SOX-Compliance in SAP: Was das ist und wie man sie erreicht

Von:

19. März 2026

Für viele Unternehmen ist SAP das finanzielle Herzstück des Geschäftsbetriebs. Das System verarbeitet Umsätze, verwaltet die Gehaltsabrechnung, steuert die Lieferkettenlogistik und generiert die für die vierteljährlichen Ergebnisberichte erforderlichen Daten. Aus diesem Grund wird Ihre SAP-Landschaft sofort unter die Lupe genommen, wenn externe Wirtschaftsprüfer Ihr Unternehmen auf die Einhaltung der Sarbanes-Oxley-Vorschriften (SOX) überprüfen.

Es ist jedoch bekanntlich schwierig nachzuweisen, dass Ihre SAP-Umgebung sicher und konform ist. Lassen Sie uns einmal genauer betrachten, was SOX-Konformität im SAP-Kontext bedeutet und wie moderne Teams die manuelle Nachweissammlung hinter sich lassen, um eine kontinuierliche Prüfungsbereitschaft zu erreichen.

Was versteht man unter SOX-Compliance in SAP?

Der Sarbanes-Oxley Act von 2002 wurde erlassen, um Anleger vor betrügerischer Finanzberichterstattung durch Unternehmen zu schützen. Obwohl es sich im Grunde um eine Finanzvorschrift handelt, stützt sich SOX im Rahmen Ihrer gesamten SAP-GRC-Strategie in hohem Maße auf IT-Generalkontrollen (ITGCs).

Die Logik ist einfach: Wenn die IT-Systeme, in denen Ihre Finanzdaten gespeichert und verarbeitet werden, nicht sicher sind, kann man den Finanzberichten selbst nicht trauen.

In einer SAP-Umgebung bedeutet SOX-Compliance, den Wirtschaftsprüfern nachzuweisen, dass strenge Kontrollen darüber bestehen, wer auf Finanzdaten zugreifen darf, wie Änderungen am System vorgenommen werden und wie Konfigurationen gepflegt werden. Bei der Bewertung wichtiger Compliance-Rahmenwerke wie SOX, DSGVO und NIST konzentriert sich SOX in einzigartiger Weise darauf, die wesentliche Richtigkeit und Integrität von Finanzunterlagen sicherzustellen.

Ein nicht bestandener ITGC-Prüfung in SAP hat nicht nur eine milde Rüge zur Folge. Er kann zu der Feststellungeiner „wesentlichen Schwachstelle“führen, die den Anlegern gemeldet werden muss und das Vertrauen des Marktes erheblich beeinträchtigen kann.

Die zentrale Herausforderung: Prüfungsmüdigkeit

In der Vergangenheit war der größte Stolperstein bei der Einhaltung der SOX-Vorschriften in SAP der manuelle Aufwand, der für den Nachweis erforderlich war.

Jedes Quartal sind hochqualifizierte SAP-Basis- und IT-Sicherheitsteams gezwungen, strategische Projekte zu unterbrechen, um Prüfungsnachweise zu sammeln. Dazu müssen in der Regel manuell Hunderte von Screenshots von Benutzerberechtigungen, Transaktionsprotokollen (wie dem Security Audit Log) und Parametereinstellungen erstellt sowie überprüft werden, ob das System ordnungsgemäß gepatcht ist, um nachzuweisen, dass die Kontrollmechanismen korrekt funktionieren. Dieser Prozess ist kostspielig, äußerst anfällig für menschliche Fehler und belegt lediglich, dass die Compliance genau in dem Moment gegeben war, als der Screenshot erstellt wurde.

Es ist zwar unerlässlich, das übergeordnete SAP-GRC-Rahmenwerk zu verstehen, doch um es effizient umzusetzen, muss man sich von diesen veralteten, manuellen Methoden verabschieden.

So erreichen Sie SOX-Konformität in Ihrer SAP-Landschaft

Die Erreichung und Aufrechterhaltung der SOX-Konformität erfordert einen strukturierten Ansatz für Ihre SAP-Architektur. Um die Anforderungen externer Prüfer zu erfüllen, müssen sich Unternehmen auf drei Hauptsäulen der SAP-Sicherheit konzentrieren.

1. Ein striktes Risikomanagement für den Zugriff durchsetzen

Prüfer möchten sicherstellen, dass Benutzer nur über die Zugriffsrechte verfügen, die zur Erfüllung ihrer spezifischen Aufgaben erforderlich sind. Dies wird als Prinzip der geringsten Berechtigungen bezeichnet.

Noch wichtiger ist, dass SOX eine strikte Aufgabentrennung (Segregation of Duties, SoD) vorschreibt. So darf beispielsweise der Benutzer, der die Berechtigung hat, einen neuen Lieferanten in SAP anzulegen, nicht derselbe sein wie der Benutzer, der die Berechtigung hat, eine Zahlung an diesen Lieferanten zu veranlassen. Schlecht konfigurierte Rollen oder übermäßige Berechtigungen (wie übermäßig genutzte SAP*- oder DDIC-Konten) sind massive Warnsignale. Die Implementierung eines robusten SAP-Zugriffsrisikomanagements ist der grundlegende Schritt, um nachzuweisen, dass Ihre Finanzdaten nicht von einem einzelnen Insider manipuliert werden können.

SAP-Systeme stützen sich auf Hunderte von zugrunde liegenden Profilparametern, die das Verhalten der Anwendung bestimmen. Im Rahmen der SOX-Compliance überprüfen Wirtschaftsprüfer, ob Ihre sicherheitsrelevanten Parameter gemäß den branchenüblichen Best Practices und den internen Unternehmensrichtlinien konfiguriert sind. Dazu gehört die Durchsetzung von Einstellungen, die die Passwortkomplexität, die Begrenzung fehlgeschlagener Anmeldeversuche und die Sitzungszeitüberschreitungen regeln. Bleiben diese Parameter auf ihren Standardwerten oder unsicheren Werten, steigt das Risiko eines unbefugten Zugriffs auf Finanzdaten erheblich.

3. Einführung eines zeitnahen Patch-Management-Prozesses

Eine perfekte Zugriffskontrolle hat kaum Bedeutung, wenn die zugrunde liegende SAP-Anwendung bekannte, ausnutzbare Schwachstellen enthält. Ein wesentlicher Bestandteil der SOX-ITGCs besteht darin, nachzuweisen, dass Ihr Unternehmen SAP-Sicherheitshinweise aktiv überwacht und kritische Patches innerhalb eines angemessenen Zeitraums installiert. Ein zeitnahes Patch-Management verhindert, dass Angreifer bekannte Schwachstellen ausnutzen, um Autorisierungsprüfungen zu umgehen und Daten der Finanzberichterstattung zu manipulieren.

4. Stellen Sie Ihren Change-Management-Prozess sicher

SOX schreibt vor, dass keine unbefugten Änderungen an den Systemen vorgenommen werden dürfen, die sich auf die Finanzberichterstattung auswirken. In SAP dreht sich dies um Ihren Transportmanagementprozess.

Wenn ein Entwickler in der Entwicklungsumgebung benutzerdefinierten ABAP-Code schreibt oder eine Systemkonfiguration ändert, muss es einen sicheren, nachverfolgbaren und genehmigten Weg geben, über den dieser Transportauftrag in die Produktionsumgebung gelangt. Wenn Transporte Genehmigungsworkflows umgehen können oder wenn während des Migrationsprozesses bösartiger Code eingeschleust werden kann, ist die Integrität der Produktionsumgebung gefährdet.

5. Kontinuierliche Überwachung und Protokollierung einrichten

Um ein SOX-Audit zu bestehen, müssen Sie nachweisen, dass Sie Ihr System aktiv auf unbefugte Aktivitäten überwachen. Das bedeutet, dass Sie sicherstellen müssen, dass Ihr SAP Security Audit Log (SAL) ordnungsgemäß konfiguriert ist und dass kritische Transaktionscodes, Parameteränderungen und Hintergrundjobs protokolliert werden. Wenn ein privilegierter Benutzer eine kritische Änderung an einer Finanztabelle vornimmt, muss das System einen unveränderlichen Prüfpfad erstellen.

Der Screenshot-Falle entkommen: Automatisierung von SAP-ITGCs

Der manuelle Ansatz zur Einhaltung der SOX-Vorschriften ist für moderne, agile Unternehmen nicht mehr tragbar. Punktuelle Überprüfungen führen zu erheblichen Lücken in der Transparenz zwischen den Prüfungszyklen.

Um die finanzielle Basis wirklich zu sichern, automatisieren Unternehmen ihre SAP-Compliance-Prüfungen. Durch die Umstellung auf Continuous Control (CCM) können Teams ITGCs rund um die Uhr automatisch in ihrer gesamten SAP-Landschaft validieren. Dies gewährleistet nicht nur die Prüfungsbereitschaft, sondern reduziert auch den Arbeitsaufwand für das Basis-Team erheblich.

Umstellung von manueller auf automatisierte SAP-SOX-Compliance

Die herkömmliche SOX-Compliance in SAP stützt sich stark auf die manuelle Datenerfassung, was dazu führt, dass SAP-Basis-Teams viel Zeit damit verbringen müssen, Konfigurationen stichprobenartig zu überprüfen und Nachweise in Tabellenkalkulationen zusammenzustellen. Diese Methode erfordert zwar keine zusätzliche Software, liefert jedoch nur eine Momentaufnahme der Compliance, was zu Lücken in der Transparenz zwischen den Prüfungszyklen führt und das Risiko menschlicher Fehler erhöht.

Um diese Lücken zu schließen, setzen Unternehmen zunehmend auf Strategien Control kontinuierlichen Control (CCM). Dieser Ansatz erfordert zwar zunächst Investitionen in spezielle Tools, ermöglicht jedoch den Übergang von manuellen Stichproben zu einer kontinuierlichen, automatisierten Auswertung.

Maßgeschneiderte Lösungen automatisieren diesen Prozess, indem sie den gesamten Compliance-Lebenszyklus umfassend abdecken. So Platform beispielsweise die Platform einen mehrschichtigen Ansatz, um ITGCs in allen Säulen der SAP-Sicherheit durchzusetzen.

  • Zunächst überprüft Onapsis Assess kontinuierlich die SAP-Umgebung, um fehlende Sicherheitspatches, anfälligen benutzerdefinierten Code und unsichere Systemkonfigurationen zu identifizieren.
  • Um den Änderungsmanagementprozess abzusichern, lässt sich Onapsis Control direkt in die SAP-Transportpipeline integrieren und überprüft automatisch benutzerdefinierten Code und Konfigurationen, um sicherzustellen, dass nicht konforme Änderungen niemals in die Produktion gelangen.
  • Im Rahmen der kontinuierlichen Überwachung überwacht Onapsis Defend die SAP-Anwendungsschicht in Echtzeit und benachrichtigt Sicherheitsteams automatisch bei unbefugten Zugriffen oder kritischen Parameteränderungen.
  • Schließlich fungiert das Comply -Add-on als automatisierte Berichts-Engine. Es nutzt die platform erfassten technischen Daten platform fasst sie in strukturierten Dokumenten zusammen, die direkt auf die Standardanforderungen von SOX abgestimmt sind.

Anstatt manuell Screenshots zusammenzustellen, nutzen Compliance-Teams und externe Prüfer diese integrierten Tools, um auf Echtzeit-Dashboards und automatisierte Berichte zuzugreifen und so einen nachprüfbaren und lückenlosen Prüfpfad zu erstellen. Für Unternehmen, die ihre Prüfungsabläufe modernisieren möchten, ist die Prüfung, wie eine automatisierte SAP-Compliance erreicht werden kann, ein entscheidender Schritt zur Sicherung des Finanzkerns.

Häufig gestellte Fragen zur SAP-SOX-Compliance

Was sind SAP-IT-Grundkontrollen (ITGCs) für SOX? 

SAP-ITGCs sind die grundlegenden Sicherheits- und Betriebskontrollen, die auf die SAP-Systeme angewendet werden, in denen Ihre Finanzdaten verarbeitet werden. Im Rahmen eines SOX-Audits konzentrieren sich diese Kontrollen in der Regel auf den logischen Zugriff (wer sich anmelden darf), das Änderungsmanagement (wie Code in die Produktion gelangt) und den IT-Betrieb (wie Hintergrundjobs und Backups abgewickelt werden).

Wie wirkt sich die Aufgabentrennung (SoD) auf die SOX-Compliance in SAP aus? 

Die Aufgabentrennung stellt sicher, dass kein einzelner Benutzer befugt ist, zwei oder mehr miteinander in Konflikt stehende sensible Transaktionen auszuführen, wie beispielsweise die Anlage eines Lieferanten und die anschließende Zahlung an denselben Lieferanten. Die Nichtdurchsetzung der Aufgabentrennung in SAP stellt einen schwerwiegenden Verstoß gegen den SOX dar, da sie das Risiko interner Finanzbetrugsfälle erheblich erhöht.

Warum gelten manuelle SAP-SOX-Prüfungen als ineffizient? 

Bei herkömmlichen manuellen Audits müssen SAP-Basis-Teams Hunderte von Screenshots von Transaktionscodes (wie SU01 oder SM20) erstellen, um die Compliance nachzuweisen. Dieser Prozess ist äußerst zeitaufwendig, anfällig für menschliche Fehler und liefert lediglich eine Momentaufnahme, sodass Sie keinen Einblick in Compliance-Verstöße haben, die zwischen den Audit-Zyklen auftreten.

Lässt sich die SAP-SOX-Compliance automatisieren? 

Ja. Durch den Einsatz von CCM-Lösungen (Continuous Control ) wie Onapsis Assess können Unternehmen die Erfassung von Prüfungsnachweisen automatisieren. Diese Tools überprüfen Systemkonfigurationen und Benutzerberechtigungen kontinuierlich anhand der SOX-Richtlinien, geben Echtzeit-Warnmeldungen aus und machen das manuelle Erstellen von Screenshots überflüssig.

Ändern sich durch die Migration zu SAP S/4HANA die Anforderungen an die SOX-Konformität? 

Die grundlegenden rechtlichen Prinzipien des SOX bleiben unverändert. Die technische Umsetzung Ihrer IT-Kontrollmaßnahmen wird sich jedoch aufgrund der neuen Architektur von S/4HANA – einschließlich der zugrunde liegenden HANA-Datenbank und der Fiori-Anwendungen – ändern. Ihre SAP-Sicherheitsrichtlinien und control müssen aktualisiert werden, um dieser neuen Umgebung Rechnung zu tragen und die Compliance zu gewährleisten.

Stichworte, ,
Über den Autor
Pablo Müller, Technischer Produktmanager bei Onapsis

Pablo Müller

Technischer Produktmanager

Pablo Müller ist Technical Product Manager bei Onapsis und auf die Entwicklung von Lösungen für SAP GRC (Governance, Risk und Compliance) sowie die Sicherheit geschäftskritischer Anwendungen spezialisiert. Als einer der Hauptakteure unserer Vordenkerrolle im Bereich GRC und Compliance liegt seine Expertise darin, die neuesten Erkenntnisse aus der SAP-Sicherheitsforschung und aktuelle Branchentrends in Produkt-Roadmaps umzusetzen, die den Kundenbedürfnissen entsprechen. Pablo arbeitet eng mit den Onapsis Research Labs zusammen, Onapsis Research Labs neue Sicherheitsprüfungen zu definieren und sicherzustellen, dass die GRC-Lösungen von Onapsis die erforderliche Transparenz und Kontrollmöglichkeiten für auditfähige SAP-Systeme und kontinuierliche Compliance bieten. Durch seine Arbeit hat er sich als vertrauenswürdige Stimme etabliert, die die Lücke zwischen technischen Sicherheitsanforderungen und den Vorgaben der Unternehmensrevision schließt.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen