Automatisierung von SAP-Compliance-Prüfungen: Vom manuellen Aufwand zur kontinuierlichen Qualitätssicherung

Von:

29. Oktober 2025

Herkömmliche, manuelle SAP-Compliance-Prüfungen sind bekanntermaßen langsam, kostspielig und liefern lediglich Momentaufnahmen Ihrer Sicherheitslage, wodurch Unternehmen zwischen den einzelnen Prüfungen anfällig bleiben. Dieser veraltete Ansatz verursacht erhebliche Reibungsverluste und bindet wertvolle Ressourcen. Die moderne Lösung besteht in einer strategischen Umstellung auf kontinuierliche Compliance-Automatisierung, einer Kernkomponente einer ausgereiften SAP-Governance-, Risiko- und Compliance-Strategie (GRC). Dies bietet Echtzeit-Transparenz, reduziert den Audit-Aufwand drastisch und gewährleistet eine stets aktive Audit-Bereitschaft.

Die Schwachstellen herkömmlicher SAP-Audits

Für viele Unternehmen löst die Ankündigung eines bevorstehenden SAP-Audits einen altbekannten Kreislauf aus Störungen und Ineffizienz aus. Der traditionelle, manuelle Ansatz gleicht weniger einer strukturierten Überprüfung als vielmehr einer wiederkehrenden Feueralarmübung, die wichtige Mitarbeiter von ihren eigentlichen Aufgaben abhält und erhebliche organisatorische Belastungen verursacht. Zu den wichtigsten Problemen zählen:

  • Enormer Zeit- und Ressourcenaufwand: Die manuelle Erfassung von Nachweisen ist von Natur aus mühsam, ineffizient und zeitaufwendig. Sie erfordert von internen Revisionsteams, SAP-Basis-Administratoren, Sicherheitsspezialisten und Geschäftsprozessverantwortlichen erheblichen Aufwand, um sich in komplexen Systemen zurechtzufinden und Daten manuell zu extrahieren – oft in unhandliche Textdateien oder Tabellenkalkulationen. Dadurch werden hochqualifizierte Mitarbeiter von strategischen, innovationsfördernden Initiativen abgezogen und müssen sich stattdessen auf repetitive, wenig wertschöpfende Aufgaben konzentrieren.
  • Blinde Flecken zu einem bestimmten Zeitpunkt: Eine manuelle Prüfung liefert lediglich eine Momentaufnahme der Compliance an dem Tag, an dem die Nachweise erhoben werden. Sie erfasst nicht die dynamische Realität einer aktiven SAP-Umgebung, wodurch gefährliche blinde Flecken entstehen, in denen nicht konforme Konfigurationen oder Sicherheitsprobleme auftreten und zwischen den Prüfungszyklen unentdeckt bestehen bleiben können. Ein Unternehmen kann während der Prüfung konform erscheinen, schon am nächsten Tag jedoch angreifbar sein.
  • Hohes Risiko menschlicher Fehler: Die manuelle Datenextraktion, die Analyse mithilfe von Tabellenkalkulationen und die Auswertung komplexer Systemprotokolle sind grundsätzlich anfällig für menschliche Fehler. Ungenaue Dateneingaben oder falsch konfigurierte Systemanbindungen können zu fehlerhaften Prüfungsergebnissen führen, was kostspielige Nachbesserungen erforderlich macht und möglicherweise erhebliche Risiken verschleiert.
  • Erhebliche Kosten: Abgesehen von den direkten Honoraren für den SAP-Prüfer sind die indirekten Kosten manueller Prüfungen beträchtlich. Produktivitätsverluste durch die Umwidmung interner Teams, die finanziellen Auswirkungen von Fehlern und die strategische Lähmung infolge von Prüfungsunterbrechungen stellen eine erhebliche versteckte finanzielle Belastung dar.

Was Prüfer beachten: Wichtige SAP-Kontrollen und Ereignistypen

Ein umfassendes SAP-Compliance-Audit ist eine vielschichtige Prüfung. Der SAP-Auditor überprüft technische und verfahrenstechnische Kontrollen, um die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Systeme sicherzustellen. Das Verständnis dieser zentralen Schwerpunkte ist für die Vorbereitung und den Aufbau eines kontinuierlichen Compliance-Programms von entscheidender Bedeutung.

  • Systemkonfigurationen: Auditoren überprüfen die technische Grundlage Ihrer SAP-Umgebung gründlich, um sicherzustellen, dass sie den bewährten Sicherheitsverfahren entspricht. Dazu gehören die Überprüfung strenger Passwortrichtlinien sowie die Kontrolle des SAP-Patch-Managements , um sicherzustellen, dass kritische Sicherheitshinweise angewendet werden, die Absicherung von RFC-Schnittstellen, die Einschränkung des Gateway-Zugriffs sowie die Sicherstellung, dass Produktivmandanten gegen direkte Änderungen gesperrt sind. Fehlkonfigurationen in diesem Bereich können systemische Schwachstellen verursachen.
  • Zugriffskontrollen (einschließlich SoD): Dies ist wohl der kritischste und arbeitsintensivste Teil des Audits. Die Prüfer stellen sicher, dass das Prinzip der geringsten Berechtigungen eingehalten wird. Sie suchen nach unangemessenen Zuweisungen von Profilen mit weitreichenden Berechtigungen (wie SAP_ALL), überprüfen, ob Standard-Administratorbenutzer (wie SAP*) gesichert sind, begutachten den Prozess des Benutzerlebenszyklusmanagements und führen eine umfassende Analyse der Aufgabentrennung (SoD) durch, um gefährliche Kombinationen von Berechtigungen zu identifizieren, die Betrug ermöglichen könnten.
  • Änderungsmanagement: Die Prüfer untersuchen den Prozess zur Übernahme von Änderungen (benutzerdefinierter Code, Konfigurationen) in die Produktionsumgebung. Sie prüfen die Transportkontrollen, um direkte Änderungen in der Produktion zu verhindern, und überprüfen die Protokolle, um sicherzustellen, dass für alle Transporte ein dokumentierter Genehmigungsworkflow vorhanden ist. Außerdem erkundigen sie sich nach den Prozessen zur Sicherung von benutzerdefiniertem Code .
  • Protokollierung und Überwachung: Eine umfassende Protokollierung bildet die Beweisgrundlage für die Einhaltung von Vorschriften. Auditoren stützen sich in hohem Maße auf Protokolle wie das SAP Security Audit Log (SAL). Ein häufiger Kritikpunkt ist eine unvollständige Protokollierung oder eine ungeeignete Filterung. Auditoren erwarten, dass wichtige SAP-Audit-Ereignistypen erfasst werden, darunter:
    • Anmeldeversuche (erfolgreiche und fehlgeschlagene).
    • Änderungen bei Benutzern und Berechtigungen.
    • Änderungen an den Sicherheitskonfigurationen des Systems (z. B. SAL-Einstellungen).
    • Verwendung privilegierter Vorgänge (wie z. B. Debugging in der Produktionsumgebung).
    • Direkter Zugriff auf Tabellen oder Dateidownloads.

Die moderne Lösung: Kontinuierliche SAP-Compliance 

Die systemimmanenten Mängel herkömmlicher, manueller Prüfungen erfordern einen grundlegenden Wandel in der Herangehensweise. Die moderne Lösung besteht in einem strategischen und technologischen Paradigmenwechsel weg von periodischen, reaktiven Bewertungen. Dies beinhaltet die Einführung einer proaktiven, automatisierten und kontinuierlichen Compliance für SAP.

Anstelle eines hektischen Ansturms kurz vor einem Audit sorgt die kontinuierliche Compliance für einen stets aktuellen, auditbereiten Zustand. Dieser Ansatz nutzt spezielle Technologien, die oft als Continuous Controls Monitoring (CCM), um kritische Kontrollen in Ihrer SAP-Landschaft nahezu in Echtzeit automatisch zu überwachen. Wenn eine Abweichung wie eine fehlerhafte Sicherheitskonfiguration oder ein Verstoß gegen die Trennung von Aufgaben (SoD) erkannt wird, wird eine Warnmeldung generiert, die eine sofortige Untersuchung und Behebung ermöglicht. Dadurch wird Compliance von einer historischen Überprüfung zu einer aktiven, operativen Funktion.

Die Vorteile der automatisierten SAP-Compliance:

  • Echtzeit-Transparenz: Verschaffen Sie sich einen aktuellen und genauen Überblick über Ihre Compliance-Situation und beseitigen Sie so die gefährlichen blinden Flecken zwischen den jährlichen Audits.
  • Proaktive Behebung: Erkennen und beheben Sie Compliance-Probleme und Sicherheitslückensofort, sobald sie auftreten, und verhindern so, dass sie sich zu wesentlichen Schwachstellen oder Prüfungsfeststellungen ausweiten.
  • Geringerer Prüfungsaufwand und niedrigere Kosten: Durch die Automatisierung wird der manuelle Aufwand für interne Teams drastisch reduziert, und durch die Bereitstellung zuverlässiger, sofort verfügbarer Nachweise können sich möglicherweise auch die Kosten für externe Prüfungen verringern.
  • Stets auditbereit: Sorgen Sie dafür, dass Compliance-Nachweise stets automatisch generiert werden, um Betriebsunterbrechungen zu minimieren und sicherzustellen, dass Ihr Unternehmen jederzeit für Audits gerüstet ist.

Wie Onapsis SAP-Compliance-Prüfungen automatisiert

Um eine kontinuierliche Compliance für SAP zu gewährleisten, ist eine spezialisierte platform erforderlich, platform die Feinheiten von SAP-Systemen und die spezifischen Anforderungen wichtiger Vorschriften versteht. Die Onapsis Platform automatisiert die SAP-Compliance und verwandelt sie von einer manuellen, periodischen Herausforderung in einen effizienten, kontinuierlichen Prozess.

Der Kern dieser Funktion liegt in Onapsis Assess. Dieses Modul ermöglicht es Sicherheits-, IT- und Audit-Teams, zusammenzuarbeiten und mithilfe von Automatisierung stets auditbereit zu sein.

So unterstützt Onapsis Unternehmen bei der Automatisierung von Compliance-Prüfungen für Vorschriften wie SOX, DSGVO, NIST und weitere:

  • Vorkonfigurierte Richtlinien: Onapsis bietet eine umfassende Bibliothek mit Comply Packs. Diese packs automatisierte Prüfungen, die direkt auf bestimmte regulatorische Rahmenwerke abgestimmt sind und komplexe Audit-Anforderungen in technische Tests umsetzen. Teams können sofort einsatzbereite Richtlinien für SOX, DSGVO, NIST und Dutzende anderer Standards ausführen, um assess Compliance-Situation sofort assess , wodurch manuelle Anpassungen entfallen.
  • Automatisierte Beweissicherung: Die platform den äußerst zeitaufwändigen Prozess der Überprüfung von Tausenden von Systemkonfigurationen, Benutzerberechtigungen und anderen technischen Kontrollmechanismen. Dadurch werden wochenlange manuelle Arbeiten – wie das Erstellen von Screenshots oder das Exportieren von Protokollen – durch einen Prozess ersetzt, der bei Bedarf innerhalb weniger Stunden durchgeführt werden kann und den Prüfern konsistente und zuverlässige Nachweise liefert.
  • Leitfaden zur Priorisierung und Behebung: Onapsis deckt nicht nur Compliance-Lücken auf, sondern hilft Ihnen auch dabei, diese effizient zu beheben. Die Ergebnisse werden nach ihrem Risikograd priorisiert, und die platform schrittweise Anleitungen zur Behebung, die Teams dabei unterstützen, Probleme zu lösen, bevor sie zu kritischen Prüfungsmängeln werden.
  • Audit-konforme Berichterstellung: Anpassbare Dashboards und Berichte optimieren die Zusammenarbeit zwischen SAP-, Sicherheits- und Audit-Teams. Onapsis bietet eine zentrale Datenquelle, die es den Teams ermöglicht, genau die Nachweise zu erstellen, die der SAP-Auditor benötigt, wodurch sich der Zeit- und Kostenaufwand für interne und externe Audits erheblich reduziert.

Vorteile, die über das Bestehen des Audits hinausgehen

Zwar sind ein reibungsloser Prüfungszyklus und Kostensenkungen wichtige Triebkräfte für die Automatisierung, doch gehen die Vorteile einer kontinuierlichen Compliance für SAP weit über die bloße Zufriedenheit des SAP-Prüfers hinaus. Durch die proaktive Erkennung und Behebung von Fehlkonfigurationen und control im Laufe des Jahres stärken Unternehmen von Natur aus ihre allgemeine SAP-Sicherheitslage .

Die automatisierte Compliance-Überwachung fungiert als Frühwarnsystem – nicht nur für Audit-Probleme, sondern auch für potenzielle Sicherheitslücken, die Angreifer ausnutzen könnten. Die Aufrechterhaltung einer kontinuierlichen Compliance sorgt Tag für Tag für eine sicherere und widerstandsfähigere SAP-Landschaft und verringert so das Risiko von Sicherheitsverletzungen und Betriebsstörungen.

Häufig gestellte Fragen (FAQ)

Welche gängigen SAP-Audit-Ereignistypen müssen protokolliert werden?

Prüfer erwarten eine umfassende Protokollierung, um Ereignisse rekonstruieren und die Nachvollziehbarkeit gewährleisten zu können. Eine unvollständige Protokollierung ist ein deutliches Warnsignal. Die konkrete Liste hängt zwar vom Umfang der Prüfung ab, doch zu den wichtigsten Ereignistypen bei SAP-Prüfungen zählen unter anderem:

  • Anmeldeversuche (erfolgreiche und fehlgeschlagene, insbesondere bei Benutzern mit erhöhten Rechten).
  • Änderungen am Benutzerstammsatz (Anlegen, Ändern, Löschen).
  • Änderungen an Berechtigungen (Rollenzuweisungen, Profiländerungen).
  • Änderungen an wichtigen Sicherheitskonfigurationen (wie z. B. den Einstellungen für das Auditprotokoll).
  • Einsatz leistungsfähiger Debugging-Tools oder Tools für den direkten Tabellenzugriff in der Produktion.
  • Das Herunterladen sensibler Daten oder Dateien vom Anwendungsserver.

Inwiefern erleichtert die Automatisierung die Arbeit eines SAP-Prüfers?

Die Automatisierung optimiert den Prüfungsprozess sowohl für das Unternehmen als auch für den SAP-Prüfer erheblich. Anstatt potenziell inkonsistente Nachweise wie Screenshots und Tabellen manuell anzufordern und zu sichten, kann sich der Prüfer auf eine platform für kontinuierliche Compliance verlassen, die konsistente, zuverlässige und automatisch generierte Nachweise liefert. Dadurch kann sich der Prüfer auf übergeordnete Analysen und control konzentrieren, anstatt sich in mühsamer Datenerfassung zu verzetteln. Außerdem ermöglicht dies den Prüfern, sich stärker auf automatisierte Tests zu stützen und den Umfang manueller Stichprobenprüfungen zu reduzieren.

Kann die kontinuierliche Automatisierung der Compliance-Prüfung manuelle Audit-Tests vollständig ersetzen?

Zwar reduziert die Automatisierung den Bedarf an manuellen Tests drastisch, ersetzt diese jedoch in der Regel nicht vollständig. Continuous Controls Monitoring (CCM) eignet sich hervorragend für das Testen technischer Konfigurationen und der Datenintegrität bei 100 % der Population, was weitaus umfassender ist als manuelle Stichproben. Dennoch können Prüfer weiterhin einige manuelle Tests durchführen, insbesondere bei Kontrollen, die menschliches Urteilsvermögen erfordern, bei Prozessdurchläufen oder bei der Validierung von Risikominderungsmaßnahmen, die außerhalb des automatisierten Systems dokumentiert sind. Die Automatisierung reduziert den Umfang und den Aufwand manueller Tests erheblich, ergänzt diese jedoch oft eher, als dass sie sie vollständig ersetzt.

Wie lässt sich Onapsis in bestehende GRC-Tools zur Compliance-Sicherung integrieren?

Onapsis ergänzt bestehende GRC-Tools (wie SAP GRC Process Control oder Access Control). GRC-Tools konzentrieren sich in der Regel auf die Verwaltung von Geschäftsprozesskontrollen, Workflows für Zugriffsanfragen und SoD-Regeln auf Geschäftsebene. Onapsis bietet die tiefgreifende, technische Validierung unterhalb dieser Ebene. Es bewertet kontinuierlich die zugrunde liegenden SAP-Systeme (Konfigurationen, Patches, benutzerdefinierten Code), um sicherzustellen, dass diese sicher und konform sind, und liefert den technischen Nachweis, dass die vom GRC-Tool verwalteten Kontrollen auf einer sicheren platform laufen. 

Stichworte, ,
Über den Autor
Pablo Müller, Technischer Produktmanager bei Onapsis

Pablo Müller

Technischer Produktmanager

Pablo Müller ist Technical Product Manager bei Onapsis und auf die Entwicklung von Lösungen für SAP GRC (Governance, Risk und Compliance) sowie die Sicherheit geschäftskritischer Anwendungen spezialisiert. Als einer der Hauptakteure unserer Vordenkerrolle im Bereich GRC und Compliance liegt seine Expertise darin, die neuesten Erkenntnisse aus der SAP-Sicherheitsforschung und aktuelle Branchentrends in Produkt-Roadmaps umzusetzen, die den Kundenbedürfnissen entsprechen. Pablo arbeitet eng mit den Onapsis Research Labs zusammen, Onapsis Research Labs neue Sicherheitsprüfungen zu definieren und sicherzustellen, dass die GRC-Lösungen von Onapsis die erforderliche Transparenz und Kontrollmöglichkeiten für auditfähige SAP-Systeme und kontinuierliche Compliance bieten. Durch seine Arbeit hat er sich als vertrauenswürdige Stimme etabliert, die die Lücke zwischen technischen Sicherheitsanforderungen und den Vorgaben der Unternehmensrevision schließt.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen