IT-Onlinemagazin
SAP-Systeme sind oftmals das operative Rückgrat mittelständischer Unternehmen in Deutschland und der Schweiz. Sie steuern Finanzprozesse, Personalabrechnung, Produktionsplanung und Lieferketten. In vielen Organisationen wäre ein ungeplanter Ausfall dieser Systeme unmittelbar existenzbedrohend. Gleichzeitig verändern Cloud-Modelle wie RISE with SAP und hybride Architekturansätze die Angriffsfläche grundlegend. Patric Walldorf und Christian Schuller (Claranet) diskutieren in ihrem Gastbeitrag eine für IT-Entscheider immer dringlichere Frage: Wie lässt sich SAP-Sicherheit nachhaltig, ganzheitlich und skalierbar organisieren?
SAP-Sicherheit: Mehr als ein Infrastrukturthema
In der betrieblichen Praxis wird SAP-Sicherheit häufig als Spezialthema behandelt, das irgendwo zwischen Basis-Administration, Berechtigungsmanagement und externer Beratung angesiedelt ist. Diese Einordnung unterschätzt die tatsächliche Tragweite erheblich. SAP-Systeme wirken direkt auf die Kernprozesse eines Unternehmens: Ein kompromittiertes Konto mit überdimensionierten Zugriffsrechten kann Finanztransaktionen manipulieren, Lieferketteninformationen abfließen lassen oder Produktionsdaten korrumpieren, ohne dass ein klassisches Intrusion-Detection-System den Vorgang überhaupt bemerkt.
Hinzu kommt die charakteristische Struktur mittelständischer SAP-Landschaften: historisch gewachsene Systeme, zahlreiche Schnittstellen zu Subsystemen und Partnernetzwerken, über Jahre akkumulierte Berechtigungen. Dieses Geflecht aus Komplexität und organisatorisch gewachsenen Strukturen ist für Angreifer attraktiv, und für Verteidiger schwer zu überblicken. SAP-Sicherheit lässt sich unter diesen Bedingungen nicht isoliert betrachten. Sie muss integraler Bestandteil der gesamten IT-Sicherheitsarchitektur sein.
Nachhaltige SAP-Sicherheit ist kein Einmal-Projekt
Nachhaltigkeit beginnt dort, wo Audit-Projekte und einmalige Härtungsmaßnahmen enden. Sie zielt darauf ab, Sicherheitsfähigkeiten so tief in Strukturen, Prozesse und Governance zu verankern, dass sie mit dem Unternehmen, der Bedrohungslage und der regulatorischen Umgebung mitgehen, ohne jedes Mal neu initiiert werden zu müssen.
Drei Kernelemente tragen dieses Konzept:
- Sicherheit als kontinuierlicher Betriebsprozess: Konfigurationen, Berechtigungsprofile und Systemhärtung müssen regelmäßig überprüft und angepasst werden, nicht nur bei Großprojekten oder nach Vorfällen.
- Integration über System- und Organisationsgrenzen hinweg: SAP-Systeme sind eng mit anderen Anwendungen, Cloud-Services und Fachbereichen verflochten; nachhaltige Sicherheit betrachtet die gesamte Prozesskette vom Endgerät über das Netzwerk bis in die SAP-Transaktion und verhindert so Silos zwischen Infrastruktur-, Applikations- und Fach-IT.
- Belastbare Governance: Verantwortlichkeiten, Richtlinien und Nachvollziehbarkeit als strukturelle Basis: Wer jederzeit belegen kann, wer auf welche Daten zugreift und warum, hat nicht nur eine stabile Compliance-Grundlage, sondern auch die forensische Handlungsfähigkeit im Ernstfall.
Entscheidend ist dabei ein Aspekt, der in der Praxis häufig unterschätzt wird: Ein Sicherheitsansatz ist nur dann tragfähig, wenn er nicht vom Engagement einzelner Personen abhängt. Wer SAP-Sicherheit personenbezogen organisiert, schafft eine Abhängigkeit, die bei Personalwechseln oder Reorganisationen unweigerlich zu Lücken führt.
Neue Modelle und Architekturen – neue Spielregeln
Die Migration von SAP-Systemen in die Cloud, über RISE with SAP oder vergleichbare Betriebsmodelle, verlagert Verantwortlichkeiten, eliminiert sie aber nicht. Das Shared-Responsibility-Modell beschreibt die Grenze präzise: Der Cloud Service Provider sichert die physische Infrastruktur ab; Konfigurationen, Berechtigungsmanagement, Schnittstellensicherheit und Monitoring der eigenen Workloads bleiben vollständig beim Unternehmen. In der Praxis ist genau dieses Verständnis häufig unscharf, mit vorhersehbaren Konsequenzen.
Hybride Szenarien, in denen On-Premise-SAP, Private-Cloud-Komponenten und Public-Cloud-Dienste parallel betrieben werden, verschärfen das Problem zusätzlich. Dabei entstehen neue APIs und Datenflüsse, ohne dass die Security-Architektur systematisch mitgedacht wird. Ohne eine übergreifende Monitoring-Strategie, die alle Betriebsmodelle einschließt, entstehen strukturelle Schwachstellen, und damit genau die Angriffsflächen, nach denen professionelle Akteure suchen.
Die relevante Frage für Entscheider ist nicht, ob RISE with SAP ein System „sicherer“ oder „unsicherer“ macht. Die relevante Frage ist, wie sich Sicherheitsaufgaben in der neuen Architektur verteilen, und wie ein einheitliches Sicherheitsniveau über alle Betriebsmodelle hinweg etabliert und dauerhaft gehalten wird.
Kernelemente integrierter SAP-Sicherheitsstrategien
Die bekannten Grundlagen bleiben unverzichtbar: saubere Rollenkonzepte, konsequentes Patch-Management, Härtung der Systemkonfiguration, sichere Schnittstellendefinitionen. Für IT-Entscheider stellt sich darüber hinaus die strukturelle Frage, wie SAP-Systeme in die übergreifende IT-Sicherheitsarchitektur eingebettet werden:
- Zentralisiertes Monitoring mit SIEM und SOC: SAP-Ereignisse müssen in das zentrale Security Information and Event Management (SIEM) einfließen, nicht in einem separaten SAP-Monitoring-Silo enden. Erst die Korrelation mit Ereignissen aus anderen Infrastrukturkomponenten macht systemübergreifende Angriffsmuster sichtbar, etwa, wenn ein kompromittierter Client später für kritische SAP-Transaktionen genutzt wird.
- Strukturierter Umgang mit Insider-Risiken: Über Jahre akkumulierte Zugriffsrechte, funktionale Sammelaccounts und unzureichend dokumentierte Sonderberechtigungen gehören zu den häufigsten Ausgangspunkten erfolgreicher Angriffe. Eine belastbare Strategie verknüpft Berechtigungsmanagement, systematische Log-Analyse und klar definierte Verantwortlichkeiten, um Missbrauch frühzeitig zu erkennen.
- Prozessintegration als Voraussetzung für Wirksamkeit: Sicherheitsereignisse aus SAP-Systemen lassen sich nur dann wirksam erkennen, analysieren und beheben, wenn sie in etablierte Prozesse eingebunden sind, von der automatisierten Alarmierung über dokumentierte Playbooks im SOC bis hin zu strukturierten Incident- und Problem-Management-Prozessen.
SAP-Logdaten als Schlüssel zur Sichtbarkeit
Logdaten sind der informatorische Rohstoff der SAP-Sicherheit. Sie enthalten Hinweise auf fehlgeschlagene Anmeldungen, Rollenänderungen, auffällige Zugriffsmuster und Schnittstellenaktivitäten, wenn man sie lesen kann. Genau daran scheitert die Praxis häufig: Klassische Security-Werkzeuge verstehen die SAP-spezifische Struktur dieser Daten nicht.
Spezialisierte Kollektorkomponenten schließen diese Lücke. Sie konsolidieren Daten aus Security Audit Logs, System- und Anwendungslogs sowie Schnittstellenprotokollen, normalisieren diese und übergeben sie in Formaten, die nahtlos in bestehende SIEM-Plattformen integrierbar sind. SOC-Teams können SAP-Ereignisse damit gemeinsam mit Daten aus anderen Systemen auswerten, und Muster erkennen, die in isolierter Betrachtung nicht sichtbar werden.
Dieser Integrations- und Korrelationsschritt ist der kritische Übergang, der SAP-Systeme aus der Blackbox-Position am Rand der IT-Sicherheitsarchitektur herauslöst und zu einem gleichberechtigten Bestandteil der unternehmensweiten Überwachung macht.
Handlungsagenda für IT-Entscheider
Für IT-Verantwortliche im Mittelstand ergibt sich daraus eine klare Handlungslogik: SAP-Sicherheit ist kein Sonderfall, der separat organisiert werden kann, sie ist ein Kernbestandteil der IT-Sicherheitsstrategie und muss entsprechend strukturiert, personell verantwortet und technisch integriert sein.
Konkrete Ansatzpunkte liegen in einer strukturierten SAP-Risikoanalyse, die kritische Prozesse, Daten und Schnittstellen identifiziert und in die unternehmensweite Risikobetrachtung einbettet. Ebenso wichtig ist die klare Zuordnung von Verantwortlichkeiten zwischen IT, Fachbereichen, Dienstleistern und Cloud-Anbietern.
Auf technischer Ebene zählt dazu die Einbindung von SAP-Logdaten in die zentrale Security-Plattform bzw. das SIEM. Ein weiterer Schritt ist der Ausbau ganzheitlicher Threat-Detection- und SOC-Funktionen durch die vollständige Integration von SAP-Systemen in die Sicherheitsüberwachung. Ergänzt wird das Vorgehen durch regelmäßige Prüfzyklen für Governance-Strukturen, Konfigurationen und Berechtigungen.
Managed Services als Beschleuniger
Unternehmen, die SAP-Sicherheit auf dieser Basis verstehen und organisieren, stärken nicht nur ihre technische Resilienz gegenüber Cyberangriffen. Sie schaffen auch die Voraussetzungen für belastbare Compliance – und damit das Vertrauen, das Kunden, Partner und Aufsichtsbehörden zunehmend einfordern.
Unterstützend kann der Einsatz eines spezialisierten Managed Service Providers wirken: Er entlastet IT-Teams im laufenden Betrieb, stellt skalierbare Monitoring- und SOC-Kapazitäten bereit und bringt aktuelles Fachwissen ein, das intern oft nur begrenzt verfügbar ist.
Nachhaltig verstandene SAP-Sicherheit bedeutet, technische Exzellenz und organisatorische Verlässlichkeit miteinander zu verbinden – als fortlaufende Aufgabe, die nur im Zusammenspiel von interner Expertise und spezialisierten Partnern wirklich wirksam wird.
Über die Autoren:
Patric Walldorf leitet bei Claranet den Bereich Cyber Security und entwickelt mit seinem Expertenteam Lösungen, um SAP- und IT-Infrastrukturen wirksam vor Bedrohungen zu schützen. Sein Ziel ist es, Sicherheit als festen Bestandteil der Unternehmensstrategie zu verankern und nachhaltige Resilienz im täglichen Betrieb zu schaffen.
Christian Schuller ist technischer Berater mit Schwerpunkt SAP Security und Cloud-Sicherheit. Er begleitet Unternehmen von der Planung bis zur Umsetzung ihrer Schutzmaßnahmen. Seine Stärke liegt darin, komplexe Sicherheitsfragen praxisnah zu lösen und nachhaltige Ansätze für stabile IT-Umgebungen zu schaffen.
