Thought Leadership
SAP-Systeme bilden das technologische Rückgrat vieler Unternehmen und verarbeiten häufig geschäftskritische und sensible Daten. Eine umfassende SAP-Sicherheitsstrategie ist daher unerlässlich, um Betriebskontinuität zu gewährleisten, Compliance-Anforderungen zu erfüllen und Reputationsschäden zu vermeiden.
Angesichts zunehmender Cyber-Bedrohungen – die aktive Ausnutzung von SAP-Schwachstellen stieg laut Onapsis Research Labs von 2024 auf 2025 um 210 Prozent, Ransomware-Angriffe auf SAP-Applikationen nahmen in drei Jahren um 400 Prozent zu, und neue SAP-Cloud-Anwendungen werden bereits unter drei Stunden nach dem Deployment gezielt attackiert – und komplexerer IT-Landschaften müssen Organisationen mehrschichtige Sicherheitsmaßnahmen implementieren, die alle Aspekte der SAP-Umgebung abdecken. 2025 verzeichnete zudem einen Rekord: 39 Prozent mehr veröffentlichte SAP Security Notes als im Vorjahr, darunter 25 HotNews-Hinweise mit CVSS-Score 9,0 oder höher.
Kernbereiche der SAP-Sicherheit
Die moderne SAP-Sicherheit umfasst sieben kritische Bereiche:
1. Zugriffskontrolle und Berechtigungskonzept
Das SAP-Berechtigungskonzept bildet die Grundlage für sichere Zugriffe. Ein nach dem Need-to-know-Prinzip aufgebautes Berechtigungsmodell stellt sicher, dass Benutzer nur auf die Funktionen und Daten zugreifen können, die für ihre Rolle notwendig sind. Die Rollenentwicklung in SAP sollte regelmäßig überprüft werden, um Berechtigungsüberschreitungen (Privilege Creep) zu vermeiden. Besonders kritisch sind SAP Critical Authorizations wie SAP_ALL oder SAP_NEW, die nur in absoluten Ausnahmefällen vergeben werden sollten.
Identity and Access Management (IAM) Integration: Moderne SAP-Landschaften erfordern eine nahtlose Integration in unternehmensweite IAM-Systeme. Dies umfasst Single Sign-On (SSO) über SAML 2.0 oder OAuth, Identity Federation mit Active Directory oder LDAP-Systemen, sowie die Integration von SAP Identity Management (IDM) oder SAP Cloud Identity Services. Die Automatisierung von Berechtigungsprozessen durch IAM-Systeme reduziert manuelle Fehler und verbessert die Compliance erheblich.
2. Systemhärtung und Patch-Management
Die SAP-System Härtung umfasst die Absicherung der Basisinstallation durch Deaktivierung nicht benötigter Services, Secure Network Communication (SNC) und die Implementierung von SAP Security Notes in einem regelmäßigen Patch-Zyklus. Ungepatchte SAP-Systeme sind ein häufiges Einfallstor für Angreifer, daher ist ein zeitnahes Patchmanagement essentiell. Automatisierte Tools können dabei helfen, fehlende Patches zu identifizieren und deren Installation zu priorisieren.
Kritische Komponenten der Systemhärtung umfassen die Konfiguration von Transport Layer Security (TLS) für RFC-Verbindungen, die ordnungsgemäße SNC-Konfiguration für sichere Kommunikation und die Implementierung von SAP Solution Manager Diagnostics für kontinuierliches Security Monitoring.
3. Datenschutz und Verschlüsselung
Der Schutz sensibler Daten in SAP erfordert sowohl technische als auch organisatorische Maßnahmen. Verschlüsselungstechnologien für Daten in transit und at rest sollten implementiert werden, insbesondere für personenbezogene Daten gemäß DSGVO. SAP Data Masking und Anonymisierungstechniken können in Testumgebungen zusätzlichen Schutz bieten, während SAP Encryption Solutions wie Secure Store & Forward oder Integration von externen Verschlüsselungstools die Vertraulichkeit gewährleisten.
Für hybride SAP-Landschaften und SAP S/4HANA Cloud-Implementierungen sind zusätzliche Verschlüsselungsstrategien erforderlich, die sowohl On-Premise- als auch Cloud-Komponenten abdecken.
4. Netzwerksicherheit und Perimeter-Schutz
Die Absicherung der SAP-Netzwerkarchitektur beinhaltet die Segmentierung von Produktions-, Entwicklungs- und Testumgebungen sowie die Kontrolle des Datenflusses zwischen diesen Systemen. SAP Router Configuration und Firewall-Regeln sollten so konfiguriert sein, dass nur autorisierte Kommunikation zugelassen wird. Regelmäßige Schwachstellenanalysen in SAP helfen, potenzielle Angriffsvektoren im Netzwerk zu identifizieren.
5. ABAP-Code-Sicherheit und Secure Development
Ein kritischer, oft übersehener Bereich ist die Sicherheit von Custom ABAP-Code. Schwachstellen wie SQL-Injection, Cross-Site-Scripting, unsichere Dateizugriffe oder hartcodierte Passwörter in Custom-Code stellen erhebliche Risiken dar. Static Application Security Testing (SAST) Tools wie Onapsis X1 Platform oder Virtual Forge CodeProfiler (mittlerweile Teil von Onapsis) identifizieren diese Schwachstellen bereits während der Entwicklungsphase.
Sichere ABAP-Entwicklungspraktiken umfassen die Verwendung von Prepared Statements für Datenbankzugriffe, ordnungsgemäße Input-Validierung, sichere Kryptografie-APIs und die Implementierung von Security-by-Design-Prinzipien. Dynamic Application Security Testing (DAST) sollte regelmäßig in der Testphase durchgeführt werden, um Laufzeit-Schwachstellen zu identifizieren.
6. Überwachung und Incident Response
Kontinuierliche SAP-Sicherheitsüberwachung durch Tools wie SAP Solution Manager, SAP Enterprise Threat Detection (ETD) oder spezialisierte Security-Lösungen ermöglicht die Erkennung von verdächtigen Aktivitäten in Echtzeit. Ein SAP Security Incident Response Plan definiert klare Eskalationswege und Reaktionsprozeduren für Sicherheitsvorfälle. SAP Audit Log Auswertung und Benutzerverhaltensanalytik (UBA) sind wichtige Komponenten für die forensische Untersuchung von Vorfällen.
SAP Enterprise Threat Detection bietet dabei erweiterte Funktionen zur Korrelation von Sicherheitsereignissen und zur automatisierten Bedrohungserkennung durch Machine Learning-Algorithmen.
7. Compliance und Governance
Ein SAP Compliance Management stellt sicher, dass Sicherheitsmaßnahmen mit internen Richtlinien und externen Regulatorien wie SOX, GDPR oder anderen industrie-spezifischen Anforderungen übereinstimmen. Werkzeuge wie die SAP GRC (Governance, Risk and Compliance) Solutions unterstützen Unternehmen aktiv bei der Automatisierung dieser Prozesse. Regelmäßige SAP-Sicherheitsaudits und Penetrationstests identifizieren Schwachstellen und validieren die Wirksamkeit implementierter Kontrollen. SAP Security Policies sollten dokumentiert, kommuniziert und regelmäßig überprüft werden.
Tabellarische Übersicht: SAP-Sicherheitsmaßnahmen nach Kritikalität
| Bereich | Hochprioritäre Maßnahmen | Mittlere Priorität | Langfristige Maßnahmen | Empfohlene Tools |
| Zugriffskontrolle | SOD-Konflikte bereinigen, Kritische Berechtigungen entfernen | Regelmäßige Berechtigungsüberprüfungen, IAM-Integration | Automatisierte Berechtigungsanalytik | SAP Cloud Identity Services, Microsoft Entra ID (SAP IDM: End-of-Maintenance 2027) |
| Systemhärtung | Sicherheitsrelevante Patches einspielen, Standardpasswörter ändern | Deaktivierung ungenutzter Services, SNC-Konfiguration | Konfigurations-Compliance Monitoring | SAP Solution Manager, Onapsis Platform |
| Datenschutz | Verschlüsselung sensitiver Daten, Maskierung in Testsystemen | Data Loss Prevention implementieren | Vollständige End-to-End-Verschlüsselung | SAP Data Masking, externe Encryption Tools |
| ABAP-Sicherheit | Static Code Analysis implementieren | Secure Coding Guidelines etablieren | Automatisierte Code-Security-Prüfung | Onapsis Control for SAP (ehem. Virtual Forge CodeProfiler), SecurityBridge |
| Überwachung | Kritische Transaktionen monitorieren, Failed Logins analysieren | Benutzerverhaltensbasierte Erkennung | KI-gestützte Anomalieerkennung | SAP ETD, SIEM-Integration |
| Compliance | Interne Richtlinien implementieren, Audit-Logging aktivieren | Regelmäßige Compliance-Checks | Automatisierte Compliance-Reporting | GRC-Tools, Audit-Software |
Implementierungsstrategie
Die Implementierung eines umfassenden SAP-Sicherheitsframeworks sollte phasenweise erfolgen:
- Assessment-Phase: Bestandsaufnahme der aktuellen SAP-Landschaft, Identifikation kritischer Assets und Durchführung einer umfassenden Sicherheitsbewertung inklusive ABAP-Code-Analyse
- Priorisierungsphase: Risikoanalyse und Priorisierung von Maßnahmen basierend auf Geschäftskritikalität und Bedrohungslandschaft
- Umsetzungsphase: Implementierung der technischen und organisatorischen Sicherheitsmaßnahmen mit Fokus auf IAM-Integration und Code-Sicherheit
- Monitoringphase: Etablierung kontinuierlicher Überwachungsprozesse, ETD-Implementierung und regelmäßiger Audits
Cloud- und Hybrid-Szenarien
Moderne SAP-Landschaften umfassen zunehmend hybride Architekturen mit SAP S/4HANA Cloud-Komponenten. Dies erfordert erweiterte Sicherheitsstrategien, die sowohl On-Premise- als auch Cloud-spezifische Bedrohungen adressieren. Cloud Access Security Broker (CASB) Lösungen, erweiterte Identity Federation und Cloud-native Sicherheitstools werden dabei zu kritischen Komponenten der Gesamtstrategie.
Ein grundlegendes Konzept in Cloud-Umgebungen ist das Shared Responsibility Model. Während SAP die Sicherheit der Cloud-Infrastruktur („Security of the Cloud“) gewährleistet, liegt die Verantwortung für die Sicherheit in der Cloud („Security in the Cloud“) beim Kunden. Dies umfasst insbesondere die Konfiguration von Benutzerzugriffen, die Absicherung eigener Customizing- und Entwicklungen, die Verwaltung von Datenverschlüsselung sowie die kontinuierliche Überwachung auf sicherheitsrelevante Ereignisse. Ein klares Verständnis dieser Aufgabenteilung ist entscheidend für eine lückenlose Sicherheitsstrategie in SAP S/4HANA Cloud.
So schützen Sie Ihre SAP-Systeme gegen Cyberangriffe
Um ihre SAP-Landschaft proaktiv gegen Cyberangriffe zu schützen, sollten Sie einen mehrschichtigen Ansatz verfolgen. Beginnen Sie mit der sofortigen Implementierung aller hochpriorisierten Sicherheits-Patches (Security Notes), um bekannte Einfallstore zu schließen. Etablieren Sie ein strenges Berechtigungsmanagement nach dem Need-to-know-Prinzip und beseitigen Sie kritische Berechtigungen sowie SOD-Konflikte. Härten Sie Ihre Systeme ab, indem Sie unnötige Services deaktivieren und die Kommunikation verschlüsseln (SNC/TLS). Integrieren Sie Static Code Analysis in Ihren Entwicklungsprozess, um Schwachstellen in Custom-Code bereits vor dem Go-Live zu finden. Abschließend ist die Einführung einer kontinuierlichen Überwachungslösung wie SAP Enterprise Threat Detection unerlässlich, um Angriffsversuche in Echtzeit zu erkennen und darauf reagieren zu können.
Führende SAP-Sicherheitsanbieter
| Anbieter | Website | Hauptfokus | Besonderheiten |
| Onapsis | https://onapsis.com/ | Umfassende SAP-Cybersecurity-Plattform | Marktführer, X1 Platform, Threat Intelligence |
| SecurityBridge | https://securitybridge.com/ | 100 % eingebettete SAP-Security-Plattform | Vollständig in SAP integriert, hat Protect4S übernommen |
| Turnkey Consulting | https://www.turnkeyconsulting.com/de/ | SAP GRC und Security Consulting | Spezialist für SAP Access Control |
| Xiting | https://xiting.com/de/ | SAP Authorizations Management | XAMS – Authorization Management System |
| Pathlock | https://pathlock.com/de/ | SAP Risk Management & Compliance | Fokus auf Segregation of Duties |
Fazit: SAP-Sicherheit als kontinuierlicher Prozess
SAP-Sicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Verbesserungsprozess, der sich an die sich wandelnde Bedrohungslandschaft und Geschäftsanforderungen anpassen muss. Durch die Implementierung eines mehrschichtigen Sicherheitsansatzes, der technische Kontrollen, organisatorische Maßnahmen, sichere Entwicklungspraktiken und sensibilisierte Mitarbeiter kombiniert, können Unternehmen ihre SAP-Landschaft wirksam vor Cyber-Bedrohungen schützen und gleichzeitig Compliance-Anforderungen erfüllen.
Die Integration von ABAP-Code-Sicherheit und modernen IAM-Systemen stellt dabei einen entscheidenden Erfolgsfaktor für eine zukunftssichere SAP-Sicherheitsstrategie dar.
