Ein Leitfaden für Führungskräfte zu SAP Identity and Access in der Cloud

Von:

22. August 2025

Warum IAM für SAP in der Cloud die neue Sicherheitsgrenze darstellt

In modernen Unternehmen hat sich das Konzept eines sicheren Netzwerkperimeters durch die digitale Transformation und cloud aufgelöst. Für geschäftskritische Anwendungen wie SAP ist das Identitäts- und Zugriffsmanagement (IAM) zum neuen Perimeter geworden. SAP Cloud ist das Rahmenwerk aus Richtlinien und Technologien, mit dem sichergestellt wird, dass die richtigen Benutzer den entsprechenden Zugriff auf SAP-Anwendungen und -Daten erhalten, unabhängig davon, wo diese gehostet werden.

Die größte Herausforderung für Führungskräfte von heute besteht darin, diesen Zugriff in einer verteilten und komplexen Landschaft zu verwalten. Da SAP-Systeme in lokalen Rechenzentren, privaten Clouds und mehreren öffentlichen Clouds betrieben werden, ist es schwieriger denn je, einen einheitlichen und sicheren Zugriff zu gewährleisten.

Dieser Leitfaden bietet einen strategischen Rahmen für den erfolgreichen Umgang mit IAM und cloud . Wir behandeln die zentralen Herausforderungen in einer hybriden Umgebung, fünf wesentliche Best Practices für die Zugriffssicherung und zeigen auf, wie spezialisierte Plattformen entscheidende Lücken in der Transparenz schließen können.

Zentrale IAM-Herausforderungen in einer hybriden SAP-Umgebung

Die cloud zwar enorme Vorteile, führt jedoch zu einer erheblichen Komplexität im Identitäts- und Zugriffsmanagement. Für Führungskräfte, die hybride SAP-Landschaften betreuen, stehen dabei stets drei zentrale Herausforderungen im Vordergrund.

Das Modell der geteilten Verantwortung für die Identität

Die grundlegende Herausforderung besteht darin, das Modell der geteilten Verantwortung für Identitäten zu verstehen. Während ein cloud wie AWS oder Azure für die Sicherheit seiner eigenen platform der zugrunde liegenden Infrastruktur verantwortlich ist, liegt die gesamte Verantwortung für die Identitäts- und Zugriffssteuerung auf Anwendungsebene beim Kunden. Die IAM-Tools des Anbieters control auf eine virtuelle Maschine zugreifen darf; sie haben jedoch weder Einblick noch control , was dieser Benutzer tun kann, sobald er sich in der SAP-Anwendung befindet.

Identitätsverwaltung in lokalen Systemen und in Cloud

In einer hybriden SAP-Umgebung stehen Unternehmen vor der schwierigen Aufgabe, Benutzeridentitäten zu verwalten, die sich sowohl auf lokale Systeme als auch auf mehrere cloud erstrecken. Dies führt häufig zu uneinheitlichen Zugriffsrichtlinien, Schwierigkeiten bei der Synchronisierung von Benutzerrollen und einer uneinheitlichen Benutzererfahrung. Ohne einen zentralisierten Ansatz ist es nahezu unmöglich, einen einheitlichen Überblick über die Berechtigungen eines Benutzers in der gesamten Landschaft zu erhalten.

Mangelnde Transparenz hinsichtlich der Berechtigungen auf Anwendungsebene

Native cloud haben keinen Einblick in die internen Abläufe Ihrer SAP-Anwendungen. Sie sind nicht in der Lage, das Geschäftsrisiko einer SAP-Rolle zu analysieren, einen Konflikt bei der Aufgabentrennung (Segregation of Duties, SoD) zu erkennen oder festzustellen, welche Benutzer Zugriff auf sensible Transaktionen haben. Dies führt zu einer kritischen Lücke in der Transparenz auf der Anwendungsebene, wo sich die wertvollsten Daten befinden, sodass ein erheblicher Teil Ihres Zugriffsrisikos von herkömmlichen cloud völlig unberücksichtigt bleibt.

5 wichtige Best Practices für SAP Cloud

Um den Komplexitäten von Hybrid- und cloud gerecht zu werden, ist ein moderner, strategischer Ansatz für das Identitäts- und Zugriffsmanagement erforderlich. Die folgenden fünf Best Practices bieten einen grundlegenden Rahmen für die Absicherung Ihrer SAP-Landschaft.

1. Zentralisierung der Identitätsverwaltung über einen primären Identitätsanbieter (IdP)

Der entscheidende erste Schritt besteht darin, die Identitätsverwaltung zu zentralisieren, indem Sie Ihre SAP-Systeme mit einem zentralen Identitätsanbieter (IdP) wie Microsoft Entra ID oder Okta integrieren. Anstatt Identitäten in jedem SAP-System separat zu verwalten, schafft dieser Ansatz eine einzige, verbindliche Quelle für die Benutzerauthentifizierung. Dies ermöglicht Single Sign-On (SSO) für eine nahtlose Benutzererfahrung und vereinfacht das Benutzerlebenszyklusmanagement erheblich, sodass sichergestellt ist, dass bei Ausscheiden eines Mitarbeiters aus dem Unternehmen dessen Zugriff auf alle Systeme von einer zentralen Stelle aus widerrufen wird.

2. Überall die Multi-Faktor-Authentifizierung (MFA) durchsetzen

Die Multi-Faktor-Authentifizierung (MFA) ist eine unverzichtbare control alle SAP-Zugriffe in der cloud. Da die MFA über das reine Passwort hinaus eine zweite Form der Verifizierung erfordert, bietet sie einen entscheidenden Schutz vor dem Diebstahl von Zugangsdaten und unbefugtem Zugriff. Besonders wichtig ist es, die MFA für alle Benutzer mit privilegiertem Zugriff sowie für alle Zugriffe von außerhalb des Unternehmensnetzwerks durchzusetzen.

3. Umsetzung des Prinzips der geringsten Berechtigungen mit rollenbasierter Control RBAC)

Das Prinzip der geringsten Berechtigungen besagt, dass Benutzern nur die minimalen Berechtigungen gewährt werden sollten, die zur Erfüllung ihrer Aufgaben erforderlich sind. Der effektivste Weg, dies in großem Maßstab zu erreichen, ist durch rollenbasierte Control (RBAC). Dabei werden klare, genau definierte geschäftliche und technische Rollen auf der Grundlage von Aufgabenbereichen entworfen, anstatt eine Vielzahl individueller Berechtigungen ad hoc zu vergeben. Ein starkes RBAC-Modell bildet die Grundlage für die Verhinderung von Zugriffsausweitung und die Durchsetzung der Aufgabentrennung.

4. Regulierung privilegierter Zugriffe durch spezifische Kontrollmaßnahmen

Administrator- oder „Superuser“-Konten in SAP stellen ein erhebliches Risiko dar. Eine bewährte Vorgehensweise besteht darin, privilegierten Zugriff durch die Implementierung spezifischer Kontrollen und Tools zu regeln, die oft als „Firefighter“- oder Notfall-Zugriffsmanagement-Lösungen bezeichnet werden. Diese Tools ermöglichen es Administratoren, bei Bedarf vorübergehend erweiterte Berechtigungen zu erhalten. Alle während dieser Sitzungen durchgeführten Aktivitäten werden genau überwacht und zur Nachverfolgung protokolliert, wodurch die Nachvollziehbarkeit gewährleistet und das Missbrauchsrisiko verringert wird.

5. Automatisierung der Überprüfung und Zertifizierung von Benutzerzugriffen

Um die Einhaltung von Vorschriften und eine übersichtliche Zugriffsumgebung zu gewährleisten, müssen Unternehmen regelmäßige Überprüfungen durchführen, um sicherzustellen, dass die Benutzer die ihnen gewährten Zugriffsrechte weiterhin benötigen. Die manuelle Durchführung dieses Prozesses ist auf Dauer nicht tragbar. Eine wichtige bewährte Vorgehensweise besteht darin, die Überprüfung der Benutzerzugriffe zu automatisieren. Dazu werden GRC- oder IAG-Tools eingesetzt, um automatisch Zugriffsberichte zu erstellen und den Bestätigungsworkflow zu verwalten, wobei Anfragen an die Geschäftsverantwortlichen gesendet werden, damit diese die Berechtigungen ihrer Teammitglieder genehmigen oder widerrufen können, wodurch ein klarer und nachvollziehbarer Prüfpfad entsteht.

Wie Onapsis SAP Cloud stärkt

Die Zentralisierung der Identitätsverwaltung und der Einsatz nativer cloud sind zwar wichtige erste Schritte, lösen jedoch nur einen Teil des Problems. Diese Kontrollmechanismen auf Infrastrukturebene weisen einen erheblichen blinden Fleck auf: die SAP-Anwendungsschicht. Dies ist die entscheidende Lücke, die die Onapsis Platform schließen soll.

Onapsis bietet einen umfassenden, kontextbezogenen Einblick in Berechtigungen und Zugriffsrechte auf Anwendungsebene, der nativen cloud fehlt. Es stärkt Ihre IAM-Strategie, indem es Ihre SAP-Systeme kontinuierlich überprüft, um komplexe, anwendungsspezifische Risiken zu identifizieren und bei deren Behebung zu helfen. Dazu gehört die Durchsetzung einer echten SAP-Zugriffssteuerung durch die automatische Identifizierung tausender potenzieller Konflikte bei der Aufgabentrennung (Segregation of Duties, SoD) und kritischer Zugriffsrisiken, die für standardmäßige cloud völlig unsichtbar sind. Durch die Integration dieser umfassenden Anwendungsintelligenz in Ihr breiteres Sicherheitsökosystem stellt Onapsis sicher, dass Ihr IAM-Framework konsistent, konform und sicher ist – von der Infrastruktur bis hin zu den geschäftskritischen Daten.

Entwicklung einer einheitlichen IAM-Strategie für SAP

Um das Identitäts- und Zugriffsmanagement für SAP in der cloud zu meistern, cloud über die grundlegenden Sicherheitsmaßnahmen der cloud hinausgehen. Durch die Umsetzung wichtiger Best Practices – wie die Zentralisierung der Identitätsverwaltung über einen Identitätsanbieter (IdP), die Durchsetzung der Multi-Faktor-Authentifizierung (MFA) und die Steuerung privilegierter Zugriffe – können Unternehmen eine solide Grundlage für eine sichere cloud .

Letztendlich zeichnet sich ein ausgereiftes Cloud durch Kontinuität und Zusammenarbeit aus. Das Ziel besteht darin, eine einheitliche IAM-Strategie zu entwickeln, die die Silos zwischen cloud Anwendungsteams aufbricht. Dies erfordert die Integration umfassender Kontrollen auf Anwendungsebene in unternehmensweite Identitätslösungen, um eine konsistente, sichere und konforme Zugriffsumgebung für Ihre wichtigsten Systeme zu gewährleisten.

Häufig gestellte Fragen (FAQ)

Was ist der Unterschied zwischen AWS/Azure IAM und SAP Cloud ?

Der wesentliche Unterschied liegt in der Ebene der Transparenz und control. AWS/Azure IAM konzentriert sich auf die Infrastrukturebene– es wird geregelt, wer auf cloud wie virtuelle Maschinen und Speicher zugreifen darf. SAP Cloud konzentriert sich auf die Anwendungsebene– es wird geregelt, welche Aktionen ein Benutzer innerhalb der SAP-Anwendung ausführen darf, beispielsweise welche Transaktionen er ausführen und welche Daten er einsehen darf.

Kann ich in der cloud dieselben SAP-Rollen verwenden cloud vor Ort?

Zwar lassen sich bestehende Rollen technisch gesehen migrieren, doch bietet eine cloud die perfekte Gelegenheit, diese neu zu gestalten. Viele On-Premise-Rollen sammeln im Laufe der Jahre unnötige Berechtigungen an. Es empfiehlt sich daher, die Migration als Chance zu nutzen, um saubere, neue Rollen nach dem Prinzip der geringsten Berechtigungen zu erstellen, die für Ihr neues cloud optimiert sind.

Was ist der wichtigste erste Schritt zur Verbesserung unseres SAP Cloud ?

Der wichtigste erste Schritt besteht darin, die Identitätsverwaltung über einen unternehmensweiten Identitätsanbieter (IdP) wie Microsoft Entra ID zu zentralisieren. Dadurch entsteht eine zentrale Informationsquelle für die Benutzerauthentifizierung, was die Grundlage für die Implementierung wichtiger Sicherheitsmaßnahmen wie Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA) bildet.

Was spricht aus geschäftlicher Sicht für eine dedizierte SAP-IAM-Lösung, die über native cloud hinausgeht?

Der Business Case basiert auf Risikominderung und Effizienzsteigerung. Native cloud können nicht in die SAP-Anwendung hineinsehen, um kritische Risiken wie Konflikte bei der Aufgabentrennung (Segregation of Duties, SoD) zu erkennen und zu beheben. Eine dedizierte platform das Risiko von Betrug und Datenverletzungen. Zudem steigert sie die Effizienz, indem sie arbeitsintensive Aufgaben wie die Überprüfung von Benutzerzugriffen automatisiert, sodass Ihre Teams sich auf strategischere Aufgaben konzentrieren können. Das Angebot an Onapsis-SAP-Produkte wurde speziell entwickelt, um diese Herausforderungen zu bewältigen.

Ist es möglich, privilegierten „Firefighter“-Zugriff in der cloud zu verwalten?

Ja, und dies ist eine entscheidende bewährte Vorgehensweise. Die Grundsätze für die Verwaltung privilegierter Zugriffe gelten in der cloud genauso cloud vor Ort. Sie sollten eine Lösung implementieren, die einen temporären, bedarfsorientierten Zugriff auf Konten mit Administratorrechten ermöglicht, wobei alle Aktivitäten während der Sitzung genau überwacht und zu Prüfungszwecken protokolliert werden.

Stichworte, , , ,
Über den Autor

Alyssa Santiago

Alyssa Santiago ist Senior Managerin für Wachstumsmarketing bei Onapsis, wo sie sich darauf spezialisiert hat, komplexe Sicherheitsforschungsergebnisse in praxisnahe Inhalte für die SAP-Cybersicherheits-Community umzusetzen. Als wichtige Mitarbeiterin der Onapsis Research Labs nutzt sie ihr Fachwissen, um Vordenkerin zu sein, die sowohl ein technisches als auch ein Führungskräftepublikum über neue Bedrohungen, Schwachstellen und Best Practices informiert. Ihre Arbeit hilft Unternehmen dabei, Risiken für ihre geschäftskritischen Anwendungen zu verstehen und zu mindern, was sie zu einer vertrauenswürdigen Stimme im Bereich der SAP-Sicherheit macht.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen