Gorodenkoff - stock.adobe.com

Meinung

SAP-Security: Governance und Compliance in hybriden Systemen

Hybride SAP-Landschaften erfordern neue Security-Architekturen: systemübergreifende Identity Governance, SoD-Analysen, SIEM-Integration und automatisierte Compliance.

von
  • Jennifer Schmider, Xiting
Zuletzt aktualisiert: 19 Dez. 2025

SAP-Landschaften befinden sich im Wandel. Die Verlagerung von Kernprozessen in hybride Architekturen – bestehend aus SAP S/4HANA, SAP Cloud und Third-Party-Systemen – erzeugt nicht nur neue funktionale Synergien, sondern auch tiefgreifende sicherheitstechnische Herausforderungen.

Security-Verantwortliche stehen zunehmend vor der Aufgabe, verteilte Systeme mit spezifischen Sicherheits- und Berechtigungskonzepten, inkonsistenten Logging-Standards und unterschiedlichen Zugriffskontrollen unter ein konsistentes Governance-Modell zu bringen.

Systemübergreifende Risiken: Wenn Funktionstrennung nicht mehr ausreicht

Ein exemplarischer Risikofall: Ein Anwender, der in SAP S/4HANA über Rechte zur Rechnungsfreigabe verfügt und gleichzeitig in SAP Ariba Bestellungen initiieren darf, unterwandert de facto die Funktionstrennungsprinzipien (Segregation of Duties, SoD).

Die klassische durchgeführte SoD-Analyse, beschränkt auf Transaktionscodes innerhalb eines Systems, greift hier nicht mehr. Notwendig ist ein systemübergreifendes Identity-Governance-Framework bestehend aus Identity Consolidation und einer systemübergreifenden SoD-Risikoanalyse inklusive Mitigation.

Kritische Infrastruktur im Visier: ERP-Systeme als Ransomware-Ziel

ERP-Plattformen sind hochverfügbare Datendrehscheiben – und entsprechend attraktiv für Angreifer. Laut einer Umfrage des Security-Spezialisten Onapsis wurden in 83 Prozent der dokumentierten Ransomware-Vorfälle auch zentrale ERP-Systeme kompromittiert.

Jennifer Schmider, Xiting

„ In hochdynamischen Unternehmensarchitekturen wird IT-Sicherheit zunehmend zum Business Enabler. Unternehmen, die Security by Design und Compliance by Automation in ihre SAP-Landschaften integrieren, gewinnen nicht nur Schutz, sondern auch Geschwindigkeit.“

Jennifer Schmider, Xiting

Insbesondere SAP-Umgebungen stehen dabei im Fokus, da sie geschäftskritische Prozesse, personenbezogene Daten und finanzielle Kerninformationen bündeln. Dennoch fehlt in vielen Unternehmen eine adäquate Anbindung dieser Systeme an übergeordnete Security Operations Center (SOC).

Identitätszentrierte Sicherheitsmodelle: Beyond Role-Based Access Control

Um der Dynamik hybrider Systemlandschaften gerecht zu werden, müssen Sicherheitsmodelle über statische Rollenzuweisungen hinausgehen. Aktuelle Best Practices umfassen:

  • Identity Access Management und Privileged Access Management: Die zentrale Verwaltung von Identitäten und Zugriffrechten gelingt am besten mithilfe einer IAM-Lösung. Eng damit verbunden ist das sogenannte Privileged Access Management, was ein Teilbereich der IT-Sicherheit und des IAMs ist. Der Fokus liegt auf Sicherheit und Nachvollziehbarkeit von besonders sensiblen Zugriffen. Hierüber lassen sich privilegierte Konten granular steuern, temporär vergeben und revisionssicher protokollieren.
  • Context-Aware Access Policies: Moderne Zugriffskontrollsysteme bewerten Risiken situativ. Ein Zugriff auf die SAP-Finanztransaktion FB60 aus einem Managed Device im Unternehmensnetzwerk erhält eine niedrigere Risikoeinstufung als derselbe Zugriff von einem privaten Endgerät über VPN. Faktoren wie Benutzerrolle, GeoIP, Device Posture (zum Beispiel Patch-Stand, Malware-Schutz) oder Zeitstempel fließen in das Entscheidungsmodell ein und ermöglichen adaptive Access Control in Echtzeit.
  • Policy-driven SoD-Kompensation: SoD-Konflikte sind in vielen Organisationen operativ unvermeidlich, zum Beispiel in kleinen Shared-Service-Teams. Hier greifen automatisierte Freigabe-Workflows mit digitalem Vier-Augen-Prinzip. Beispiel: Die Erstellung und Freigabe einer Bestellung durch denselben Benutzer triggert einen Genehmigungsprozess mit Workflow-Logging, Eskalationsmechanismen und Audit-Trail – vollständig konform zu regulatorischen Anforderungen (zum Beispiel SOX §404).

Integration in SIEM: SAP-spezifische Ereignisse als Frühindikatoren

Ein Schwachpunkt klassischer SIEM-Architekturen ist die mangelnde Abdeckung SAP-spezifischer Logs. Relevante Angriffsmuster bleiben dadurch oft unerkannt. Relevante Event-Quellen sind unter anderem:

  • SAL (Security Audit Log): Dieses proprietäre SAP-Log-Format protokolliert sicherheitsrelevante Aktivitäten wie Logon-Versuche, Rollenänderungen, kritische Transaktionen und Systemadministration.
  • Change Documents & STAD Logs: Diese Logs bieten granularen Einblick in Benutzeraktivitäten und ermöglichen die Nachverfolgung spezifischer SAP-Transaktionen mit Zeitstempel und Performance-Metriken. Gerade in Incident-Response-Szenarien sind sie unverzichtbar für Root-Cause-Analysen.
  • RFC-Verbindungen & Trusted Systems: Unautorisierte oder falsch konfigurierte Remote Function Calls (RFC) sind ein klassisches Einfallstor für Privilege Escalation (Rechteausweitung). Ein zentralisiertes Monitoring prüft RFC-Routen auf Berechtigungsvererbung, Protokollierung und Verbindungsverschlüsselung.

Compliance-Management als DevOps-Faktor

Traditionelle Regelwerke sind statisch, moderne IT-Infrastrukturen nicht. Daher rücken dynamische Compliance-Strategien zunehmend in den Fokus, darunter:

  • Regelbasierte Automatisierung: Ereignisgesteuerte Workflows, zum Beispiel automatische Neuautorisierung bei Änderung von Benutzern oder Rollen, oder Eskalation bei Zugriff auf kritische Transaktionen oder Geschäftsdaten, ermöglichen Auditability und Governance by Design.
  • Policy Drift Detection: Cloud-getriebene Releases bringen neue Funktionen, die bestehende Compliance-Regeln umgehen können. Moderne Policy Engines erkennen diese Abweichungen automatisch durch Delta-Analysen zwischen Soll- und Ist-Konfigurationen.
  • Predictive Risk Modelling: Durch das Trainieren von KI-Modellen auf historischen Audit-Daten und Konfigurationsänderungen entstehen Vorhersagemodelle für zukünftige Regelverletzungen – inklusive Priorisierung nach Business Impact.

Strategisches Sicherheitsdesign: Architektur statt Ad-hoc-Schutz

Langfristig erfolgreiche SAP-Security-Strategien folgen einem architekturbasierten Ansatz. Vier essenzielle Pfeiler dabei sind:

  1. Zentralisierte Identitäts- und Berechtigungsverwaltung, mit synchronisierten Rollen- und Zugriffsdefinitionen über hybride Systemlandschaften hinweg
  2. Kontextualisiertes Monitoring, das SAP-spezifische Events mit allgemeinen Infrastruktur- und Applikations-Logs in ein zentrales Bedrohungsbild integriert
  3. Adaptive Compliance-Richtlinien, die regulatorische Anforderungen automatisch interpretieren und in operative Sicherheitsmaßnahmen übersetzen
  4. Proaktive Schutzmechanismen, die auf prädiktiven Algorithmen und kontinuierlichem Policy-Drift-Monitoring basieren

Fazit: Sicherheitsarchitektur als Beschleuniger digitaler Innovation

In hochdynamischen Unternehmensarchitekturen wird IT-Sicherheit zunehmend zum Business Enabler. Unternehmen, die Security by Design und Compliance by Automation in ihre SAP-Landschaften integrieren, gewinnen nicht nur Schutz, sondern auch Geschwindigkeit. Die Fähigkeit, in wenigen Stunden Berechtigungen anzupassen, Audit-Daten automatisiert bereitzustellen und verdächtige Zugriffe in Echtzeit zu erkennen, ist ein strategischer Vorteil.

Entsprechende Sicherheitsplattformen adressieren diese Anforderungen durch ein umfassendes Security-Governance-Framework, einer systemübergreifenden SoD-Risikoanalyse, Konnektoren für SAP GRC Access Control und IAM-Lösungen und der Möglichkeit verschiedene sicherheitsrelevante SAP Logs an Ihr SIEM weiterzuleiten.

Über die Autorin:
Jennifer Schmider ist Verantwortlich für das Product Management & Business Development bei Xiting.

 

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Enterprise Resource Planning (ERP)