Ein Leitfaden für CISOs zur SAP-Sicherheit auf AWS und Azure

Von:

29. August 2025

Die neue Herausforderung: Warum Cloud oberste Priorität hat

Die Migration geschäftskritischer SAP-Workloads auf öffentliche cloud wie Amazon Web Services (AWS) und Microsoft Azure stellt einen der bedeutendsten Wandel in der Unternehmens-IT dar. Dieser Schritt bietet beispiellose Agilität, Skalierbarkeit und Innovationskraft, bringt jedoch auch eine neue Dimension komplexer Sicherheitsherausforderungen mit sich.

Für CISOs und Sicherheitsverantwortliche ist die zentrale Herausforderung klar: Die Angriffsflächen und Sicherheitsaspekte in der cloud grundlegend von denen in herkömmlichen lokalen Rechenzentren. Ein einfaches „Lifting and Shifting“ eines SAP-Systems ohne Anpassung der Sicherheitsstrategie kann die wertvollsten Vermögenswerte des Unternehmens neuen und erheblichen Risiken aussetzen. Ein proaktiver Ansatz für SAP cloud ist nicht mehr optional, sondern unerlässlich für eine sichere digitale Transformation.

Die Stiftung: Das Modell der geteilten Verantwortung meistern

Bevor Sie SAP in einer öffentlichen cloud bereitstellen oder sichern, muss jedes Mitglied Ihres Teams das Modell der geteilten Verantwortung. Dies ist das grundlegende Sicherheitsprinzip, das die Aufteilung der Verantwortlichkeiten zwischen dem cloud (wie AWS oder Azure) und Ihnen als Kunde definiert. Ein Missverständnis dieses Modells ist eine der häufigsten Ursachen für Sicherheitsvorfälle in der cloud.

Was ist das Modell der geteilten Verantwortung?

Kurz gesagt: Der cloud ist für die Sicherheit der cloud verantwortlich. Dazu gehört der Schutz der Hardware, der Software, der Netzwerke und der Einrichtungen, auf denen die cloud betrieben werden.

Sie als Kunde sind für die Sicherheit IN der cloud verantwortlich. Dies umfasst alle Daten, Anwendungen und Konfigurationen, die Sie in der cloud bereitstellen, wie zum Beispiel:

  • Ihre Daten und deren Klassifizierung
  • Die Anwendungsschicht (die SAP-Software selbst)
  • Identitäts- und Zugriffsmanagement
  • Betriebssystem- und Netzwerkkonfigurationen
  • Clientseitige Datenverschlüsselung
Ein Diagramm, das die Aufteilung der Verantwortlichkeiten für cloud zwischen dem Kunden und dem Anbieter veranschaulicht.

Warum dies für die SAP-Sicherheit entscheidend ist

Diese Unterscheidung ist für die SAP-Sicherheit von entscheidender Bedeutung. AWS und Azure übernehmen weder die Installation von Patches für Ihre SAP-Systeme noch die Verwaltung Ihrer Benutzerberechtigungen oder die Absicherung Ihres benutzerdefinierten ABAP-Codes. Der Kunde trägt die alleinige Verantwortung für die gesamte Sicherheitsschicht der SAP-Anwendung. Das bedeutet, dass Ihr Team weiterhin alle herkömmlichen SAP-Sicherheitsaufgaben – einschließlich Schwachstellenmanagement, Erkennung von Bedrohungen und Zugriffskontrolle – innerhalb der von Ihnen verwalteten cloud übernehmen muss.

Wichtige Sicherheitsaspekte für SAP auf Microsoft Azure

Bei der Ausführung von SAP-Workloads auf Microsoft Azure können Sicherheitsteams eine Reihe leistungsstarker, integrierter Tools nutzen, um ihre Umgebung zu schützen. Der Schlüssel liegt darin, die Infrastruktursicherheit von Azure mit einem umfassenden Verständnis der Anforderungen der SAP-Anwendung zu verbinden.

Identitäts- und Zugriffsmanagement mit Microsoft Entra ID

Einer der größten Vorteile der Nutzung von Azure ist die native Integration mit Microsoft Entra ID (ehemals Azure AD). Durch die Anbindung von SAP an Microsoft Entra ID können Unternehmen das Identitätsmanagement zentralisieren und die Sicherheit erheblich verbessern. Dies ermöglicht:

  • Single Sign-On (SSO): Benutzer können sich mit ihren primären Unternehmenszugangsdaten bei SAP anmelden, sodass keine separaten SAP-spezifischen Passwörter erforderlich sind.
  • Multi-Faktor-Authentifizierung (MFA): Sie können unternehmensweite MFA-Richtlinien für den SAP-Zugriff durchsetzen und so einen wichtigen Schutz vor dem Diebstahl von Zugangsdaten gewährleisten.

Bewährte Verfahren für die Netzwerksicherheit

Die Absicherung des Netzwerkperimeters für Ihre SAP-Systeme in Azure ist von grundlegender Bedeutung. Zu den bewährten Verfahren gehört die Verwendung von Azure Virtual Networks (VNets), um einen isolierten Netzwerkbereich für Ihre SAP-Landschaft zu schaffen. Innerhalb dieses VNet sollten Sie Network Security Groups (NSGs) einsetzen, die als zustandsorientierte Firewall fungieren, um control zwischen Subnetzen (z. B. durch die Trennung von Datenbank-, Anwendungs- und Präsentationsschicht) sowie control zum und vom Internet streng control .

Erkennung von Bedrohungen mit Microsoft Sentinel 

Für eine einheitliche Bedrohungsüberwachung durch die Integration von SAP mit Microsoft Sentinel, dem cloud SIEM von Microsoft, unerlässlich. Mithilfe eines zertifizierten Konnektors können Sie kritische SAP-Sicherheitsprotokolle an Sentinel weiterleiten. So kann Ihr Security Operations Center (SOC) SAP-Sicherheitsereignisse mit Daten aus der zugrunde liegenden Azure-Infrastruktur korrelieren und erhält eine zentrale Übersicht zur Erkennung und Abwehr komplexer Bedrohungen, die sowohl die Anwendungs- als auch die Infrastrukturebene betreffen.

Wichtige Sicherheitsaspekte für SAP auf AWS

Für Unternehmen, die ihre SAP-Workloads auf Amazon Web Services (AWS) betreiben, ist ein ähnlicher mehrschichtiger Sicherheitsansatz unerlässlich. Die Grundsätze sind zwar dieselben wie bei jedem cloud , doch die spezifischen Tools und Dienste sind einzigartig für das AWS-Ökosystem.

Unterscheidung zwischen AWS-IAM- und SAP-Rollen

Ein entscheidendes Konzept, das es zu verstehen gilt, ist die Trennung zwischen Infrastruktur- und Anwendungszugriff. AWS Identity and Access Management (IAM) dient dazu, control auf die zugrunde liegenden AWS-Ressourcen zugreifen darf, beispielsweise zum Starten oder Stoppen der EC2-Instanzen, auf denen Ihre SAP-Systeme gehostet werden. Es control jedoch nicht, control ein Benutzer innerhalb der SAP-Anwendung tun darf. Der Zugriff auf Anwendungsebene wird weiterhin ausschließlich durch SAP-Rollen und -Berechtigungen verwaltet. Die Vergabe restriktiver IAM-Berechtigungen an einen Benutzer verhindert nicht, dass dieser seine Berechtigungen innerhalb der SAP-Anwendung selbst missbraucht.

Sicherheit für Ihre Virtual Private Cloud VPC)

Die Netzwerkgrundlage für SAP auf AWS bildet die Virtual Private Cloud VPC), die einen logisch isolierten Bereich der cloud bereitstellt. Um Ihre SAP-Landschaft zu sichern, müssen Sie eine Kombination verschiedener Sicherheitsmaßnahmen einsetzen:

  • Sicherheitsgruppen: Diese fungieren als virtuelle Firewall für Ihre EC2-Instanzen und steuern den ein- und ausgehenden Datenverkehr auf Instanzebene.
  • Control (NACLs): Diese bilden eine zusätzliche Verteidigungsebene, die als Firewall für Subnetze fungiert und den Datenverkehr in und aus einem oder mehreren Subnetzen steuert.

Gemäß bewährten Verfahren sollten Sie Ihre SAP-Datenbank, die Anwendungsschicht und die Präsentationsschicht in separaten privaten Subnetzen unterbringen und strenge Regeln zur control zwischen diesen Schichten festlegen.

Überwachung mit nativen AWS-Tools

AWS bietet leistungsstarke native Tools zur Überwachung der Sicherheit der Infrastruktur, auf der Ihre SAP-Systeme laufen. Zwei der wichtigsten sind:

  • AWS CloudTrail: Dieser Dienst bietet einen lückenlosen Prüfpfad aller API-Aufrufe und Benutzeraktivitäten innerhalb Ihres AWS-Kontos. Er ist unverzichtbar für die Nachverfolgung von Änderungen an Ihrer Umgebung sowie für forensische Untersuchungen.
  • Amazon CloudWatch: Dieser Dienst überwacht Ihre AWS-Ressourcen und -Anwendungen in Echtzeit und ermöglicht es Ihnen, Protokolle zu erfassen, Metriken zu verfolgen und Warnmeldungen für verdächtige oder ungewöhnliche Aktivitäten auf Infrastrukturebene einzurichten.

Wie Onapsis die SAP-Sicherheit in der Cloud verbessert

Zwar sind native cloud von AWS und Azure für die Absicherung der zugrunde liegenden Infrastruktur unverzichtbar, doch weisen sie eine erhebliche Lücke auf: die SAP-Anwendungsschicht. Diesen Tools fehlt der erforderliche Einblick, um SAP-spezifische Schwachstellen, Bedrohungen und Compliance-Probleme zu erkennen.

Dies ist die entscheidende Lücke, die die Onapsis Platform schließt. Sie bietet eine einheitliche Sicherheitsschicht, die unabhängig vom cloud innerhalb der SAP-Anwendung arbeitet. Onapsis verbessert Ihre cloud durch:

  • Umfassende Einblicksmöglichkeiten in Anwendungen: Onapsis identifiziert Risiken innerhalb der SAP-Anwendung selbst und unterstützt bei deren Behebung, darunter Schwachstellen im benutzerdefinierten Code, Fehlkonfigurationen und unbefugte Zugriffe – Risiken, die für Tools auf Infrastrukturebene nicht sichtbar sind.
  • Gewährleistung einer einheitlichen Sicherheitslage: Damit können Sie eine einheitliche Sicherheits- und Compliance-Richtlinie für alle Ihre SAP-Systeme durchsetzen, unabhängig davon, ob diese vor Ort, in einer privaten cloud oder in Hybrid- undcloud als Teil einer sicheren cloud .
  • Integration mit Cloud Tools: Onapsis leitet wichtige, kontextbezogene SAP-Sicherheitswarnungen an cloud wie Azure Sentinel weiter, sodass Ihr Sicherheitsteam einen wirklich einheitlichen Überblick über Bedrohungen erhält, die von der Infrastruktur bis zum Anwendungskern reichen.

Fazit: Entwicklung einer robusten Cloud -Strategie

Die Absicherung Ihrer SAP-Landschaft in AWS oder Azure erfordert einen mehrschichtigen Ansatz. Wenn Sie sich ausschließlich auf die nativen Sicherheitstools derplatform verlassen,platform die kritische SAP-Anwendungsschicht ungeschützt. Eine wirklich robuste cloud verbindet die Stärken der Infrastruktursicherheit cloud mit spezialisierten Lösungen, die umfassende Transparenz und control die SAP-Anwendung selbst bieten.

Letztendlich ist cloud kein einmaliges Projekt, sondern ein fortlaufender Prozess. Sie erfordert ein tiefgreifendes Verständnis des Modells der geteilten Verantwortung sowie eine kontinuierliche Zusammenarbeit zwischen Ihren SAP-, Sicherheits- und cloud , um Ihre geschäftskritischsten Ressourcen bei der Migration in die cloud darüber hinaus zu schützen.

Häufig gestellte Fragen (FAQ)

Sorgen AWS und Azure für die Sicherheit meiner SAP-Anwendungen?

Nein. Dies ist ein weit verbreitetes und gefährliches Missverständnis. Im Rahmen des Modells der geteilten Verantwortung sind AWS und Azure für die Sicherheit der zugrunde liegenden cloud (Hardware, Einrichtungen usw.) verantwortlich, aber Sie als Kunde sind stets für die Sicherheit all dessen verantwortlich, was Sie in die cloud stellen. Dazu gehören die Sicherheit der SAP-Anwendung selbst, Ihrer Daten, der Benutzerzugriffe und der Konfigurationen.

Kann ich für AWS und Azure denselben Sicherheitsansatz verwenden?

Ja und nein. Die grundlegenden Sicherheitsprinzipien sind für beide Plattformen identisch: Sie müssen die Anwendungsebene absichern, den Zugriff nach dem Prinzip der geringsten Berechtigungen verwalten und das Modell der geteilten Verantwortung befolgen. Die spezifischen Tools, die Sie zur Absicherung der Infrastruktur einsetzen, unterscheiden sich jedoch (z. B. Azure Sentinel vs. AWS CloudTrail, Azure VNets vs. AWS VPCs). Eine erfolgreiche Strategie basiert auf denselben übergeordneten Prinzipien, passt sich jedoch an die nativen Tools des jeweiligen cloud an.

Wie erhalte ich in der cloud Einblick in Sicherheitsbedrohungen auf der Ebene der SAP-Anwendungen?

Sie benötigen eine spezialisierte Lösung, die sich mit der Sicherheit von SAP-Anwendungen auskennt. Die Tools cloud eignen sich hervorragend für die Überwachung der Infrastruktur, bieten jedoch keinen Einblick in die SAP-Anwendungsschicht. Um Bedrohungen wie Schwachstellen in benutzerdefiniertem Code oder den Missbrauch von SAP-Berechtigungen zu erkennen, benötigen Sie eine platform Onapsis SAP-Produkten , die speziell für die Überwachung und den Schutz Ihrer geschäftskritischen Anwendungen entwickelt wurde.

Was ist der größte Sicherheitsfehler, den Unternehmen bei der Migration von SAP in die cloud begehen?

Der größte Fehler besteht darin, das Modell der geteilten Verantwortung zu ignorieren oder falsch zu verstehen. Unternehmen gehen oft davon aus, dass der cloud mehr für die Sicherheit sorgt, als dies tatsächlich der Fall ist, was dazu führt, dass sie wichtige Sicherheitsaufgaben auf Anwendungsebene vernachlässigen. Dies kann dazu führen, dass auf einer sicheren Infrastruktur ein äußerst anfälliges und ungeschütztes SAP-System läuft.

Stichworte, ,
Über den Autor

Alyssa Santiago

Alyssa Santiago ist Senior Managerin für Wachstumsmarketing bei Onapsis, wo sie sich darauf spezialisiert hat, komplexe Sicherheitsforschungsergebnisse in praxisnahe Inhalte für die SAP-Cybersicherheits-Community umzusetzen. Als wichtige Mitarbeiterin der Onapsis Research Labs nutzt sie ihr Fachwissen, um Vordenkerin zu sein, die sowohl ein technisches als auch ein Führungskräftepublikum über neue Bedrohungen, Schwachstellen und Best Practices informiert. Ihre Arbeit hilft Unternehmen dabei, Risiken für ihre geschäftskritischen Anwendungen zu verstehen und zu mindern, was sie zu einer vertrauenswürdigen Stimme im Bereich der SAP-Sicherheit macht.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen