Implementierung Baseline SAP Security Baseline .6 mit Onapsis

Von:

17. Februar 2026

Angesichts der Vielzahl an Technologien, die in einem Unternehmen zum Einsatz kommen, kann es selbst für erfahrene Cybersicherheitsexperten eine Herausforderung sein, den Überblick über alle verwendeten Technologien zu behalten, geschweige denn zu verstehen, wie diese am besten gemäß den Anforderungen des Unternehmens gesichert werden können.

Erfahrene Anbieter kritischer Geschäftsanwendungen kennen die Herausforderungen, denen sich die Informationssicherheitsteams in einem Unternehmen gegenübersehen, und geben ihnen Hilfestellung, damit sie verstehen, was für einen sicheren Betrieb ihrer Technologie erforderlich ist.

SAP bildet hier keine Ausnahme und hat die „SAP Security Baseline veröffentlicht und weiterentwickelt, die mittlerweile in der Version 2.6 vorliegt (Einzelheiten zu dieser Version finden Sie im SAP-KB-Artikel Nr. 2253549). Diese baseline als standardisiertes Rahmenwerk, das die Mindestsicherheitskonfigurationen, Parameter und Benutzerzugriffsrechte definiert, die erforderlich sind, um geschäftskritische SAP-Systeme vor Schwachstellen und Bedrohungen zu schützen. 

Laut SAP müssen die baseline „… von allen SAP-Systemen erfüllt werden, unabhängig von etwaigen Risikobewertungen. Es handelt sich um allgemeine Best Practices, die für alle Systeme gelten, unabhängig von deren Sicherheitsstufe.“

Quellen der Baseline

SAP erstellt neue Versionen der baseline von zwei Hauptquellen:

  1. Empfehlungen: Informationen aus den SAP-Sicherheitsdiensten, wie beispielsweise das Kapitel „Sicherheit“ im EarlyWatch Alert (Hinweis 863362) oder der SAP Security Optimization Service.
  2. Dokumentation: Produktspezifische Sicherheitsleitfäden auf help.sap.com, Whitepapers und SAP-Sicherheitshinweise.

SAP empfiehlt, die baseline innerhalb jedes Unternehmens um organisatorische Anforderungen baseline erweitern, wie beispielsweise die allgemeine Sicherheitsrichtlinie, die IT-Sicherheitsrichtlinie oder andere Sicherheitsanforderungen, die den unterschiedlichen Kritikalitätsstufen der SAP-Systeme Rechnung tragen.

Die Onapsis-Lösung

Unabhängig von etwaigen Erweiterungen der veröffentlichten baseline ist es von entscheidender Bedeutung, dass Sie die Anforderungen der neuesten Version erfüllen. Onapsis Assess macht dies ganz einfach. Wir stellen eine von Onapsis gepflegte Richtlinie bereit, die 100 % der relevanten Control abdeckt und sich wie folgt aufschlüsselt:

  • 69 Kritisch
  • 92 Standard
  • 53 Erweitert

Hinweis: Nur 27 control in der veröffentlichten baseline auf Technologien, die derzeit von der Platform nicht unterstützt werden.

Automatische Updates und Fehlerbehebung

Im selben Monat, in dem SAP die neueste Version seiner Security Baseline v2.6) veröffentlichte, brachte Onapsis ein Update für unsere ausgelieferte Baseline heraus, um sicherzustellen, dass unsere Kunden automatisch auf die Überprüfung ihrer Systeme gemäß den neuesten SAP-Richtlinien umstellen konnten, ohne dass sie dafür operative Änderungen vornehmen mussten.

Und wie bei jedem Ergebnis der Platform werden auch hier, falls Onapsis Assess , dass ein oder mehrere SAP-Systeme die Empfehlungen von SAP nicht erfüllen oder übertreffen, klare Anweisungen zu den erforderlichen Schritten gegeben, um das SAP-System auf eine angemessen sichere Konfiguration zu bringen.

Fazit

Die fortlaufende Veröffentlichung aktualisierter Sicherheitsrichtlinien durch SAP und die rasche Bereitstellung dieser Inhalte durch Onapsis im Rahmen automatischer Updates verdeutlichen einmal mehr, warum Onapsis Assess die effektivste und effizienteste Methode Assess , um Ihre geschäftskritischen Anwendungen auf Abweichungen von Ihrem festgelegten Sicherheitsstatus zu überwachen – und das ganz ohne manuellen Aufwand.

Stichwörter, , , , ,
Über den Autor

Alex Horan

Alex Horan ist Vice President of Product Management bei Onapsis, wo er sich auf die Entwicklung von Lösungen für SAP-Sicherheit und das Schwachstellenmanagement in ERP-Systemen konzentriert. Mit über 18 Jahren Erfahrung verfügt Alex über eine nachgewiesene Erfolgsbilanz bei der Unterstützung großer Unternehmen bei der Verbesserung ihrer Sicherheitslage. Seine Fachkenntnisse umfassen Schlüsselbereiche wie Schwachstellenanalyse, Penetrationstests und Systemaudits, was ihn zu einer vertrauenswürdigen Stimme bei Themen wie SAP-Compliance und sicherer Systemkonfiguration macht. Er setzt sich dafür ein, dass die Produkte von Onapsis einen fortschrittlichen Schutz vor realen Bedrohungen wie Ransomware und unbefugtem Zugriff bieten.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen