen SAP AI Agents aus, ohne die Security-Frage zu stellen. Wir beantworten sie — bevor ein Angreifer es tut.

[email protected]

Erstgespräch in 30 Minuten. Direkt mit dem Team, das die Tests durchführt.