NIS2-konform mit SAP Security

Von:

29. April 2026

NIS2-konform mit SAP Security: Umsetzung des DSAG-Leitfadens für bewährte Verfahren in Cyber-Resilienz

In der vernetzten Welt von heute ist die Absicherung von SAP-Systemen nicht mehr nur eine IT-Aufgabe im „Backoffice“, sondern eine grundlegende Voraussetzung für die Geschäftskontinuität und die Einhaltung gesetzlicher Vorschriften. Ganz gleich, ob Sie sich mit NIS2, DORA oder DSGVO– der Druck, eine widerstandsfähige und überprüfbare SAP-Umgebung aufrechtzuerhalten, war noch nie so hoch wie heute.

Um Unternehmen bei der Bewältigung dieser Herausforderungen zu unterstützen, hat die Arbeitsgruppe für SAP-Sicherheit und Schwachstellenmanagement der Deutschen SAP-Anwendergruppe (DSAG) einen umfassenden Leitfaden mit Best Practices veröffentlicht. Dieser orientiert sich am weltweit anerkannten NIST Cybersecurity Framework (CSF) 2.0 bietet dieser Leitfaden einen operativen Fahrplan für das Management des gesamten Sicherheitslebenszyklus Ihrer SAP-Landschaft.

Der Leitfaden: NIST CSF 2.0 für SAP

Der DSAG-Leitfaden gliedert die SAP-Sicherheit in sechs Kernfunktionen, die einen ganzheitlichen Überblick über die Risiken bieten:

  • GOVERN (GV): Governance und Strategie.
  • IDENTIFY (ID): Risikobewertung und Anlagenmanagement.
  • PROTECT (PR): Sicherheitsvorkehrungen und Absicherung.
  • DETECT (DE): Erkennung und Überwachung von Angriffen.
  • RESPOND (RS): Reaktion auf Vorfälle und Eindämmung.
  • RECOVER (RC): Wiederherstellung und Geschäftskontinuität.

Während der DSAG-Leitfaden das „Was“ regelt, tun sich Unternehmen oft schwer mit dem „Wie“ – insbesondere damit, wie sie diese Anforderungen in komplexen, hybriden Umgebungen (On-Premise, RISE und BTP) umsetzen können, ohne ihre Teams mit manuellen Aufgaben zu überlasten.

Implementierung von DSAG mit Onapsis Assess

Die Onapsis Platform fungiert als Motor, der diese Richtlinien in automatisierte, wiederholbare Prozesse umsetzt. Konkret Onapsis Assess dazu, die grundlegenden Funktionen „Identifizieren“ und „Schützen“ des DSAG-Rahmenwerks abzudecken.

Im Folgenden wird Punkt für Punkt dargelegt, wie Onapsis Assess die technischen Anforderungen der DSAG Assess :

Anforderung der DSAG / des NISTDSAG – Hintergrund und LeitlinienSo Assess „How Onapsis Assess “ dies Assess
Vermögensverwaltung (ID.AM)Alle SAP-Systeme müssen vollständig in einer zentralen Anlagen-Datenbank erfasst sein.Bietet einen umfassenden Überblick über die gesamte Hybrid-Umgebung (On-Premise, Cloud, RISE, BTP) zur Automatisierung der Bestandsaufnahme von Assets.
Risiko- und Schwachstellenanalyse (ID.RA)Identifizieren, validieren und dokumentieren Sie Schwachstellen anhand von Bewertungssystemen wie CVSS.Erkennt und überprüft Schwachstellen automatisch und ordnet sie nach ihrem Risiko, um den Patch-Prozess zu beschleunigen.
Sicherheitspatches (PR.PS)Verpflichtung zur Umsetzung sowohl von „HotNews“- als auch von„Nicht-HotNews“-Sicherheitshinweisen.Ermittelt fehlende Notizen (einschließlich solcher, die nicht zu HotNews gehören) und überprüft, ob sie erfolgreich angewendet wurden.
Sicherheitsoptimierung (PR.PS)Systeme müssen gemäß den Vorgaben abgesichert und kontinuierlich überwacht werden.Überprüft schnell Konfigurationen für SAP-Anwendungen und SAP BTP , um sicherzustellen, dass sie den Sicherheitsstandards entsprechen.
Compliance und Revision (GV.OV)Setzen Sie auf „wirksame, überprüfbare Maßnahmen“ und verzichten Sie auf manuelle Kontrollen.Automatisiert die Erfassung von Nachweisen für Audits und reduziert so den manuellen Aufwand für den Nachweis der Konformität erheblich.

Nutzung der automatisierten Audit-Funktionen von Onapsis

Im Hintergrund Assess Onapsis Assess Hunderte von spezialisierten Modulen, um die Einhaltung der detaillierten Anforderungen der DSAG zu überprüfen. Zum Beispiel:

  • Benutzerverwaltung (PR.AA): Assess -Module (wie die Module 856 und 857) Assess , um inaktive Benutzer oder solche mit mangelnder Passwort-Sicherheit zu identifizieren, was direkt den „Least Privilege“-Grundsätzen der DSAG entspricht.
  • Systemintegrität: Es überprüft wichtige Systemeinstellungen, wie beispielsweise die „Systemänderungsoptionen“ (Modul 659), um sicherzustellen, dass Produktionsumgebungen nicht ohne Genehmigung verändert werden können.
  • Kommunikationssicherheit: Assess , ob für RFC-Verbindungen und SAP-GUI-Sitzungen eine Verschlüsselung erzwungen wird, um Daten während der Übertragung zu schützen.

Der DSAG-Leitfaden betont, dass Automatisierung der Schlüssel zur Bewältigung der Fragmentierung moderner SAP-Umgebungen ist. Durch den Ersatz manueller, fehleranfälliger Checklisten durch Onapsis Assess können Unternehmen eine kontinuierliche Compliance gewährleisten und gleichzeitig ihre InfoSec- und SAP-Teams besser aufeinander abstimmen.

NIS2-Ready mit SAP Security: Der DSAG-Leitfaden für bewährte Verfahren als Weg zur Cyber-Resilienz

In der heutigen vernetzten Welt ist die Sicherung von SAP-Systemen längst nicht mehr nur eine Aufgabe der Backoffice-IT – sie ist eine grundlegende Voraussetzung für die Geschäftskontinuität und die Einhaltung gesetzlicher Vorschriften. Ganz gleich, ob Sie sich mit NIS2, DORA oder der DSGVO befassen: Der Druck, eine robuste und revisionssichere SAP-Umgebung aufrechtzuerhalten, war noch nie so groß wie heute.

Um Unternehmen bei der Bewältigung dieser Herausforderungen zu unterstützen, hat die Deutschsprachige SAP-Anwendergruppe (DSAG) mit ihrer Arbeitsgruppe „SAP Security und Vulnerability Management“ einen umfassenden Leitfaden mit Best Practices veröffentlicht. Aufbauend auf dem weltweit anerkannten NIST Cybersecurity Framework (CSF) 2.0 bietet dieser Leitfaden einen operativen Fahrplan für die Verwaltung des gesamten Sicherheitslebenszyklus Ihrer SAP-Landschaft.

Der Bauplan: NIST CSF 2.0 für SAP

Der DSAG-Leitfaden gliedert die SAP-Sicherheit in sechs Kernfunktionen, die eine ganzheitliche Risikoperspektive bieten:

  • GOVERN (GV): Governance und Strategie
  • IDENTIFY (ID): Risikobewertung und Vermögensverwaltung
  • PROTECT (PR): Schutzmaßnahmen und Härtung
  • DETECT (DE): Angriffserkennung und Überwachung
  • RESPOND (RS): Reaktion auf Vorfälle und Eindämmung
  • RECOVER (RC): Wiederherstellung und Geschäftskontinuität

Während der DSAG-Leitfaden das „Was“ vermittelt, haben Organisationen häufig Schwierigkeiten mit dem „Wie“ – insbesondere damit, wie diese Anforderungen in komplexen, hybriden Umgebungen (On-Premise, RISE und BTP) umgesetzt werden können, ohne ihre Teams mit manuellen Aufgaben zu überlasten.

DSAG in die Praxis umsetzen: Onapsis Assess praktische Lösung

Die Onapsis-Plattform fungiert als Motor, der diese Richtlinien in automatisierte, wiederholbare Prozesse umsetzt. Onapsis Assess wurde speziell dafür konzipiert, die grundlegenden Funktionen „Identify“ und „Protect“ des DSAG-Frameworks abzudecken.

Hier sehen Sie, wie Onapsis Assess für Punkt auf die technischen Anforderungen der DSAG eingeht:

Die überarbeitete Tabelle, die die DSAG-Anforderungen und deren Abdeckung durch Onapsis Assess , sieht wie folgt aus:

DSAG/NIST-AnforderungDSAG-Kontext & LeitlinienBerichterstattung durch Onapsis Asses
Vermögensverwaltung (ID.AM)Alle SAP-Systeme müssen vollständig in einer zentralen Anlagendatenbank erfasst werden.Bietet vollständige Transparenz über die gesamte Hybrid-Landschaft (On-Premise, Cloud, RISE, BTP) zur Automatisierung der Bestandserfassung.
Risiko- und Schwachstellenbewertung (ID.RA)Schwachstellen identifizieren, validieren und dokumentieren – mit Bewertungen wie CVSS.Identifiziert und validiert Schwachstellen automatisch und priorisiert sie nach Risiko, um den Patch-Prozess zu beschleunigen.
Sicherheits-Patches (PR.PS)Anforderung zur Umsetzung von HotNews- und Non-HotNews-Sicherheitshinweisen.Erkennt fehlende Notizen (einschließlich Non-HotNews) und überprüft deren korrekte Verwendung.
Sicherheitshärtung (PR.PS)Systeme müssen gemäß den Spezifikationen abgesichert und kontinuierlich überwacht werden.Prüft Konfigurationen für SAP-Anwendungen und SAP BTP auf die Einhaltung von Sicherheitsstandards.
Compliance und Revision (GV.OV)Übergang zu wirksamen, prüfbaren Maßnahmen und Abbau manueller Kontrollen.Automatisiert die Erfassung von Nachweisen für Audits und reduziert den manuellen Aufwand für die Compliance-Nachweisführung erheblich.

Onapsis Assess: Automatisierung für lückenlose Audits

Im Hintergrund nutzt Onapsis Assess detaillierter Module, um die detaillierten DSAG-Anforderungen zu überprüfen. Hier einige Beispiele:

  • Benutzerverwaltung (PR.AA): Assess Module (wie die Module 856 und 857) durch, um inaktive Benutzer oder solche mit mangelnder Passwort-Sicherheit zu identifizieren – ganz im Sinne der Least-Privilege-Prinzipien der DSAG.
  • Systemintegrität: Das System überprüft kritische Systemeinstellungen, wie z. B. die System Change Options (Modul 659), um sicherzustellen, dass Produktionsumgebungen nicht ohne Genehmigung geändert werden können.
  • Kommunikationssicherheit: Assess , ob die Verschlüsselung für RFC-Verbindungen und SAP-GUI-Sitzungen erzwungen wird – zum Schutz der Daten während der Übertragung.

Der DSAG-Leitfaden betont, dass Automatisierung der Schlüssel zur Bewältigung der Fragmentierung moderner SAP-Umgebungen ist. Durch den Ersatz manueller, fehleranfälliger Checklisten durch Onapsis Assess Unternehmen einen kontinuierlichen Compliance-Status erreichen und gleichzeitig ihre InfoSec- und SAP-Teams besser aufeinander abstimmen.

Stichworte, ,
Über den Autor

Alex Horan

Alex Horan ist Vice President of Product Management bei Onapsis, wo er sich auf die Entwicklung von Lösungen für SAP-Sicherheit und das Schwachstellenmanagement in ERP-Systemen konzentriert. Mit über 18 Jahren Erfahrung verfügt Alex über eine nachgewiesene Erfolgsbilanz bei der Unterstützung großer Unternehmen bei der Verbesserung ihrer Sicherheitslage. Seine Fachkenntnisse umfassen Schlüsselbereiche wie Schwachstellenanalyse, Penetrationstests und Systemaudits, was ihn zu einer vertrauenswürdigen Stimme bei Themen wie SAP-Compliance und sicherer Systemkonfiguration macht. Er setzt sich dafür ein, dass die Produkte von Onapsis einen fortschrittlichen Schutz vor realen Bedrohungen wie Ransomware und unbefugtem Zugriff bieten.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen