SAP-Software bildet im Mittelstand das Rückgrat der kritischen Geschäftsprozesse: Finanzbuchhaltung, Personaldaten, Produktionssteuerung, Lieferantenstammdaten. Doch ausgerechnet diese Systeme stehen außerhalb des Sichtfelds klassischer Sicherheitsservices. Ein blinder Fleck, den Angreifer zunehmend gezielt ausnutzen.
Warum klassisches MDR an SAP-Systemen scheitert
Managed Detection & Response kombiniert Endpoint-Telemetrie, Netzwerk- Logs, Infrastruktur- und Cloud-Signale mit SOC-Analysten – ein Stack, der für Windows, Linux und Public Cloud entwickelt wurde, nicht für die proprietäre SAP-Welt. Drei strukturelle Hürden führen dazu, dass SAP-Angriffe lange unentdeckt bleiben:
#1 Extraktion aus dem SAP-Kern: Sicherheitsrelevante Ereignisse entstehen tief in der SAP-Anwendung – im Security Audit Log, entin Change Documents, in Berechtigungs- und Tabellenzugriffen. Klassische OS- oder Endpoint-Agenten erreichen diese Ebene nicht; die Daten müssen mit SAP-spezifischen Mitteln herausgelöst werden.
#2 Transport ins SIEM: Selbst wenn die Daten extrahiert sind, folgen RFC-Aufrufe, ABAP-Reports und Audit-Log-Einträge proprietären Formaten. Ohne SAP-spezifische Konnektoren und Parser kommen sie im SIEM gar nicht erst sinnvoll an.
#3 Interpretation im Geschäftskontext: Ob eine Buchung legitim ist oder eine SAP_ALL-Berechtigung temporär missbraucht wird, lässt sich nur im Kontext von Berechtigungsmodellen und Geschäftsprozessen beurteilen – nicht durch IT-Signaturen.
Die Folge: Angreifer bleiben über Monate unbemerkt in den wertvollsten Systemen. Daten fließen ab, Buchungen werden manipuliert, Berechtigungen eskaliert und das mit erheblichen finanziellen, regulatorischen und reputativen Folgen.

Was wirksame Threat Detection leisten muss
Drei Komponenten müssen ineinandergreifen:
➧ SAP-fähige Datenpipeline: Spezialisierte Konnektoren extrahieren, normalisieren und liefern sicherheitsrelevante SAP-Daten in ein SIEM, das sie auch verarbeiten kann.
➧ Verhaltensbasierte Analyse (UEBA): Gezielte SAP-Angriffe folgen selten bekannten Signaturen. UEBA erkennt Abweichungen vom Normalverhalten: Buchungen außerhalb gewohnter Zeiten, atypische Transaktionsmuster privilegierter Nutzer. Damit schließt es die Lücke regelbasierter Erkennung bei Insider- und Credential-Misuse.
➧ SOC mit SAP-Expertise: Telemetrie ohne Interpretation bleibt wertlos. Erst Analysten, die SAP-Berechtigungsmodelle, Geschäftsprozesse und Transaktionssemantik verstehen, übersetzen Daten in handlungsfähige Entscheidungen – ein klassisches IT-SOC kann das nicht leisten.
Keine dieser Komponenten wirkt isoliert. Erst wenn SAP-fähige Datenpipeline, verhaltensbasierte Analyse und SAP-kompetentes SOC als integriertes System zusammenwirken, entsteht echte Handlungsfähigkeit.
Compliance verschärft den Handlungsdruck
Mit NIS2 und BSIG ist SAP-Sicherheit zur Geschäftsführungsaufgabe geworden. § 38 BSIG verankert die persönliche Haftung der Geschäftsleitung für wirksame Cybersicherheit – auch für die Überwachung der SAP-Landschaft. Der Verweis auf ein bestehendes MDR genügt nicht, wenn dieses SAP nicht sehen kann.
SAP-Systeme sind das wertvollste und gleichzeitig das am schlechtesten überwachte Ziel im Mittelstand.
Dirk Reinecke, Claranet GmbH
Fazit
SAP-Systeme sind das wertvollste und gleichzeitig das am schlechtesten überwachte Ziel im Mittelstand. Wer MDR und SIEM betreibt, ohne SAP gezielt einzubeziehen, hat keinen ganzheitlichen Schutz, sondern eine systemische Lücke. Die entscheidende Frage für jede Geschäftsführung lautet: Weiß Ihr SOC, was gerade in Ihrem SAP-System passiert, oder verlassen Sie sich auf eine Überwachung mit einem systematischen blinden Fleck?