19. Mai 2025 Christian Biermann*

Blindflug in der SAP-Sicherheit: Die Risiken, die Ihr Unternehmen ruinieren können

SAP-Systeme sind weit mehr als nur Software – sie bilden das digitale Rückgrat moderner Unternehmen. Ob Finanzbuchhaltung, Personalwesen, Einkauf oder Logistik – zentrale Geschäftsprozesse laufen über SAP. Umso alarmierender ist es, dass diese Systeme zunehmend ins Visier von Cyberkriminellen geraten. [...]

Christian Biermann ist Lead Business Consultant mit Fokus auf SAP-Prozesse und SAP-Sicherheit. (c) msg
Christian Biermann ist Lead Business Consultant mit Fokus auf SAP-Prozesse und SAP-Sicherheit. (c) msg

Die Zeiten, in denen SAP-Security als reines IT-Thema galt, sind vorbei. Heute ist sie ein geschäftskritischer Erfolgsfaktor – und in vielen Fällen eine Frage des wirtschaftlichen Überlebens. In einer Welt, die immer stärker digital vernetzt ist, sind Unternehmensdaten zu einer Schlüsselressource geworden – und SAP-Systeme fungieren als die zentralen Knotenpunkte, die diesen wertvollen Schatz nicht nur speichern, sondern auch zugänglich und nutzbar machen. Angriffe auf diese Systeme sind längst keine Seltenheit mehr: Laut einer Analyse von Onapsis und Flashpoint hat sich die Zahl erfolgreicher Angriffe auf SAP seit 2021 um 400 % erhöht. Die Bedrohung ist real – und sie wächst.

Die Gründe für erfolgreiche Attacken sind oft hausgemacht: 

  • Unzureichend gepatchte Systeme
  • Falsch konfigurierte Schnittstellen
  • Überdimensionierte Benutzerrechte

Die Liste potenzieller Einfallstore ist lang. Das macht deutlich: Wer SAP-Sicherheit vernachlässigt, gefährdet nicht nur sensible Daten, sondern riskiert den Ausfall ganzer Geschäftsprozesse.

Diese Gefahrensituation ist auch SAP bewusst, sodass im SAP-Security-Kalender jeder zweite Dienstag im Monat von ganz besonderer Bedeutung ist: der SAP Patch Day. An diesem Tag veröffentlicht SAP Sicherheitsupdates, die bekannte Schwachstellen beheben – gleichzeitig werfen Hacker einen neugierigen Blick darauf, um gezielt nach neuen Angriffspunkten zu suchen. 

Manchmal gibt es sogar einen „Nachschlag“ in Form zusätzlicher Sicherheitshinweise, wenn besonders kritische Schwachstellen entdeckt werden – etwa solche mit der Höchstbewertung CVSS 10, wie Ende April 2025 bei der Lücke CVE-2025-31324.

Eine CVSS-10-Schwachstelle bedeutet im Klartext: Wer nicht sofort patcht, spielt russisches Roulette mit seinen SAP-Systemen – und sollte sich nicht wundern, wenn Angreifer schneller sind als die interne IT.

Mehr als klassische IT-Sicherheit: SAP-Sicherheit erfordert spezielles Know-how

SAP-Sicherheit geht über die klassische IT-Sicherheit hinaus, da sie eine hochspezialisierte, oft individuell angepasste Systemlandschaft absichert. Während IT-Sicherheit Netzwerke und Endgeräte schützt, verfügen SAP-Systeme über eigene Protokolle, Programmiersprachen und Schnittstellen, die spezielle Sicherheitsmaßnahmen erfordern. Die resultierende Komplexität wird häufig unterschätzt, insbesondere wenn SAP-Teams und IT-Security-Abteilungen nicht eng zusammenarbeiten, wodurch gefährliche Lücken entstehen.

Ein weiteres Problem sind Anpassungen, die an den SAP-Systemen selbst vorgenommen werden, wie kundenspezifischer Code oder Fiori-Apps (Eigenentwicklungen), die Sicherheitslücken enthalten können, wie, fehlende Berechtigungsprüfungen, Hardcodierte Passwörter oder unzureichend gesicherte Schnittstellen. Zudem stellt das Berechtigungsmanagement eine Herausforderung dar, da Mitarbeitende häufig zu weitreichende Rechte erhalten. Ohne klare Funktionstrennung entstehen erhebliche Risiken, die im Zusammenspiel mit unzureichender Protokollierung existenzbedrohend werden können. Diese Verantwortung liegt beim Unternehmen und Tools, wie der SAP Code Vulnerability Analyzer, werden nicht immer konsequent genutzt.

Technische und organisatorische Schutzmaßnahmen – was wirklich zählt

Wer SAP-Sicherheit ernst nimmt, denkt nicht in Einzellösungen – sondern setzt auf ein ganzheitliches Konzept, das tief in die IT-Landschaft hineinwirkt.

1. Die Systemebene härten

SAP-Systeme sind komplex und tief in die Geschäftsprozesse integriert – das macht sie besonders angreifbar. Umso wichtiger ist es, die Systeme von Grund auf zu härten:

  • Security Patches zeitnah einspielen: Security Notes von SAP sollten zügig umgesetzt werden – idealerweise im Rahmen eines definierten Patch-Management-Prozesses.
  • Sichere Eigenentwicklungen: Individuell programmierter Code sollte regelmäßig auf Schwachstellen geprüft werden.
  • Systemhärtung durch sichere Konfiguration: Anwendungen sollten durch sichere Standardkonfigurationen und systematische Prüfungen (z. B. mit dem SAP Security Baseline Template und DSAG-Prüfleitfaden) gehärtet werden.

2. Benutzer- und Berechtigungsmanagement: Nur so viel wie nötig

Die Praxis zeigt: Viele Angriffe gelingen nicht ausschließlich durch ausgeklügelte Hacks, sondern durch übermäßig vergebene Rechte. Daher gilt das Prinzip „Need-to-know“:

  • Rollenbasierte Zugriffskonzepte: Präzise definierte Rollen mit minimalen Rechten verwenden. 
  • Funktionstrennung (Segregation of Duties): Kritische Tätigkeiten (z.  B. Rechnungserstellung und Zahlungsfreigabe) dürfen nicht in einer Hand liegen. Hier hilft der Einsatz von Governance-Tools wie SAP GRC (Governance, Risk and Compliance).
  • Prozesse für Eintritt, Wechsel, Austritt: Ein durchdachtes Identity Lifecycle Management stellt sicher, dass Mitarbeitende stets die richtigen Rechte zur richtigen Zeit haben.

3. Schnittstellensicherheit: Die Tore ins System kontrollieren

SAP-Systeme kommunizieren ständig mit anderen Systemen – intern wie extern. Jede dieser Schnittstellenkann ein potenzieller Angriffsvektor sein:

  • Absicherung von RFC- und HTTP-Schnittstellen: Jede offene Verbindung sollte kritisch hinterfragt, verschlüsselt und mit Authentifizierungsmechanismen versehen werden.
  • Monitoring externer Zugriffe: Besonders bei Zugriffen über VPN oder Cloud-Integrationen ist eine lückenlose Überwachung unerlässlich.
  • Whitelisting und Berechtigungen auf Interface-Ebene: Es sollte konsequent technisch abgesichert und regelmäßig überprüft werden, wer für was berechtigt ist.

4. Infrastruktursicherheit: Die technische Basis schützen

Auch das sicherste SAP-System ist angreifbar, wenn darunterliegende Komponenten wie Betriebssystem oder Datenbank Schwachstellen aufweisen:

  • Betriebssysteme und Datenbanken absichern: Regelmäßige Updates, Zugriffsbeschränkungen, Firewalls und gehärtete Konfigurationen sind Pflicht.
  • Verschlüsselung: Daten sollten stets verschlüsselt werden – mit modernen Algorithmen und die Trends und Empfehlungen des BSI sollten beobachtet werden.
  • Backup-Strategie mit Zugriffsschutz: Backups müssen regelmäßig erstellt, getestet und vor unbefugtem Zugriff geschützt werden.

5. Monitoring und Forensik: Angriffe erkennen, bevor Schaden entsteht

Prävention ist wichtig – aber ebenso entscheidend ist die Fähigkeit, Angriffe frühzeitig zu erkennen:

  • Zentrales Logging und SIEM-Integration: Sicherheitsrelevante Ereignisse sollten zentral analysiert werden, z. B. durch ein Security Information and Event Management (SIEM).
  • SAP-spezifisches Threat Detection: Lösungen wie SAP Enterprise Threat Detection (ETD) ermöglichen eine SAP-spezifische Echtzeit-Überwachung und lassen sich zusammen mit SIEM gut kombinieren.
  • Forensische Auswertbarkeit sicherstellen: Zur Nachvollziehbarkeit braucht es vollständige, unverfälschte und rechtskonforme Logdaten.

6. Organisatorische Verankerung: Sicherheit beginnt im Kopf

Ohne klare Zuständigkeiten, Prozesse und Sicherheitskultur bleibt SAP-Sicherheit lückenhaft:

  • Klare Rollenverteilung: Idealerweise gibt es ein dediziertes SAP-Security-Team, das eng mit der IT-Security und den Fachabteilungen zusammenarbeitet.
  • Regelmäßige Schulungen und Awareness-Kampagnen: Alle Beteiligten müssen verstehen, welche Risiken bestehen – und wie sie ihnen im Alltag begegnen können.
  • Audits und kontinuierliche Verbesserung: Interne Audits, externe Prüfungen und Lessons Learned nach Incidents helfen, die Sicherheitsstrategie fortlaufend zu verbessern.

Fazit: SAP-Sicherheit ist Chefsache – und Investition in die Zukunft

Die Absicherung von SAP-Systemen ist weit mehr als ein IT-Thema – sie ist eine strategische Führungsaufgabe. Klare Vorgaben, definierte Verantwortlichkeiten und kontinuierliche Überprüfung sind Pflicht. Gleichzeitig verlangt die dynamische Bedrohungslage – von regulatorischen Anforderungen bis hin zu KI-gestützten Angriffen – vorausschauendes Handeln.

Investitionen in SAP-Sicherheit gehen über den Schutz sensibler Daten hinaus: Sie minimieren Risiken durch Cyberangriffe, verhindern kostspielige Ausfälle und sichern so die langfristige Stabilität des Unternehmens. Neben der technischen Absicherung stärkt eine proaktive Sicherheitsstrategie auch das Vertrauen von Kunden, Partnern und Behörden, da sein transparent zeigt, dass das Unternehmen seine Verantwortung ernst nimmt Prävention ist kein Luxus, sondern eine notwendige Maßnahme, um die Wettbewerbsfähigkeit zu wahren und rechtliche Anforderungen zu erfüllen.

*Der Autor Christian Biermann ist Lead Business Consultant mit Fokus auf SAP-Prozesse und SAP-Sicherheit bei msg


Mehr Artikel

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Maximilian Schirmer (rechts) übergibt zu Jahresende die Geschäftsführung von tarife.at an Michael Kreil. (c) tarife.at
News

tarife.at ab 2026 mit neuer Geschäftsführung

3. Dezember 2025 pi/cb

Beim österreichischen Vergleichsportal tarife.at kommt es mit Jahresbeginn zu einem planmäßigen Führungswechsel. Michael Kreil übernimmt mit 1. Jänner 2026 die Geschäftsführung. Maximilian Schirmer, der das Unternehmen gegründet hat, scheidet per 14. April 2026 aus der Gesellschaft aus. […]

News

Warum Unternehmen ihren Technologie-Stack und ihre Datenarchitektur überdenken sollten

3. Dezember 2025 Matthias Ingerfeld *

Seit Jahren sehen sich Unternehmen mit einem grundlegenden Datenproblem konfrontiert: Systeme, die alltägliche Anwendungen ausführen (OLTP), und Analysesysteme, die Erkenntnisse liefern (OLAP). Diese Trennung entstand aufgrund traditioneller Beschränkungen der Infrastruktur, prägte aber auch die Arbeitsweise von Unternehmen.  Sie führte zu doppelt gepflegten Daten, isolierten Teams und langsameren Entscheidungsprozessen. […]

News

Windows 11 im Außendienst: Plattform für stabile Prozesse

3. Dezember 2025 Simon Müller *

Das Betriebssystem Windows 11 bildet im technischen Außendienst die zentrale Arbeitsumgebung für Service, Wartung und Inspektionen. Es verbindet robuste Geräte, klare Abläufe und schnelle Entscheidungswege mit einer einheitlichen Basis für Anwendungen. Sicherheitsfunktionen, Updates und Unternehmensrichtlinien greifen konsistent und schaffen eine vertrauenswürdige Plattform, auf der sowohl Management als auch Nutzer im Feld arbeiten können. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*