Der 2.000-Stunden-Kostenfaktor: Warum manuelle SAP-ITGC-Prüfungen Sie mehr als nur Zeit kosten

Von:

6. April 2026

Manuelle SAP-ITGC-Prüfungen (IT General Controls) erfordern einen erheblichen Zeitaufwand, um die gesetzlichen Anforderungen und die Erwartungen interner Stakeholder zu erfüllen. Zwar sind viele Unternehmen der Ansicht, dass manuelle Überprüfungen die Einhaltung der Vorschriften gewährleisten, doch birgt das Verlassen auf manuelle Prüfungen bei weitläufigen SAP-Landschaften erhebliche Betriebskosten und kritische Sicherheitsrisiken.

Der Ressourcenverbrauch: Wohin verschwinden die Stunden?

Manuelle SAP-ITGC-Prüfungen sind äußerst zeitaufwendig, da sich die Sicherheitsteams einzeln in mehrere Systeme einloggen, bestimmte Transaktionen aufrufen und control manuell dokumentieren müssen. Diese mühsame Datenerfassung zwingt hochqualifizierte Ingenieure dazu, eher als Administratoren denn als Sicherheitsarchitekten zu agieren.

Angesichts des schieren Umfangs einer modernen SAP-Landschaft werden manuelle Tests zu einem operativen Engpass. Wie aus Kundenrückmeldungen hervorgeht, verbringen Sicherheits- und SAP-Basis-Teams in mittleren bis großen Unternehmen häufig mehr als 50 Stunden pro Quartal mit der Durchführung grundlegender Compliance-Prüfungen. Wenn Unternehmen diese Stunden auf mehrere Funktionsbereiche hochrechnen, sind die finanziellen Auswirkungen enorm.

Kundendaten zufolge beanspruchen manuelle ITGC-Aufgaben in Fortune-500-Umgebungen jährlich mehr als 2.000 Arbeitsstunden. Dieser enorme Zeitaufwand bindet Ressourcen, die für wichtige Projekte benötigt werden, und hindert die Teams daran, sich auf Folgendes zu konzentrieren:

  • Absicherung der SAP-Landschaft gegen neue Cyber-Bedrohungen.
  • Durchführung sicherer cloud für RISE with SAP.
  • Entwicklung fortschrittlicher, langfristiger Sicherheitsarchitekturen.

Die Wissenslücke und das Dilemma des Zugangs

Die SAP-Wissenslücke entsteht, wenn interne Revisionsteams nicht über das erforderliche Fachwissen und die notwendigen Systemzugriffsrechte verfügen, um Compliance-Daten aus komplexen SAP-Umgebungen zu extrahieren. Diese Diskrepanz führt zu ständigen funktionsübergreifenden Abhängigkeiten, verzögert den Revisionsprozess und führt zu einem fragmentierten Überblick über die Unternehmensrisiken.

Interne Auditoren benötigen präzise technische Nachweise, um die SAP-Compliance zu überprüfen, doch verfügen diese Teams selten über Administratorrechte für die Produktionssysteme. Die Auditoren müssen daher Datenanfragen an die SAP-Basis-Teams richten. Da diese Teams bereits ein hohes Ticketvolumen bewältigen müssen, benötigen sie oft Wochen, um diese Nachweisanfragen zu bearbeiten. Sobald die Basis-Teams die Daten bereitstellen, haben die Auditoren unter Umständen Schwierigkeiten, die technischen Rohdaten zu interpretieren. Diese ständigen Reibungsverluste verlangsamen den Audit-Zyklus und hindern die Unternehmensleitung daran, sich in Echtzeit ein genaues Bild von der SAP-Sicherheitslage zu verschaffen.

Das Paradoxon menschlicher Fehler bei SAP-Prüfungen

Das Paradoxon menschlicher Fehler bei SAP-Audits besagt, dass Unternehmen zwar auf manuelle Prüfungen setzen, um die Richtigkeit sicherzustellen, die sich wiederholenden Abläufe bei der manuellen Erfassung von Belegen jedoch tatsächlich zu einer hohen Fehlerquote führen. Manuelle Tests in komplexen Systemlandschaften führen praktisch zwangsläufig zu falsch interpretierten Parametern und übersehenen Schwachstellen.

SAP-Landschaften sind zu umfangreich, als dass sie von Administratoren ohne Automatisierung zuverlässig überwacht werden könnten. Die Erfassung von Nachweisen ist mühsam, und manuelle Wiederholungen führen direkt zu Verwaltungsfehlern. Diese Fehler haben im Rahmen eines Prüfungszyklus schwerwiegende Folgen:

  • Nicht angekreuzte Kontrollkästchen in wichtigen Compliance-Formularen.
  • Falsch interpretierte Systemparameter, die zu Fehlalarmen führen.
  • Veraltete Screenshots, die den Prüfpfad ungültig machen.

Diese Fehler sind für externe Prüfer ein deutliches Warnsignal. Wenn ein externer Prüfer eine Unstimmigkeit in einem manuellen Bericht entdeckt, verliert er das Vertrauen in den gesamten Compliance-Prozess. Dieser Vertrauensverlust führt zu erweiterten Prüfungsanforderungen, wodurch das Sicherheitsteam gezwungen ist, noch mehr manuelle Arbeit zu leisten, um die Systemintegrität nachzuweisen.

Der Wandel vom Datenbeschaffer zum Risikomanager

Sicherheitsverantwortliche müssen ihre Teams durch die Automatisierung von SAP-Compliance-Prüfungen von manuellen Datenerfassern zu proaktiven Risikomanagern machen. Durch die Automatisierung von ITGC-Tests lassen sich wochenlange manuelle Arbeit auf wenige Minuten verkürzen, wodurch Compliance von einem reaktiven Nachholprozess zu einem strategischen, kontinuierlichen Prozess wird.

Das Verlassen auf manuelle Compliance-Prozesse stellt in modernen, stark gefährdeten SAP-Umgebungen eine kritische Schwachstelle dar. Sicherheitsteams müssen die manuelle Datenerfassung aufgeben und Lösungen zur Automatisierung von SAP-Compliance-Prüfungen einführen. Durch die Eliminierung des 2.000-stündigen Verwaltungsaufwands versetzen Unternehmen ihre Sicherheitsspezialisten in die Lage, Risiken aktiv zu managen und defend Unternehmen defend .

Als Nächstes: Von Wochen zu Minuten

Im zweiten Teil dieser Reihe wird erläutert, wie Unternehmen den manuellen Prüfungszyklus durch den Einsatz automatisierter Berichtssysteme in ihrer gesamten SAP-Landschaft durchbrechen. In den kommenden Beiträgen wird detailliert beschrieben, wie die Nutzung vordefinierter Richtlinien für NIST, SOX und DSGVO eine kontinuierliche Prüfungsbereitschaft gewährleistet , noch bevor die Prüfer eintreffen.

Häufig gestellte Fragen zu SAP-ITGC-Prüfungen

Warum gelten manuelle ITGC-Tests als versteckte Kosten? 

Manuelle ITGC-Tests verursachen versteckte Kosten, da der Prozess mit erheblichen Opportunitätskosten verbunden ist. Wenn erfahrene SAP-Sicherheitsingenieure pro Quartal 50 Stunden damit verbringen, manuell Screenshots zu erstellen, können sie sich nicht auf hochwertige Projekte wie die Absicherung der Landschaft konzentrieren. Bei einem typischen Fortune-500-Unternehmen beanspruchen diese manuellen Verwaltungsaufgaben bis zu 2.000 Arbeitsstunden pro Jahr.

Inwiefern erschwert die Komplexität der Testumgebung das manuelle Testen? 

Die Komplexität der Systemlandschaft erschwert manuelle Tests, da sich dadurch die Anzahl der Systeme vervielfacht, die Systemadministratoren einzeln überprüfen müssen. Wenn Unternehmen durch Übernahmen oder digitale Transformationen wachsen, wird es unmöglich, sich manuell in jedes Produktionssystem einzuloggen, um Berechtigungsobjekte zu überprüfen. Sicherheitsteams können in einer weitläufigen Systemlandschaft keine durchgängige Compliance gewährleisten, wenn sie sich ausschließlich auf manuelle Überprüfungen verlassen.

Was ist der erste Schritt, um die Kosten für manuelle SAP-Prüfungen zu senken? 

Der erste Schritt zur Senkung der Kosten für manuelle SAP-Audits besteht darin, anzuerkennen, dass eine manuelle Compliance nicht nachhaltig ist, und automatisierte Transparenz-Tools einzusetzen. Unternehmen müssen Lösungen implementieren, die einen direkten Echtzeit-Einblick in die ITGC-Prüfungen bieten. Mithilfe von Tools zur kontinuierlichen Bewertung können Sicherheitsteams SAP-Systeme proaktiv bewerten, anstatt kurz vor Ablauf der Audit-Frist hastig nach Belegen zu suchen.

Stichworte,
Über den Autor
Porträtfoto von Julie Anderson

Julie Anderson

Julie Anderson ist eine erfahrene Marketingexpertin und Vordenkerin bei Onapsis. Sie entwickelt strategische Inhalte, die Führungskräfte aus den Bereichen Sicherheit und IT über die Notwendigkeit des Schutzes von SAP- und geschäftskritischen Anwendungen aufklären. Julies Arbeit verdeutlicht, wie die platform marktführende Funktionen in den Bereichen Schwachstellenmanagement, spezialisierte Bedrohungserkennung und kontinuierliche Compliance platform . Ihr Schwerpunkt liegt darauf, den Mehrwert der Einbindung fundierter Erkenntnisse zur Anwendungssicherheit in bestehende Sicherheitsworkflows von Unternehmen zu vermitteln, um eine bessere Risikominderung und Governance zu erreichen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen