Anzeige

SAP-Security-Umfrage: Grundschutz etabliert, Monitoring kritisch unterversorgt

Redaktion IT-Onlinemagazin 16. Juni 2026

itesys ITOM Security umfrage
Foto: KI

Drei von vier Unternehmen stufen SAP-Security als strategisch relevant oder operativ notwendig ein. Trotzdem reicht der Grundschutz selten über Infrastruktur und Berechtigungsmanagement hinaus. Strukturiertes Monitoring, ABAP-Code-Security und Security Incident Management bleiben in der Mehrheit der SAP-Anwenderunternehmen unterversorgt. Das zeigt die aktuelle Trendumfrage des IT-OnlineMagazins zum Thema SAP-Security mit 115 Teilnehmenden.

 

Wie Unternehmen SAP-Security strategisch einordnen

Maike Rose (IT-Onlinemagazin)
Maike Rose, Foto: IT-OnlineMagazin

In Sachen SAP-Sicherheit liegen in der SAP-Community laut der Trendumfrage des IT-OnlineMagazins Anspruch und Umsetzung noch weit auseinander. 38 Prozent der Befragten stufen SAP-Security als hohe strategische Priorität, weitere 35 Prozent als integralen Bestandteil des operativen Betriebs ein. Nur vereinzelt (3 Prozent) wird der eigene Ansatz als rein reaktiv beschrieben, geringe Bedeutung misst ihm niemand bei. Aber: Fast jeder fünfte Befragte (17 Prozent) gibt an, dass SAP-Security zwar wichtig sei, aktuell jedoch nicht priorisiert werde. „Auf den ersten Blick erscheint das wie eine recht starke Ausgangslage“, sagt IT-OnlineMagazin-Chefredakteurin Maike Rose. „Bei genauerem Hinschauen fällt jedoch auf, dass strategische Selbsteinschätzung und die operative Realität oft auseinanderfallen.“

 

Welche Ebenen der SAP-Security adressiert werden

Wenn es darum geht, welche Security-Ebenen im Unternehmen abgedeckt sind, dominiert die Infrastruktur: 79 Prozent nennen Betriebssystem, Netzwerk und Datenbank. Benutzer- und Berechtigungsmanagement sowie SAP-Basis-Härtung folgen mit 69 Prozent. Diese drei Bereiche bilden den klassischen Grundschutz und sind offensichtlich mehrheitlich etabliert.

Schwächer sieht es auf den Ebenen aus, die ein reifes Security-Programm kennzeichnen. Der Umfrage zufolge hat nur jedes zweite SAP-Anwenderunternehmen Identity & Access Management, also strukturierte Provisionierung und SSO (50 Prozent) sowie Monitoring & Logging (47 Prozent) auf dem Schirm. Lediglich knapp ein Drittel der Befragten kümmern sich um Security Incident Management und ABAP Code Security von Individualentwicklungen (31 Prozent). Und jeder zehnte (10 Prozent) hat keine oder keine klaren Informationen zur Abdeckung der unterschiedlichen Security-Ebenen im eigenen Unternehmen.

Matthias Nitschke itesys
Matthias Nitschke, Foto: itesys

„Aus unserer Erfahrung ist es häufig das Problem, dass dem IT-Security-Team das Verständnis für SAP als Applikation und deren spezifischen Angriffsflächen fehlt, dem SAP-Betriebsteam im Gegenzug tiefgreifendes Security-Know-how und Budgets, um Sicherheitsmaßnahmen umzusetzen“, so Matthias Nitschke, Teamlead SAP Security & Authorizations bei itesys. „Für eine ganzheitliche Security-Strategie ist es daher entscheidend, Brücken zwischen den Bereichen zu bauen.“

 

Wie Security-Monitoring in der Praxis umgesetzt wird

Im Bereich Security-Monitoring offenbart die Umfrage weitere Schwachstellen. 36 Prozent der Umfrageteilnehmenden werten SAP-Protokolle manuell aus. Fast ebenso viele (35 Prozent) setzen auf ein zentrales SIEM-System wie Splunk, Sentinel oder Elastic. Eine SAP-spezifische Lösung wie SAP Enterprise Threat Detection nutzt hingegen nur jeder Dritte (33 Prozent), etwa jeder Sechste (18 Prozent) hat das Thema Monitoring zwar auf dem Schirm, aber noch nicht umgesetzt. Sieben Prozent verfügen aktuell über kein Security-Monitoring oder sehen auch keines vor.

 

Was SAP-Security-Monitoring am stärksten behindert

Die größten Herausforderungen beim Security-Monitoring: Fehlende interne Ressourcen (58 Prozent), technische Komplexität (48 Prozent), hohe Lizenz- und Betriebskosten (40 Prozent) sowie fehlendes SAP-spezifisches Know-how (38 Prozent). Rund jeder dritte Befragte (34 Prozent) moniert, dass zentrale SIEM-Lösungen SAP nicht ausreichend abdecken. Jeder Vierte (26 Prozent) kritisiert die „mangelnde Zusammenarbeit zwischen SAP-Basis und Security/SOC“ jeder fünfte (20 Prozent) die Anzahl an Fehlalarmen.

Christoph Wolf itesys
Christoph Wolf, Foto: itesys

Security-Monitoring an SAP-Systemen scheitert offensichtlich nicht nur an Technologie oder Budget. Die organisatorischen Grenzen zwischen Teams, die historisch getrennt voneinander arbeiten, trägt ebenfalls zu einer unzureichenden Überwachung der SAP-Landschaften bei. Das bestätigen auch die Praxiserfahrungen von itesys-Experte Christoph Wolf. „Wir empfehlen deshalb einen strukturierten Aufbau des Monitorings, das Etablieren von Prozessen und klaren Verantwortlichkeiten und den kontinuierlichen Betrieb“, sagt der SAP Security Architect. „Es ist schon mit wenig Aufwand eine gute Transparenz möglich.“

 

Welche regulatorischen Anforderungen relevant sind

Die stärksten Treiber für die Umsetzung von Sicherheitsmaßnahmen sind neben der DSGVO in erster Linie interne Security-Policies und Richtlinien. Sie spielen für knapp zwei Drittel der Umfrageteilnehmenden (61 Prozent) die wichtigste Rolle. KRITIS und NIS2 sowie ISO/IEC 27001 folgen mit jeweils 48 Prozent. DORA und BaFin sowie GxP/FDA sind jeweils für 17 Prozent der Befragten relevant, SOX (11 Prozent) und TISAX (7 Prozent) treiben nur wenige Verantwortliche um.

 

Wie Unternehmen ihre Security-Reife einschätzen

Wenn es um den eigenen SAP-Security-Reifegrad geht, ordnet sich knapp die Hälfte der Befragten (42 Prozent) im mittleren Bereich ein, 36 Prozent schätzen ihren Reifegrad als hoch, 4 Prozent sogar als sehr hoch ein. Die meisten SAP-Anwender haben damit ein solides Sicherheits-Fundament. Den Schritt von reaktiver Pflege zu proaktiver, automatisierter Security hat die Mehrheit aber noch nicht gemacht. Die gute Nachricht: Nur zwei Prozent der Umfrageteilnehmenden betreiben SAP-Security ausschließlich reaktiv im „Feuerlösch“-Modus.

 

Was eine strukturierte Weiterentwicklung verhindert

Die Barrieren für mehr Security-Reife sind bekannt und konsistent: Fehlende interne Ressourcen (58 Prozent), fehlendes Budget (49 Prozent), unzureichende Priorisierung im Management (36 Prozent), Komplexität der SAP-Landschaft (33 Prozent). Fast ein Viertel der Umfrageteilnehmer (24 Prozent) fühlen sich durch unklare Zuständigkeiten und fehlendes Know-how ausgebremst, fast ebenso viele (22 Prozent) fürchten sich vor Betriebsunterbrechungen.

 

Vom Grundschutz zur Governance

SAP-Security ist in den Unternehmen strategisch angekommen, die operative Umsetzung folgt jedoch nicht im gleichen Tempo. Der klassische Grundschutz ist mehrheitlich vorhanden, aber ein reifes Security-Programm mit aktivem Monitoring, ABAP-Code-Security und strukturiertem Incident Management steht in der Mehrheit der SAP-Anwenderunternehmen noch aus. Fehlende Ressourcen und organisatorische Trennlinien zwischen SAP-Basis und Security-Teams bremsen den Reifegrad ebenfalls. Der nächste Schritt ist kein rein technischer, sondern ein struktureller. „Nun geht es darum, den Shift von der infrastrukturellen Betrachtung zur unternehmensweiten Governance-Aufgabe technologisch wie organisatorisch zu vollziehen“, resümiert Rose.

 

Weiterführende Informationen: Security Umfrage Ergebnisse 2026sDie ausführlichen Ergebnisse zur Umfrage stehen hier zum Download zur Verfügung.

 

 

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Tags

Anzeige

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

SAP-Transformation: Warum ein frühzeitiges Datenmanagement sinnvoll ist

Mit dem Wechsel auf SAP S/4HANA wollen viele Unternehmen ihre SAP-Landschaft modernisieren und zukunftsfähig machen. …

IT-Onlinemagazin Partner
Telefon: +49 5121 102865 E-Mail: info [ a t ] it-onlinemagazin.de
© Copyright 2026 IT-Onlinemagazin. Alle Texte sind urheberrechtlich geschützt. All Rights Reserved