SAP-Cybersicherheit für Einsteiger: Die Grundlagen verstehen

Von:

19. März 2025

SAP-Systeme bilden das Rückgrat vieler großer Unternehmen und steuern geschäftskritische Prozesse wie Finanzwesen, Treasury, Lieferkette und Personalwesen. Das macht sie zu bevorzugten Zielen für Cyberangriffe. Das Verständnis der Grundlagen der SAP-Cybersicherheit ist entscheidend für den Schutz der sensiblen Daten Ihres Unternehmens und die Gewährleistung der Geschäftskontinuität. In diesem Artikel werden wichtige Konzepte erläutert, ohne dass Vorkenntnisse im Bereich Sicherheit vorausgesetzt werden.

Warum SAP-Systeme im Visier stehen

Stellen Sie sich einen Tresor vor, in dem alle wertvollsten Vermögenswerte Ihres Unternehmens aufbewahrt werden. Genau das ist im Grunde genommen ein SAP-System. Es enthält Finanzdaten (Umsätze, Ausgaben und vertrauliche Finanzunterlagen), Kundeninformationen (persönliche Daten, Kaufhistorie), geistiges Eigentum (Geschäftsgeheimnisse, Formeln und firmeneigene Informationen) sowie Betriebsdaten (Details zur Lieferkette, Fertigungspläne und Logistik), um nur einige Beispiele zu nennen.

Ein erfolgreicher Angriff auf ein SAP-System kann vielfältige Folgen haben, die für das Unternehmen allesamt äußerst negativ sind:

  • Finanzielle Verluste: unter anderem durch Finanzbetrug, der zu erheblichen Verlusten führen kann.
  • Datenschutzverletzungen und behördliche Sanktionen: Aufgrund von Datenverlusten sind Unternehmen gemäß den geltenden Vorschriften in den meisten Fällen verpflichtet, die in diesen Anwendungen gespeicherten Daten zu schützen.
  • Betriebsstörungen: Diese könnten für Unternehmen in den meisten Fällen den schwerwiegendsten Angriff darstellen, da sie zu Geschäftsausfällen führen.
  • Rufschädigung: Diese lässt sich zwar nur schwer beziffern, ist jedoch im Falle einer öffentlich bekannt gewordenen Datenpanne erheblich.

Daher ist die Absicherung dieser Systeme nicht nur eine technische Frage, sondern eine geschäftliche Notwendigkeit.

Grundlegende Konzepte der Cybersicherheit

Lassen Sie uns einige Schlüsselkonzepte näher betrachten, die für die SAP-Cybersicherheit von entscheidender Bedeutung sind:

Authentifizierung: 

Dies ist der Vorgang der Identitätsprüfung eines Anwendungsnutzers durch eine sichere Authentifizierungsablauf. In SAP umfasst dies in der Regel Benutzernamen, Mandantennummern und Passwörter.

Sichere Passwörter und die Multi-Faktor-Authentifizierung (MFA) sind entscheidend, um unbefugten Zugriff zu verhindern, falls Passwörter in die falschen Hände geraten. Die MFA bietet eine zusätzliche Sicherheitsebene, da Benutzer mehrere Formen der Identifizierung vorlegen müssen, beispielsweise einen Code aus einer mobilen App oder eine SMS-Nachricht. 

Aufgrund der Komplexität der Technologien und Dienste, die den Betrieb von SAP-Anwendungen unterstützen, muss die Authentifizierung über mehrere Ebenen hinweg durchgesetzt werden.

Wichtige Aspekte der Authentifizierung in SAP

  • Anmeldedaten: Bestehen in der Regel aus einem Benutzernamen, einer Kundennummer und einem Passwort.
  • Multi-Faktor-Authentifizierung (MFA): Bietet zusätzliche Sicherheit durch einen weiteren Verifizierungsschritt.
  • Mehrstufige Sicherheitsmaßnahmen: Authentifizierungskontrollen müssen in verschiedenen SAP-Anwendungen und -Diensten angewendet werden.

Warum eine starke Authentifizierung wichtig ist

  • Verhindert den unbefugten Zugriff auf sensible Daten.
  • Verringert das Risiko von Angriffen, die auf Zugangsdaten abzielen.
  • Stellt die Einhaltung von Sicherheits- und gesetzlichen Standards sicher.

Berechtigung: 

Sobald ein Benutzer authentifiziert ist, muss die Anwendung den Zugriff auf jene Aktionen und Daten beschränken, auf die der Benutzer aufgrund der ihm zugewiesenen Aufgaben zugreifen darf. 

Grundsätzlich legt die Autorisierung fest, welche Aktionen Benutzer ausführen dürfen. In SAP wird dies über Rollen und Berechtigungen geregelt. Richtig konfigurierte Berechtigungen stellen sicher, dass Benutzer nur Zugriff auf die Daten und Funktionen haben, die sie für ihre Arbeit benötigen. Dieses als „Prinzip der geringsten Berechtigungen“ bekannte Prinzip ist für die Sicherheit von grundlegender Bedeutung. 

Da dies eine so komplexe Aufgabe ist, vergeben Administratoren in manchen Fällen mehr Berechtigungen, als die Benutzer tatsächlich benötigen, was letztendlich nicht nur aus Sicherheitsgründen, sondern auch im Hinblick auf die Einhaltung von Vorschriften zu einem großen Problem werden könnte.

Wichtige Aspekte der Autorisierung in SAP

  • Rollen und Berechtigungen: Legen Sie fest, welche Aktionen ein Benutzer ausführen darf.
  • Prinzip der geringsten Berechtigungen: Stellt sicher, dass Benutzer nur über die unbedingt erforderlichen Zugriffsrechte verfügen.
  • Herausforderungen durch Komplexität: Administratoren vergeben Benutzern manchmal zu weitreichende Berechtigungen, was zu Sicherheitslücken führt.

Warum eine ordnungsgemäße Autorisierung wichtig ist

  • Verhindert den unbefugten Zugriff auf sensible Unternehmensfunktionen.
  • Reduziert interne Sicherheitsrisiken durch die Einschränkung unnötiger Zugriffsrechte.
  • Stellt die Einhaltung von Sicherheitsrichtlinien und Branchenvorschriften sicher.

Aufgabentrennung (SoD): 

Dieses Prinzip, das sowohl mit den Konzepten der Benutzer als auch der Berechtigungen zusammenhängt, ist in der Audit-Branche allgemein bekannt. Es stellt sicher, dass keine einzelne Person control vollständige control einen kritischen Geschäftsprozess hat. Durch die Aufteilung der Verantwortlichkeiten auf mehrere Personen beugt es Betrug und Fehlern vor. 

In SAP können SoD-Konflikte auftreten, wenn Benutzer widersprüchliche Berechtigungen haben. Regelmäßige SoD-Prüfungen sind unerlässlich. 

Ein Beispiel für einen Verstoß gegen die Trennung von Aufgaben ist ein Benutzer, der sowohl Zugriff auf die Lieferantenverwaltung als auch auf die Zahlungsabwicklung hat. Wenn ein Benutzer die Berechtigung hat,

  • Lieferantenstammdaten anlegen oder ändern (z. B. Bankverbindung ändern)
  • Bestellungen erstellen und genehmigen
  • Zahlungen an Lieferanten abwickeln

Dann könnte dieser Benutzer einen fiktiven Lieferanten anlegen, seine eigenen Bankdaten eingeben, eine Bestellung für diesen Lieferanten erstellen und anschließend die Zahlung abwickeln, wodurch er sich faktisch Gelder des Unternehmens aneignen würde. Regelmäßige automatisierte Compliance-Prüfungen sind unerlässlich, um solche Konflikte aufzudecken.

Das ist nur ein Beispiel von Hunderten möglicher SoD-Verstöße, die in einer SAP-Anwendung auftreten können.

Patch-Management: 

Wie viele andere Softwareanbieter veröffentlicht auch SAP regelmäßig Patches, um Sicherheitslücken in SAP-Systemen zu beheben. Dies geschieht jeweils am zweiten Dienstag jedes Monats, wobei etwa 20 bis 40 Sicherheitspatches veröffentlicht werden. 

Die umgehende Installation dieser Patches ist entscheidend, um SAP-Systeme vor der aktiven Ausnutzung und dem Missbrauch dieser Sicherheitslücken zu schützen. Beispiele für diese Sicherheitslücken finden sich in CVEs wie CVE-2020-6287 und CVE-2020-6207.

Bleiben Sie über SAP-Sicherheitspatches auf dem Laufenden. Jeden Monat liefert Onapsis eine umfassende Analyse der neuesten SAP-Sicherheitshinweise und ihrer Auswirkungen. Besuchen Sie unser SAP-Patch-Day-Archiv, um Experteneinblicke und umsetzbare Empfehlungen zu erhalten.

Protokollierung und Überwachung: 

Ein angemessener Überblick über die Vorgänge in SAP-Anwendungen ist wichtig, um potenziell risikobehaftete Szenarien zu erkennen, wie beispielsweise die Ausnutzung von Sicherheitslücken oder den unbefugten Zugriff auf bestimmte Funktionen innerhalb von SAP. Die Aktivierung und Überwachung von Protokollen ist unerlässlich, um verdächtiges Verhalten aufzudecken. Verschiedene Protokolle in SAP erfassen, wer wann und von wo aus auf welche Daten zugegriffen hat. Überwachungstools können Sie auf ungewöhnliche Muster hinweisen, wie z. B. mehrere fehlgeschlagene Anmeldeversuche oder unbefugten Zugriff auf sensible Daten. Angesichts der Komplexität von SAP-Anwendungen gibt es zahlreiche Protokolle, die wir überprüfen und überwachen müssen, um ein umfassenderes Verständnis der im System stattfindenden Vorgänge zu erlangen. Einige Beispiele für diese Protokolle sind: Sicherheitsauditprotokoll, Änderungsbelege und Gateway-Protokoll, um nur einige zu nennen. Für erweiterte Einblicke in die Erkennung und Reaktion auf Bedrohungen sollten Sie SAP-Sicherheitsüberwachungslösungen und Strategien zur Erkennung von Unternehmensbedrohungen in Betracht ziehen.

Die Bedeutung grundlegender Hygiene

Unabhängig davon, in welcher Phase der Absicherung Ihrer SAP-Anwendungen Sie sich gerade befinden, ist es wichtig, grundlegende Cybersicherheitsmaßnahmen in Ihrer gesamten SAP-Landschaft zu berücksichtigen.

Sichere Passwörter:

 Ermutigen Sie die Benutzer, sichere und einzigartige Passwörter zu erstellen und zu verwenden. Dies kann über verschiedene Konfigurationen innerhalb von SAP oder, falls Sie Single Sign-On nutzen, auch außerhalb von SAP durchgesetzt werden. Wenn Passwörter für Benutzer in mehreren SAP-Anwendungen lokal konfiguriert werden, ist es wichtig, unterschiedliche Passwörter festzulegen. So kann ein kompromittiertes Benutzerpasswort (durch Cracking oder InfoStealer) nicht dazu genutzt werden, sich lateral durch Ihre SAP-Landschaft zu bewegen und weitere Systeme zu gefährden. 

Standardbenutzer deaktivieren: 

Sperren oder ändern Sie die Passwörter von Standardbenutzern, die bekannte Standardpasswörter verwenden.

Sichere Konfigurationen durchsetzen: 

Systemkonfigurationen gemäß Best Practices und Standards identifizieren und sichern. Angesichts der schieren Menge an Parametern und Konfigurationen, die in einer SAP-Anwendung eingestellt werden können, ist es wichtig, diese Änderungen entsprechend zu priorisieren.

Anwenderschulung:

 Informieren Sie die Anwender über Cybersicherheitsbedrohungen und bewährte Verfahren. Eine Möglichkeit, wie Sie Ihren SAP-Anwendern helfen können, ihr Bewusstsein für Cybersicherheit in SAP zu schärfen, ist das kürzlich erschienene Buch und E-Book „Cybersecurity for SAP“ – von SAP PRESS

Netzwerksicherheit:

 Die Angriffsfläche von SAP-Anwendungen ist aufgrund der Technologie, auf der diese Anwendungen basieren, beträchtlich. Die Verflechtung der SAP-Geschäftsprozesse vergrößert die potenzielle Angriffsfläche zusätzlich. Um die Angriffsfläche zu verringern, sollten Sie Firewalls und Netzwerksicherheitsgeräte ordnungsgemäß konfigurieren, um Ihre SAP-Systeme vor externen Bedrohungen zu schützen, und vermeiden, Dienste und Anwendungen für Benutzer und Netzwerke zugänglich zu machen, die keinen Zugriff darauf benötigen.

Häufig gestellte Fragen (FAQ)

Was ist der Unterschied zwischen SAP-Sicherheit und allgemeiner Cybersicherheit?

Während sich die allgemeine Cybersicherheit auf Netzwerkgrenzen und Endgeräte (Laptops, Server) konzentriert, richtet sich die SAP-Sicherheit speziell auf die Anwendungsebene. Standard-Firewalls können SAP-eigene Protokolle (wie RFC oder DIAG) oft nicht lesen, was bedeutet, dass sie Angriffe innerhalb der SAP-Anwendung nicht erkennen können, beispielsweise wenn ein Benutzer seine Berechtigungen missbraucht oder ein bösartiger Transport importiert wird.

Warum gilt das Patchen von SAP als schwierig?

SAP-Systeme sind geschäftskritisch und vertragen keine Ausfallzeiten. Das Installieren von Patches erfordert oft, dass Systeme offline genommen werden, was den Betrieb stört. Zudem müssen Patches zunächst in Entwicklungs- und QA-Umgebungen getestet werden, um sicherzustellen, dass sie keine benutzerdefinierten Geschäftsprozesse beeinträchtigen, was den Schwachstellenmanagement-Zyklus langsamer macht als in anderen IT-Bereichen.

Was ist das größte Risiko für SAP-Systeme?

Zwar stellen externe Hacker eine große Bedrohung dar, doch bleiben Insider-Bedrohungen (sei es böswillig oder versehentlich) ein Hauptrisiko. Da SAP-Benutzer oft übermäßige Berechtigungen (übermäßige Zugriffsrechte) besitzen, kann ein kompromittiertes Konto oder ein verärgerter Mitarbeiter massiven finanziellen oder betrieblichen Schaden anrichten, ohne dass die üblichen Sicherheitsalarme ausgelöst werden.

Wer ist innerhalb eines Unternehmens für die SAP-Sicherheit verantwortlich?

Die SAP-Sicherheit ist eine gemeinsame Verantwortung, die oft in eine „Grauzone“ fällt. Während das SAP-Basis-Team den täglichen Betrieb verwaltet und das Team für Informationssicherheit sich um die Perimeter-Sicherheit kümmert, erfordert die Absicherung der Anwendungsebene eine enge Zusammenarbeit. Im Idealfall sollten Unternehmen über spezielle SAP-Sicherheitsarchitekten verfügen, die die Lücke zwischen dem technischen Betrieb (Basis) und der Unternehmensführung (GRC/Audit) schließen.

cloud SAP durch die Verlagerung in die cloud automatisch sicherer?

Nein. Durch den Umstieg auf die cloud z. B. RISE with SAP) geht die Verantwortung für die Infrastruktur (Server, Stromversorgung, physische Sicherheit) auf den Anbieter über, doch der Kunde bleibt weiterhin für die Sicherheit der Anwendung verantwortlich. Sie sind nach wie vor für die Benutzerverwaltung, die Sicherung von benutzerdefiniertem Code, die Konfiguration von Parametern und den Schutz Ihrer Daten verantwortlich – genau wie bei einer On-Premise-Lösung.

Fazit

Die Absicherung von SAP-Anwendungen kann zunächst überwältigend erscheinen, doch wenn Sie die Grundlagen verstehen und grundlegende Sicherheitsmaßnahmen umsetzen, können Sie das Risiko für Ihr Unternehmen erheblich verringern. Die Priorisierung von Aufgaben wie sicherer Authentifizierung, strenger Autorisierung und bewährten Sicherheitspraktiken ist der erste Schritt zur Absicherung Ihrer kritischen SAP-Systeme.

Denken Sie daran: Cybersicherheit ist keine einmalige Angelegenheit, sondern ein fortlaufender Prozess. Wenn Sie Unterstützung von Experten benötigen, steht Ihnen Onapsis gerne zur Seite.

Stichworte, ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen