NIS2-Ready with SAP Security
NIS2-Ready with SAP Security: Translating the DSAG Best Practice Guide into Cyber Resilience
In today’s interconnected landscape, securing SAP systems is no longer just a “back-office” IT task; it is a fundamental requirement for business continuity and regulatory compliance. Whether you are navigating NIS2, DORA, or GDPR, the pressure to maintain a resilient and auditable SAP environment has never been higher.
To help organizations meet these challenges, the German SAP User Group (DSAG) Working Group for SAP Security and Vulnerability Management released a comprehensive best-practice guide. Structured around the globally recognized NIST Cybersecurity Framework (CSF) 2.0, this guide provides an operational blueprint for managing the entire security lifecycle of your SAP landscape.
The Blueprint: NIST CSF 2.0 for SAP
The DSAG guide organizes SAP security into six core functions that provide a holistic view of risk:
- GOVERN (GV): Governance and Strategy.
- IDENTIFY (ID): Risk Assessment and Asset Management.
- PROTECT (PR): Safeguards and Hardening.
- DETECT (DE): Attack Detection and Monitoring.
- RESPOND (RS): Incident Response and Containment.
- RECOVER (RC): Recovery and Business Continuity.
While the DSAG guide provides the what, organizations often struggle with the how – specifically, how to operationalize these requirements across complex, hybrid landscapes (On-Premise, RISE, and BTP) without overwhelming their teams with manual tasks.
Operationalizing DSAG with Onapsis Assess
The Onapsis Platform acts as the engine that turns these guidelines into automated, repeatable processes. Specifically, Onapsis Assess is designed to address the foundational “Identify” and “Protect” functions of the DSAG framework.
Here is how Onapsis Assess provides a point-by-point response to the DSAG technical requirements:
| DSAG / NIST Requirement | DSAG Context & Guidance | How Onapsis Assess Covers It |
| Asset Management (ID.AM) | All SAP systems must be fully recorded in a central asset database. | Provides complete visibility into the entire hybrid landscape (On-Premise, Cloud, RISE, BTP) to automate asset inventory. |
| Risk & Vulnerability Assessment (ID.RA) | Identify, validate, and record vulnerabilities using scores like CVSS. | Automatically identifies and validates vulnerabilities, prioritizing them by risk to accelerate the patching process. |
| Security Patching (PR.PS) | Requirement to implement both “HotNews” and “non-HotNews” Security Notes. | Identifies missing notes (including non-HotNews) and validates their successful application. |
| Security Hardening (PR.PS) | Systems must be hardened according to specifications and continuously monitored. | Quickly audits configurations for SAP applications and SAP BTP to ensure they meet security benchmarks. |
| Compliance & Audit (GV.OV) | Move toward “effective, auditable measures” and eliminate manual controls. | Automates evidence collection for audits, significantly reducing the manual effort required to prove compliance. |
Leveraging Onapsis’ Automated Audit Capabilities
Under the hood, Onapsis Assess utilizes hundreds of specialized modules to verify compliance with DSAG’s granular requirements. For example:
- User Management (PR.AA): Assess runs modules (like Module 856 and 857) to identify inactive users or those with poor password hygiene, directly aligning with DSAG’s “Least Privilege” principles.
- System Integrity: It checks critical system settings, such as “System Change Options” (Module 659), to ensure production environments cannot be modified without authorization.
- Communication Security: Assess verifies that encryption is enforced for RFC connections and SAP GUI sessions to protect data in transit.
The DSAG guide emphasizes that automation is the key to managing the fragmentation of modern SAP environments. By replacing manual, error-prone checklists with Onapsis Assess, organizations can achieve a continuous state of compliance while better aligning their InfoSec and SAP teams.
NIS2-Ready mit SAP Security: Der DSAG Best-Practice-Leitfaden als Weg zur Cyber-Resilienz
In der heutigen vernetzten Landschaft ist die Sicherung von SAP-Systemen längst nicht mehr nur eine Back-Office-IT-Aufgabe – sie ist eine grundlegende Voraussetzung für die Geschäftskontinuität und die Einhaltung regulatorischer Vorgaben. Ob Sie sich mit NIS2, DORA oder GDPR auseinandersetzen: Der Druck, eine robuste und revisionsfähige SAP-Umgebung zu bewahren, war nie größer als heute.
Um Organisationen bei der Bewältigung dieser Herausforderungen zu unterstützen, hat die Deutschsprachige SAP-Anwendergruppe (DSAG) mit ihrer Arbeitsgruppe SAP Security und Vulnerability Management einen umfassenden Best-Practice-Leitfaden veröffentlicht. Strukturiert nach dem weltweit anerkannten NIST Cybersecurity Framework (CSF) 2.0, bietet dieser Leitfaden einen operativen Fahrplan für die Verwaltung des gesamten Security-Lebenszyklus Ihrer SAP-Landschaft.
Der Bauplan: NIST CSF 2.0 für SAP
Der DSAG-Leitfaden organisiert die SAP-Security in sechs Kernfunktionen, die eine ganzheitliche Risikoperspektive bieten:
- GOVERN (GV): Governance und Strategie
- IDENTIFY (ID): Risikobeurteilung und Asset Management
- PROTECT (PR): Schutzmaßnahmen und Härtung
- DETECT (DE): Angriffserkennung und Überwachung
- RESPOND (RS): Incident Response und Eindämmung
- RECOVER (RC): Wiederherstellung und Geschäftskontinuität
Während der DSAG-Leitfaden das Was vermittelt, kämpfen Organisationen häufig mit dem Wie – besonders damit, wie diese Anforderungen in komplexen, hybriden Landschaften (On-Premise, RISE und BTP) operationalisiert werden können, ohne ihre Teams mit manuellen Aufgaben zu überlasten.
DSAG operationalisieren: Onapsis Assess als praktische Lösung
Die Onapsis-Plattform fungiert als Motor, der diese Richtlinien in automatisierte, wiederholbare Prozesse umwandelt. Speziell ist Onapsis Assess dazu konzipiert, die grundlegenden Funktionen Identify und Protect des DSAG-Frameworks abzudecken.
Hier ist, wie Onapsis Assess Punkt für Punkt auf die technischen DSAG-Anforderungen reagiert:
Die korrigierte Tabelle, die die DSAG-Anforderungen und ihre Abdeckung durch Onapsis Assess darstellt, sieht folgendermaßen aus:
| DSAG/NIST-Anforderung | DSAG-Kontext & Leitlinien | Abdeckung durch Onapsis Asses |
| Asset Management (ID.AM) | Alle SAP-Systeme müssen vollständig in einer zentralen Asset-Datenbank erfasst werden. | Bietet vollständige Sichtbarkeit über die gesamte Hybrid-Landschaft (On-Premise, Cloud, RISE, BTP) zur Automatisierung des Asset-Inventars. |
| Risiko- & Schwachstellen-Bewertung (ID.RA) | Schwachstellen identifizieren, validieren und dokumentieren – mit Scores wie CVSS. | Identifiziert und validiert automatisch Schwachstellen, priorisiert sie nach Risiko, um den Patch-Prozess zu beschleunigen. |
| Security-Patching (PR.PS) | Anforderung zur Umsetzung von HotNews und Non-HotNews Security Notes. | Erkennt fehlende Notes (inklusive Non-HotNews) und validiert deren erfolgreiche Anwendung. |
| Security-Härtung (PR.PS) | Systeme müssen nach Spezifikation gehärtet und kontinuierlich überwacht werden. | Prüft Konfigurationen für SAP-Applikationen und SAP BTP schnell auf Compliance mit Security-Benchmarks. |
| Compliance & Audit (GV.OV) | Übergang zu wirksamen, revisionsfähigen Massnahmen und Abbau manueller Kontrollen. | Automatisiert die Erfassung von Nachweisen für Audits und reduziert den manuellen Aufwand zur Compliance-Nachweisführung erheblich. |
Onapsis Assess: Automatisierung für lückenlose Audits
Im Hintergrund nutzt Onapsis Assess hunderte detaillierten Module, um die granularen DSAG-Anforderungen zu verifizieren. Einige Beispiele:
- Benutzerverwaltung (PR.AA): Assess führt Module (wie Module 856 und 857) aus, um inaktive Benutzer oder solche mit schwacher Passwort-Hygiene zu identifizieren – direkt im Einklang mit DSAGs Least Privilege-Prinzipien.
- Systemintegrität: Das System überprüft kritische Systemeinstellungen, wie System Change Options (Modul 659), um sicherzustellen, dass Produktionsumgebungen nicht ohne Autorisierung geändert werden können.
- Kommunikationssicherheit: Assess verifiziert, dass Verschlüsselung für RFC-Verbindungen und SAP-GUI-Sessions erzwungen wird – zum Schutz der Daten bei der Übertragung.
Der DSAG-Leitfaden betont, dass Automatisierung der Schlüssel zur Verwaltung der Fragmentierung moderner SAP-Umgebungen ist. Durch die Ersetzung manueller, fehleranfälliger Checklisten durch Onapsis Assess können Organisationen einen kontinuierlichen Compliance-Zustand erreichen und gleichzeitig ihre InfoSec- und SAP-Teams besser aufeinander abstimmen.
About the Author
