SAP-Compliance im Überblick: Ein Leitfaden zu SOX, DSGVO und NIST

Von:

27. Oktober 2025

Die Einhaltung von Vorschriften wie dem Sarbanes-Oxley Act (SOX) und der Datenschutz-Grundverordnung (DSGVO) bei gleichzeitiger Ausrichtung an Cybersicherheits-Rahmenwerken wie NIST ist ein Eckpfeiler einer modernen SAP-Governance-, Risiko- und Compliance- (GRC)-Strategie. In komplexen SAP-Umgebungen stellt dies jedoch eine große Herausforderung dar. Der Schlüssel zum Erfolg liegt in einer strategischen Umstellung von manuellen, periodischen Audits hin zu automatisierter, kontinuierliche control . Dies stellt sicher, dass Ihre kritischsten Systeme stets sicher und auditbereit sind.

Die Herausforderung: Warum ist die Einhaltung der SAP-Vorschriften so schwierig? 

SAP-Systeme sind zwar der Motor für geschäftskritische Abläufe, doch aufgrund ihrer inhärenten Komplexität stellt die Einhaltung und Aufrechterhaltung von Compliance-Vorgaben selbst für die erfahrensten Unternehmen eine ständige Herausforderung dar. Die zentralen Herausforderungen lassen sich in der Regel auf einige wenige Schlüsselbereiche zurückführen:

  • Systemkomplexität: SAP-Landschaften sind umfangreich, in hohem Maße angepasst und eng miteinander vernetzt. Diese Komplexität macht es äußerst schwierig, einheitliche Sicherheitskontrollen und -richtlinien systemübergreifend anzuwenden und aufrechtzuerhalten – vom Alt-ECC über moderne S/4HANA-Umgebungen bis hin zu cloud wie SAP BTP.
  • Manuelle Stichprobenprüfungen: Herkömmliche Ansätze zur Compliance-Überprüfung stützen sich auf manuelle, regelmäßige Prüfungen, die zeitaufwendig, ressourcenintensiv und kostspielig sind. Vor allem aber liefern sie nur eine Momentaufnahme Ihrer Compliance-Situation zu einem bestimmten Zeitpunkt, wodurch erhebliche Lücken entstehen, in denen Schwachstellen und nicht konforme Konfigurationen zwischen den Prüfungszyklen unentdeckt auftreten und fortbestehen können.
  • Mangelnde Transparenz: Für viele Sicherheits- und Audit-Teams bleibt SAP eine „Black Box“. Oft fehlen ihnen die speziellen Tools, die erforderlich sind, um einen klaren, konsistenten und umsetzbaren Überblick über kritische SAP-Konfigurationen, komplexe Benutzerberechtigungen und Schwachstellen im benutzerdefinierten Code zu erhalten – Bereiche, auf die Auditoren und Angreifer häufig abzielen.

Eine Übersicht über die wichtigsten Compliance-Rahmenwerke in SAP 

Zwar können Dutzende von Vorschriften und Standards für eine SAP-Landschaft gelten, doch haben einige wenige wichtige Rahmenwerke den größten Einfluss auf Sicherheits- und Audit-Strategien. Das Verständnis der spezifischen Anforderungen von SOX, DSGVO und NIST ist der erste Schritt zum Aufbau eines nachhaltigen Compliance-Programms.

Ein Hinweis zur Cloud : Das Modell der geteilten Verantwortung 

Bevor wir uns mit den konkreten Vorschriften befassen, ist es wichtig zu verstehen, wie Compliance in der cloud funktioniert. Wenn Sie auf eine Umgebung wie „RISE with SAP“ oder einen Hyperscaler (AWS, Azure, GCP) umsteigen, gehen Sie ein Modell der geteilten Verantwortungein.

Bei diesem Modell sind die Aufgaben in den Bereichen Sicherheit und Compliance aufgeteilt. Der cloud ist für die Sicherheit der cloud verantwortlich, wozu die physischen Rechenzentren und die Kerninfrastruktur gehören. Sie als Kunde sind jedoch stets für die Sicherheit in der cloud verantwortlich. Dazu gehören:

  • Ihre geschäftskritischen Daten.
  • Ihre Anwendungskonfigurationen.
  • Benutzerzugriffskontrollen und Berechtigungen.
  • Ihr individueller Code und Ihre Integrationen.

Die Migration in die cloud nicht, dass Sie Ihre Compliance-Verantwortung auslagern. Sie sind gegenüber Prüfern und Aufsichtsbehörden weiterhin für die Kontrollmechanismen in Ihren SAP-Anwendungen verantwortlich, unabhängig davon, wo diese gehostet werden.

SAP SOX-Compliance: Gewährleistung der finanziellen Integrität 

Der Sarbanes-Oxley Act (SOX) ist ein US-Bundesgesetz, das zum Schutz der Anleger vor betrügerischer Finanzberichterstattung erlassen wurde. Für jedes börsennotierte Unternehmen ist die Einhaltung der SOX-Vorschriften eine gesetzliche Verpflichtung.

Was es ist: SOX schreibt vor, dass Unternehmen strenge interne Kontrollen der Finanzberichterstattung (ICFR) einrichten und aufrechterhalten müssen, um die Richtigkeit und Integrität ihrer Jahresabschlüsse zu gewährleisten. Da SAP häufig als System für die Erfassung von Finanzdaten dient, fällt es direkt in den Geltungsbereich von SOX-Prüfungen.

Wichtige SAP-Kontrollen für SOX (SAP-Checkliste zur SOX-Compliance): 

Um die SOX-Konformität in SAP zu gewährleisten, konzentrieren sich die Prüfer auf mehrere kritische Bereiche. Diese sind Kernkomponenten einer umfassenderen SAP-Strategie für Governance, Risk und Compliance (GRC).

  • Strenge Zugriffskontrollen: Sie müssen nachweisen, dass nur autorisierte Benutzer Zugriff auf sensible Finanztransaktionen, Berichte und Konfigurationen haben. Dazu gehört auch die strenge Verwaltung privilegierter Zugriffe (wie das Profil „SAP_ALL“), um unbefugte Änderungen zu verhindern.
  • Aufgabentrennung (SoD): Als ein Kernprinzip des SOX-Gesetzes stellt die Aufgabentrennung sicher, dass keine einzelne Person die Möglichkeit hat, eine betrügerische Transaktion sowohl durchzuführen als auch zu verschleiern. Dazu gehört die Vermeidung problematischer Kombinationen von Benutzerberechtigungen, beispielsweise wenn ein Benutzer sowohl einen Lieferanten anlegen als auch eine Zahlung an diesen genehmigen kann.
  • Sicheres Änderungsmanagement: Alle Änderungen an der SAP-Produktionsumgebung müssen genehmigt, getestet und dokumentiert werden. Dies erfordert die Absicherung des Transportmanagementsystems, um für jede Konfigurationsänderung oder Codeaktualisierung einen klaren und lückenlosen Prüfpfad zu gewährleisten.
  • Systemprotokollierung und -überwachung: Unternehmen müssen nachweisen können, wer wann und wo welche Aktionen im SAP-System durchgeführt hat. Dies erfordert eine zuverlässige Protokollierung und Überwachung aller sicherheitsrelevanten Ereignisse und Änderungen an Finanzdaten.

SAP-DSGVO-Konformität: Schutz personenbezogener Daten 

Die Datenschutz-Grundverordnung (DSGVO) ist ein wegweisendes Datenschutzgesetz der Europäischen Union. Sie gilt weltweit für alle Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten.

Was es ist: Das vorrangige Ziel der DSGVO ist es, Einzelpersonen control ihre personenbezogenen Daten zu geben. Sie schreibt strenge Vorschriften dafür vor, wie Unternehmen personenbezogene Daten erheben, speichern, verarbeiten und schützen müssen. Da SAP-Systeme häufig große Mengen an personenbezogenen Daten von Kunden und Mitarbeitern enthalten, stehen sie im Mittelpunkt der DSGVO-Konformität.

Wichtige SAP-Kontrollen für die DSGVO: 

Um die DSGVO-Konformität in SAP zu gewährleisten, müssen Unternehmen nachweisen können, dass sie control personenbezogene Daten haben:

  • Datenermittlung und -verwaltung: Sie müssen in der Lage sein, alle in Ihren SAP-Systemen gespeicherten personenbezogenen Daten zu identifizieren und zu erfassen. Dies ist der erste Schritt, um diese Daten zu schützen und auf Anfragen betroffener Personen zu reagieren.
  • Zugriffssteuerung: Setzen Sie strenge Zugriffskontrollen durch, um sicherzustellen, dass nur Benutzer mit einem berechtigten geschäftlichen Bedarf sensible personenbezogene Daten einsehen oder bearbeiten können.
  • Erkennung und Meldung von Datenschutzverletzungen: Die DSGVO verpflichtet Unternehmen, eine Datenschutzverletzung innerhalb von 72 Stunden nach ihrer Entdeckung zu melden. Dies erfordert eine kontinuierliche Erkennung von Bedrohungen und eine zuverlässige Protokollierung, um Vorfälle schnell zu erkennen und darauf zu reagieren.
  • Löschung und Anonymisierung von Daten: Sie müssen über Verfahren verfügen, die das „Recht auf Vergessenwerden“ gewährleisten, indem personenbezogene Daten auf Anfrage sicher gelöscht oder anonymisiert werden.

SAP-NIST-Konformität: Anpassung an Cybersicherheitsstandards 

Im Gegensatz zu SOX und der DSGVO ist das NIST-Cybersicherheits-Framework kein Gesetz und keine Verordnung. Vielmehr handelt es sich um freiwillige Standards und bewährte Verfahren, die vom US-amerikanischen National Institute of Standards and Technology entwickelt wurden, um Organisationen beim Management von Cybersicherheitsrisiken zu unterstützen.

Was es ist: Der NIST CSF gilt weithin als „Goldstandard“ für den Aufbau eines ausgereiften Cybersicherheitsprogramms. Viele Organisationen nutzen ihn, um ihre Sicherheitsstrategie zu strukturieren und gegenüber Interessengruppen und Aufsichtsbehörden ihre Sorgfaltspflicht nachzuweisen.

Zuordnung des NIST-Rahmenwerks zu SAP: 

Das Rahmenwerk umfasst fünf Kernfunktionen, die direkt auf ein SAP-Sicherheitsprogramm angewendet werden können:

  • Identifizieren: Dazu gehört es, Ihre SAP-Landschaft und die damit verbundenen Risiken zu verstehen. Zu den wichtigsten Maßnahmen zählen die Erfassung von Systemressourcen, Risikobewertungen und ein robustes Schwachstellenmanagement , um Schwachstellen in Ihren SAP-Systemen aufzudecken, bevor diese ausgenutzt werden können.
  • Schützen: Diese Funktion konzentriert sich auf die Umsetzung von Sicherheitsmaßnahmen. In SAP bedeutet dies, sichere Konfigurationen durchzusetzen, Benutzerzugriffskontrollen zu verwalten sowie benutzerdefinierten Code und Transporte zu sichern.
  • Erkennung: Hier geht es darum, Bedrohungen in Echtzeit zu erkennen. Für SAP bedeutet dies, verdächtige Benutzeraktivitäten, Anzeichen für Sicherheitsverletzungen und Verstöße gegen Richtlinien kontinuierlich zu überwachen.
  • Reagieren: Wenn ein Sicherheitsvorfall erkannt wird, müssen Sie über einen Aktionsplan verfügen. Dazu gehören die Analyse des Vorfalls, die Eindämmung der Auswirkungen und die Behebung des Problems in Ihrer SAP-Umgebung.
  • Wiederherstellung: Dazu gehört ein Plan zur Wiederherstellung der Betriebsfähigkeit sowie die Wiederherstellung aller Funktionen oder Dienste, die durch einen Cybersicherheitsvorfall beeinträchtigt wurden.

Die Lösung: Der Übergang von manuellen Prüfungen zu kontinuierlicher Compliance 

Die Herausforderungen der SAP-Compliance – darunter die Komplexität der Systeme, mangelnde Transparenz und die Lücken, die bei regelmäßigen Audits entstehen – lassen sich nicht allein durch mehr Einsatz lösen. Die Lösung erfordert einen strategischen Wandel: weg von reaktiven, manuellen Audits hin zu einer proaktiven, kontinuierlichen Automatisierung der Compliance.

Anstelle einer hektischen, monatelangen Vorbereitung auf die jährliche Prüfung sorgt die kontinuierliche Compliance für einen „immer aktiven“, prüfungsbereiten Zustand. Dieser moderne Ansatz nutzt spezielle Technologien, um die kritischen Kontrollen in Ihrer SAP-Landschaft automatisch zu überwachen, liefert Echtzeit-Feedback und ermöglicht ein effizienteres und effektiveres Compliance-Programm.

Die Vorteile dieser Umstellung sind erheblich:

  • Echtzeit-Transparenz: Durch die kontinuierliche Überwachung erhalten Sie einen aktuellen und genauen Überblick über Ihren Compliance-Status, wodurch die gefährlichen blinden Flecken beseitigt werden, die zwischen den jährlichen Audits entstehen.
  • Geringere Auditkosten und -aufwand: Durch die Automatisierung wird der manuelle, ressourcenintensive Aufwand, den SAP-, Sicherheits- und Audit-Teams für die Erfassung von Nachweisen und die Vorbereitung auf Audits aufbringen müssen, drastisch reduziert. Dadurch gewinnen Ihre Experten Zeit, um sich auf strategische Initiativen statt auf sich wiederholende Aufgaben zu konzentrieren.
  • Proaktive Risikominderung: Durch die kontinuierliche Überwachung der Kontrollmechanismen können Ihre Teams Compliance-Probleme und Sicherheitslücken sofort erkennen und beheben, anstatt sie erst Monate später bei einem Audit aufzudecken. Dadurch wird Ihre Compliance-Funktion von reaktiv zu proaktiv.
  • Verbesserte Zusammenarbeit: Eine einheitliche platform allen Beteiligten platform zentrale Informationsquelle. Sie verschafft den Teams für SAP-Basis, IT-Sicherheit und interne Revision eine gemeinsame Sprache und eine einheitliche Sicht auf Risiken und baut so die Silos ab, die eine effektive Compliance oft behindern.

Um diesen Wandel zu vollziehen, bedarf es einer spezialisierten platform , die Feinheiten von SAP zu erfassen. Lösungen wie Onapsis Assess automatisieren diesen Prozess in Verbindung mit dem Comply Onapsis Comply . Gemeinsam bieten sie vorgefertigte Richtlinien und Prüfungen, die direkt auf Vorschriften wie SOX und DSGVO abgestimmt sind. So werden technische Befunde in auditfähige Berichte umgewandelt und machen die kontinuierliche Compliance zu einer realisierbaren Realität.

Wie Onapsis die SAP-Compliance automatisiert 

Die Platform automatisiert die SAP-Compliance, indem sie Systemkonfigurationen, Benutzerberechtigungen und benutzerdefinierten Code kontinuierlich anhand festgelegter regulatorischer Rahmenbedingungen überprüft. Spezielle Compliance-Plattformen ersetzen manuelle, punktuelle Audits durch control kontinuierliche control , sodass Sicherheits- und Audit-Teams Verstöße gegen die Rahmenbedingungen erkennen und beheben können, bevor externe Audits stattfinden.

Onapsis Assess Onapsis Comply dieses Modell der kontinuierlichen Überwachung Comply . Die platform komplexe regulatorische Anforderungen in umsetzbare technische Prüfungen in vier Kernbereichen platform :

  • Vordefinierte Compliance-Richtlinien: Onapsis Comply spezielle Comply Packs automatisierte technische PrüfungenPacks , welche direkt auf die wichtigsten regulatorischen Rahmenwerke abgestimmt sind. Sicherheitsteams wenden diese sofort einsatzbereiten Richtlinien an, um die SAP-Umgebung anhand der Anforderungen von SOX, DSGVO und NIST zu bewerten, ohne gesetzliche Vorgaben manuell in Systemparameter umsetzen zu müssen.
  • Automatisierte Beweissicherung: Die platform extrahiert platform Daten aus Tausenden von Systemkonfigurationen, Benutzerberechtigungen und technischen Kontrollmaßnahmen. Diese Automatisierung ersetzt die manuelle Beweissicherung und erstellt auf Abruf zuverlässige, standardisierte Prüfungsunterlagen für interne und externe Prüfer.
  • Priorisierung und Behebung: Onapsis Assess eine risikobasierte Priorisierung auf festgestellte Compliance-Lücken Assess . Die platform schrittweise Anweisungen zur Behebung und leitet SAP-Basis- und Sicherheitsteams an, kritische Schwachstellen und Fehlkonfigurationen vor formellen Audit-Prüfungen zu beheben.
  • Audit-konforme Berichterstattung: Die platform Compliance-Daten in standardisierten Dashboards und Berichten. Onapsis Comply genau die technischen Nachweise, die von den Aufsichtsbehörden verlangt werden, und reduziert so den operativen Aufwand und die Betriebsunterbrechungen, die mit dem herkömmlichen Audit-Zyklus verbunden sind.

Fazit: Erreichen Sie einen dauerhaften Zustand der SAP-Compliance 

Die Einhaltung wichtiger Vorschriften wie SOX und DSGVO bei gleichzeitiger Ausrichtung an soliden Rahmenwerken wie NIST ist eine komplexe, aber unverzichtbare Anforderung für jedes Unternehmen, das SAP einsetzt. Wie wir gesehen haben, reichen herkömmliche, manuelle Auditprozesse nicht mehr aus, um mit der Dynamik moderner IT-Umgebungen Schritt zu halten.

Der effektivste Weg in die Zukunft ist eine strategische Umstellung auf kontinuierliche, automatisierte Compliance. Indem Sie automatisierte Kontrollmechanismen direkt in Ihre Betriebsabläufe integrieren, wechseln Sie von einem reaktiven, punktuellen Auditzyklus zu einem proaktiven, „immer aktiven“ Zustand der Auditbereitschaft. Dieser Ansatz stärkt nicht nur Ihre Sicherheitslage, sondern reduziert auch die mit der Compliance verbundenen Kosten und den Aufwand erheblich, sodass Ihre Teams sich ganz auf Innovationen konzentrieren können.

Häufig gestellte Fragen (FAQ) 

Warum reichen meine üblichen Sicherheitstools nicht aus, um die SAP-Compliance zu gewährleisten? 

Herkömmliche Sicherheitswerkzeuge sind nicht darauf ausgelegt, die einzigartige, proprietäre Architektur von SAP zu erfassen. Ihnen fehlt der Einblick in die komplexen Benutzerberechtigungsmodelle von SAP, den benutzerdefinierten ABAP-Code und die spezifischen Systemkonfigurationen. platform einer spezialisierten platform , um diese Aktivitäten korrekt zu interpretieren und echte Compliance-Risiken zu identifizieren, ohne eine Flut von Fehlalarmen auszulösen.

Was ist der wesentliche Unterschied zwischen den SOX- und den DSGVO-Anforderungen in SAP? 

Zwar erfordern beide strenge Kontrollmaßnahmen, doch unterscheiden sie sich in ihrem Schwerpunkt. Bei SOX geht es in erster Linie um die Integrität von Finanzdaten, um Betrug zu verhindern und eine korrekte Finanzberichterstattung zu gewährleisten. Die DSGVO hingegen konzentriert sich auf den Datenschutz und den Schutz personenbezogener Daten von Einzelpersonen.

Wie können wir den Zeit- und Kostenaufwand für unser jährliches SAP-Audit reduzieren? 

Der Schlüssel liegt in der Automatisierung. Indem Sie den langwierigen, manuellen Prozess der Beweissicherung durch eine platform zur kontinuierlichen Überwachung ersetzen, sind Sie „jederzeit auditbereit“. Eine automatisierte Lösung bietet den Prüfern eine zentrale Informationsquelle und erstellt auf Abruf auditbereite Berichte, wodurch sich der Arbeitsaufwand und der Stress im Zusammenhang mit dem Auditzyklus drastisch reduzieren.

Ersetzt eine platform Onapsis unsere bestehenden GRC-Tools? 

Nein, es ergänzt und verbessert diese vielmehr. GRC-Tools eignen sich hervorragend für die Verwaltung von Geschäftsprozesskontrollen und Workflows für Benutzerzugriffe. Onapsis sorgt für die gründliche technische Überprüfung unterhalb dieser Ebene. Es stellt sicher, dass die zugrunde liegenden SAP-Systeme sicher und konform konfiguriert sind, und liefert den technischen Nachweis, dass die von Ihrem GRC-Tool verwalteten Kontrollen auf einer sicheren und ordnungsgemäß konfigurierten platform laufen.

Stichwörter, , , , ,
Über den Autor
Pablo Müller, Technischer Produktmanager bei Onapsis

Pablo Müller

Technischer Produktmanager

Pablo Müller ist Technical Product Manager bei Onapsis und auf die Entwicklung von Lösungen für SAP GRC (Governance, Risk und Compliance) sowie die Sicherheit geschäftskritischer Anwendungen spezialisiert. Als einer der Hauptakteure unserer Vordenkerrolle im Bereich GRC und Compliance liegt seine Expertise darin, die neuesten Erkenntnisse aus der SAP-Sicherheitsforschung und aktuelle Branchentrends in Produkt-Roadmaps umzusetzen, die den Kundenbedürfnissen entsprechen. Pablo arbeitet eng mit den Onapsis Research Labs zusammen, Onapsis Research Labs neue Sicherheitsprüfungen zu definieren und sicherzustellen, dass die GRC-Lösungen von Onapsis die erforderliche Transparenz und Kontrollmöglichkeiten für auditfähige SAP-Systeme und kontinuierliche Compliance bieten. Durch seine Arbeit hat er sich als vertrauenswürdige Stimme etabliert, die die Lücke zwischen technischen Sicherheitsanforderungen und den Vorgaben der Unternehmensrevision schließt.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen