Sicherheit für SAP BTP Bedrohungsüberwachung: Erkennung unbefugter Änderungen und Anzeichen für Kompromittierung

Von:

15. April 2025

Willkommen zur neuesten Folge unserer Reihe zum Thema SAP BTP . Bisher haben wir uns mit den Herausforderungen befasst, denen Kunden beim Schutz dieser neuen, kritischen Komponente in ihrer Landschaft begegnen, sowie damit, wie diese bewältigt werden können und wie ein erfolgreiches Programm zum Schwachstellenmanagement für BTP aufgebaut wird.

Der logische nächste Schritt – und das andere wichtige Puzzleteil für eine proaktive Anwendungssicherheit – ist die kontinuierliche Sicherheitsüberwachung. Wie ich bereits in früheren Beiträgen dargelegt habe und wie es auch das NIST und SAP (in Zusammenarbeit mit Onapsis) empfehlen, besteht der wirksamste Ansatz zum Schutz von Anwendungen wie BTP darin, punktuelle Schwachstellenscans mit einer kontinuierlichen Überwachung auf Anzeichen für Kompromittierungen zu kombinieren.

Neben der Erkennung von Anzeichen für eine Kompromittierung ist die kontinuierliche Überwachung Ihrer BTP-Protokolle auf verdächtige oder unbefugte Änderungen an der Anwendungskonfiguration oder den Benutzereinstellungen aus mehreren Gründen wichtig:

  • Überwachung der Benutzeraktivitäten: Die Kunden, einschließlich derjenigen im Rahmen des „RISE with SAP“-Programms, sind dafür verantwortlich, ihre SAP-Benutzer, deren Verhalten und control zu überwachen.
  • Umgang mit Benutzerzugriffskontrollen: Änderungen an Benutzerberechtigungen und -rollen könnten einen control und einen potenziellen Prüfungsbefund darstellen.
  • Erkennen von Konfigurationsabweichungen: Die Kunden sind zudem dafür verantwortlich, sicherzustellen, dass ihre Anwendungen sicher konfiguriert sind und den Best Practices entsprechen.

Herausforderungen bei der erfolgreichen Sicherheitsüberwachung von SAP BTP

Leider ist die Sicherheitsüberwachung – wie Sie vielleicht schon ahnen, wenn Sie diese Serie verfolgt haben – ein weiterer Bereich, in dem die Einrichtung eines erfolgreichen Programms für SAP schwieriger ist, als es zunächst den Anschein hat. Zu den Herausforderungen, die sich hier für BTP und SAP-Anwendungen im Allgemeinen stellen, gehören:

  • Erkennung verdächtiger oder bedrohlicher Aktivitäten: Die meisten der derzeitigen Überwachungstools, auf die sich Sicherheitsteams stützen, bieten keine ausreichende Unterstützung für SAP, geschweige denn für neuere Anwendungen wie BTP. Ihnen fehlen die Erkennungsregeln und Informationen, die erforderlich sind, um Teams tatsächlich in die Lage zu versetzen, Bedrohungen oder unbefugte Änderungen an SAP zu erkennen und darauf zu reagieren. Daher sind Teams auf manuelle Protokollüberprüfungen angewiesen, die zeitaufwändig und fehleranfällig sind und natürlich sehr fundierte interne Kenntnisse über SAP-Aktivitäten und die sich ständig verändernde Bedrohungslage bei SAP erfordern.
  • Wissen, wie man Prioritäten setzt und auf erkannte Bedrohungen reagiert: Selbst wenn Teams in der Lage sind, verdächtige Vorgänge in den Protokollen erfolgreich zu identifizieren, sind oft umfangreiche Untersuchungen und Analysen erforderlich, um zu verstehen, ob diese verdächtigen Aktivitäten tatsächlich eine Bedrohung darstellen, welche potenziellen Auswirkungen sie haben und wie darauf zu reagieren ist.

Wie wir wissen, ist Zeit ein entscheidender Faktor bei der Reaktion auf Sicherheitsvorfälle. Dies ist angesichts der kritischen Bedeutung von SAP und der neuen Fristen für die Offenlegung wesentlicher Vorfälle (z. B. Vorschriften der US-Börsenaufsichtsbehörde SEC, EU-NIS2), die in Kraft getreten sind, besonders relevant. Sich wie oben beschrieben auf manuelle Maßnahmen zu verlassen, ist nicht nur unpraktisch – es erhöht auch das Risiko. Böswillige Aktivitäten können unbemerkt bleiben, Reaktionszeiten können sich verzögern und Schwachstellen könnten übersehen werden. Um hier erfolgreich zu sein, benötigen Unternehmen eine zuverlässige, automatisierte Lösung zur Bedrohungsüberwachung, die speziell für SAP entwickelt wurde und ihre Maßnahmen zur Reaktion auf Vorfälle beschleunigt.

SAP BTP leicht gemacht mit Onapsis

Wir haben kürzlich Defend Onapsis Defend für SAP BTP eingeführt, wodurch unsere Kunden ihre Bedrohungs- und Sicherheitsüberwachung auf diese kritische Ressource ausweiten können – mit BTP-spezifischen Erkennungsregeln und leistungsstarken, kontextbezogenen Warnmeldungen, die eine schnellere Reaktion auf Vorfälle ermöglichen. Der Fokus von Defend auf Rollenzuweisungen und Konfigurationsänderungen wird Kunden, einschließlich derjenigen, die RISE with SAP nutzen, dabei helfen, ihre Verantwortlichkeiten im Zusammenhang mit Benutzeraktivitäten und App-Konfigurationen besser zu verwalten. Damit erhalten sie ein Frühwarnsystem für unbefugte Änderungen in diesen Bereichen, die auf eine Kompromittierung, eine Insider-Bedrohung oder eine Verletzung von Kontrollmechanismen hindeuten könnten.

Defend BTP“ geht direkt auf die oben beschriebenen Herausforderungen ein:

  • Erkennung verdächtiger oder bedrohlicher Aktivitäten: Onapsis Defend überwacht Defend SAP BTP mithilfe von sofort einsatzbereiten, speziell auf SAP BTP zugeschnittenen Erkennungsregeln, SAP BTP den SAP-Sicherheits-Best-Practices und den neuesten Bedrohungsinformationen von Onapsis Research Labs. Manuelle Protokollüberprüfungen sind nicht erforderlich; interne Teams müssen nicht mehr mit der sich ständig weiterentwickelnden SAP-Bedrohungslandschaft Schritt halten. Mit Defend BTP erhalten Kunden Echtzeit-Warnmeldungen zu kritischen Konfigurationsänderungen sowie zu fehlerhaften oder übermäßigen Rollenzuweisungen, die kritische Daten, Geschäftsabläufe und die Compliance gefährden.
  • Erkennen, wie man Prioritäten setzt und auf identifizierte Bedrohungen reagiert: Die Echtzeit-Warnmeldungen Defend, die in SIEM-Systeme integriert werden können, machen Ihre SOC-Analysten im Handumdrehen zu SAP-Experten. Dank wertvoller Informationen zu Schweregrad, Ursache und empfohlenen Abhilfemaßnahmen sind Ihre Teams in der Lage, schneller fundiertere Entscheidungen zu treffen.

Die Automatisierung und die umfassenden Informationen, die Defend beschleunigen die Analyse und die Bearbeitung von Vorfällen und tragen dazu bei, die oben genannten neuen Offenlegungsfristen (z. B. EU NIS2, US-SEC-Vorschriften) einzuhalten – sowohl für BTP als auch für den Rest Ihrer kritischen SAP-Landschaft.

Die Absicherung von SAP BTP aus: Warum Sie auch den darin entwickelten Code schützen müssen

Bisher habe ich mich hauptsächlich auf die Absicherung von BTP selbst als Anwendung konzentriert. In meinem nächsten Beitrag werde ich mich damit befassen, wie die Aktivitäten Ihrer Benutzer in BTP gesichert werden können, nämlich das Schreiben von Code und das Erstellen neuer Anwendungen.

Natürlich ist es äußerst wichtig, dass der Code von hoher Qualität und sicher ist, doch darf dieser Prozess die Ziele und Zeitpläne bei der Anwendungsbereitstellung nicht behindern. Seien Sie gespannt auf den nächsten Teil dieser Reihe, in dem ich näher auf die Herausforderungen eingehen werde, denen Unternehmen bei der Entwicklung von sicherem Code in BTP gegenüberstehen, und wie sie diese bewältigen können.

Stichworte, , , , ,
Über den Autor
Porträtfoto von Julie Anderson

Julie Anderson

Julie Anderson ist eine erfahrene Marketingexpertin und Vordenkerin bei Onapsis. Sie entwickelt strategische Inhalte, die Führungskräfte aus den Bereichen Sicherheit und IT über die Notwendigkeit des Schutzes von SAP- und geschäftskritischen Anwendungen aufklären. Julies Arbeit verdeutlicht, wie die platform marktführende Funktionen in den Bereichen Schwachstellenmanagement, spezialisierte Bedrohungserkennung und kontinuierliche Compliance platform . Ihr Schwerpunkt liegt darauf, den Mehrwert der Einbindung fundierter Erkenntnisse zur Anwendungssicherheit in bestehende Sicherheitsworkflows von Unternehmen zu vermitteln, um eine bessere Risikominderung und Governance zu erreichen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen