Standardbenutzer wie SAP*, DDIC, EARLYWATCH, TMSADM und SAPCPIC sind bei Installation, Mandantenanlage oder Systemkopie vordefiniert. Bleiben ihre Initialkennwörter unverändert oder werden die Konten nach Kopien nicht gesperrt, öffnen sie direkte Zugriffspfade. Angreifer kennen diese Eigenschaften seit Jahrzehnten und prüfen sie automatisiert, sobald ein SAP-System erreichbar ist.