SAP Cyber Sicherheit: Das vergessene Risiko

In SAP-Projekten liegt der Fokus häufig auf Funktionalität, Prozessen und Zeitplänen – doch ein entscheidender Aspekt wird dabei oft unterschätzt oder zu spät berücksichtigt: die IT-Sicherheit. Dabei enthalten SAP-Systeme geschäftskritische Daten und steuern zentrale Unternehmensprozesse – ein attraktives Ziel für Angreifer. Unzureichend geschützte Schnittstellen, fehlende Berechtigungskonzepte oder mangelhaft abgesicherte Systemzugänge können schwerwiegende Sicherheitslücken verursachen. Wer IT-Sicherheit nicht von Anfang an in die Projektplanung integriert, riskiert nicht nur Datenverluste, sondern auch Betriebsunterbrechungen und rechtliche Konsequenzen. IT-Sicherheit ist kein Add-on, sondern ein unverzichtbarer Bestandteil jedes SAP-Projekts.

SAP Penetrationstests geben Aufschluss über die IT-Sicherheit

Es war der 05. Januar 2025 und bei uns klingelte das Telefon. Angerufen hatte der IT-Leiter eines mittelständischen Zulieferunternehmens für die Automobilbranche mit rund 580 Mitarbeitenden. Sie waren gerade mitten in der Einführung von SAP S/4HANA – und sein Anliegen war direkt:

„Wir haben einen Penetrationstest machen lassen – und der hat uns offenbart, dass unser SAP-System angreifbarer ist als gedacht. Offene Benutzerkonten, schwache Passwörter, unklare Berechtigungen. „Was passiert, wenn wirklich jemand versucht reinzukommen?““ 

Der Mann war sichtlich beunruhigt – und das zu Recht. Denn während in SAP-Projekten häufig über Prozesse, Schnittstellen und Customizing gesprochen wird, bleibt das Thema IT-Sicherheit oft ein blinder Fleck.

Dabei betrifft die Frage viele Unternehmen: Wie sicher ist die SAP Cloud wirklich? Wer hat Zugriff auf welche Daten? Und wie lassen sich SAP-Systeme technisch und organisatorisch absichern – bevor es zu spät ist?

In diesem Artikel erfährst du:

• Wo die größten Sicherheitsrisiken in SAP-Projekten lauern,
• Welche Maßnahmen wirklich schützen,
• und wie wir Unternehmen dabei helfen, sich vor Datenverlust, Manipulation und Produktionsausfällen zu schützen.

Warum wird die IT-Sicherheit bei SAP so oft unterschätzt?

Viele Unternehmen investieren Monate in die Prozessanalyse, das Customizing oder die Auswahl der richtigen Module – doch bei dem Thema SAP Cloud Sicherheit fehlen oft die Ressourcen oder die Zeit. Schnell heißt es dann: „Darum kümmern wir uns später“. Doch später ist meistens zu spät. Denn SAP-Systeme sind heute tief in die Infrastruktur eingebunden – von der Fertigung über Logistik bis hin zu Kundendaten. Wenn hier Sicherheitslücken bestehen, kann das gravierende Folgen haben:

• Produktionsstopps, weil zentrale Prozesse nicht mehr steuerbar sind.
• Manipulierte Buchungen oder verfälschte Daten in Vertrieb und Einkauf.
• Datendiebstahl, der nicht nur teuer, sondern auch rufschädigend ist.
• Hohe Bußgelder bei DSGVO-Verstößen.

Diese Gefahren entstehen nicht durch gezielte Hackerangriffe aus Hollywood – sondern durch ganz banale Versäumnisse im Alltag: offene Schnittstellen, schlecht konfigurierte Rollen oder falsch gesetzte Berechtigungen. SAP selbst warnt vor Cyberangriffen auf Unternehmen, die während der Corona-Pandemie um bis zu 300% gestiegen sind. 

Und genau das macht SAP Projekte so anfällig. Jeder VPN-Zugang, jede Cloud-Komponente und jedes neue Modul  bringt neue Angriffspunkte mit.

Unser Erfahrung hat gezeigt: IT Sicherheit darf kein Add-On sein – sie gehört von Anfang an mit auf die SAP-Agenda. Sonst wird aus einem ERP-Projekt schnell ein Risiko für das gesamte Unternehmen.

SAP-System absichern: 5 konkrete Maßnahmen für mehr IT- und Cloud-Sicherheit

Eine starke SAP-Sicherheitsstrategie bedeutet nicht nur Firewalls und Passwörter – sondern ein systematisches Zusammenspiel aus Technik, Prozessen und Verantwortlichkeiten. Diese fünf Maßnahmen helfen, SAP-System und Unternehmen gezielt zu schützen.

Wie Unternehmen SAP Sicherheit in Projekten richtig umsetzen

1. Rollen- & Berechtigungskonzepte für die SAP Cloud klar definieren

Wer darf was – und warum? Ein häufiger Schwachpunkt in Bezug auf die SAP IT-Sicherheit ist die unklare Berechtigungen bei der Benutzerverwaltung. Offene Systemnutzer, wie etwa der Standard-Account SAP*, fehlende Passwortvorgaben oder breit vergebene Zugriffe wie „SAP_ALL“ sind nicht nur veraltet – sie sind ein echtes Einfallstor. Besonders in der Anfangsphase neuer SAP-Systeme bleiben diese Konfigurationen oft unentdeckt. 

Deshalb gilt: Rechte müssen gezielt vergeben, protokolliert und regelmäßig geprüft werden, damit jede Person nur Zugriff auf die Funktionen und Daten hat, die sie wirklich braucht. 

Auch die Zwei-Faktoren-Authentifizierung (2FA) gehört in SAP mittlerweile zum Standard dazu, insbesondere, insbesondere bei kritischen Nutzergruppen mit Zugriff auf sensible Geschäftsdaten.

2. Die SAP Cloud Sicherheit ist kein Selbstläufer

Mit der Einführung von SAP S/4HANA setzen viele Unternehmen auf Cloud-Modelle – doch diese ist nicht automatisch sicher. Während der Infrastrukturbetreiber zwar grundlegende Sicherheitsmechanismen bereitstellt, liegt die Verantwortung für Rollen, Schnittstellen, Add-Ons und Integrationen weiterhin beim Unternehmen selbst.

Wer unverschlüsselte Kommunikationswege zwischen SAP-Systemen und Cloud-Komponenten oder falsch konfigurierte VPN-Zugänge auf die leichte Schulter nimmt, macht es Angreifern leicht. 

Auch hier gilt: Für die SAP Cloud ist ein ein klares Konzept zur Systemhärtung essenziell. Dazu zählen klare Zugriffskonzepte (auch über VPN), verschlüsselte Protokolle (HTTPS, SFTP), TLS-Konfigurationen, saubere API-Architekturen – und regelmäßige Überprüfung der Konfiguration auf Schwachstellen.

3. Schnittstellen – die versteckte Risikozone in der SAP IT-Sicherheit

Was viele unterschätzen: Die größte Gefahr kommt nicht immer von außen – sondern oft über die Schnittstellen mitten ins Herz des SAP-Systems. Ob EDI-Anbindung, API-Zugriff oder RFC-Kommunikation mit anderen Systemen – überall dort, wo Daten ausgetauscht werden, entstehen potenzielle Schwachstellen.

Wenn Berechtigungen zu weit gefasst sind oder keine klare Rollenverteilung herrscht, kann ein externer Dienst plötzlich mehr, als er sollte. Noch kritischer wird es, wenn diese Verbindungen nicht ausreichend verschlüsselt sind oder Prozesse automatisiert im Hintergrund laufen – ohne Überprüfung.

Ein wichtiger Sicherheitsanker ist hier das sogenannte SAP Audit Log: Es zeichnet alle kritischen Zugriffe und Aktivitäten auf – gerade über technische Schnittstellen oder automatisierte Prozesse. So lassen sich ungewollte Zugriffe später nachverfolgen – ein Muss für jede SAP S/4HANA Umgebung mit Schnittstellen zu Drittsystemen.

Deshalb unser Rat: Schnittstellen gehören nicht nur dokumentiert und abgesichert – sie brauchen klare Regeln, Protokollierung und regelmäßige Prüfungen.

4. Monitoring und SAP Penetrationstest sorgen für IT-Sicherheit

Viele Schwachstellen bleiben so lange unentdeckt, bis es zu spät ist – und genau das macht SAP-Projekte so anfällig. Sicherheitstests gehören daher nicht nur in die Betriebsphase, sondern bereits in die SAP Implementierung. Ein SAP Penetrationstest kann aufdecken, wo die größten Lücken liegen – und ob Berechtigungen, Rollenkonzepte oder Verschlüsselung funktionieren. Ergänzend dazu helfen Tools wie Read Access Logging, SAP EarlyWatch Alert, SAP Solution Manager oder SAP Enterprise Threat Detection, das System laufend im Blick zu behalten. 

Wichtig dabei: Die Systeme müssen nicht nur installiert, sondern auch aktiv ausgewertet werden. Denn was bringt die beste Architektur, wenn niemand mitbekommt, dass jemand daran rüttelt?

5. SAP Sicherheit braucht organisatorische Verankerung

IT-Sicherheit ist nicht nur eine technische Disziplin – sie ist auch eine Frage der Verantwortung. In vielen Projekten wird SAP Sicherheit als reines IT-Thema behandelt, während die Fachbereiche außen vor bleiben. Doch genau das ist riskant. Berechtigungsvergaben, Rollenverantwortung oder Zugriffsfreigaben sollten gut durchdacht sein und mit den einzelnen Fachabteilung besprochen werden. 

Genauso wichtig sind Schulungen in Bezug auf die SAP Cloud Sicherheit. Wer die SAP Sicherheit wirklich verankern will, muss alle Beteiligten aufklären und mitnehmen – von der IT über die Key User bis hin zur Geschäftsführung. Nur so kann ein gelebtes Sicherheitsbewusstsein.

Was haben wir in dem konkreten Fall für die SAP IT-Sicherheit getan?

Wie du siehst, gibt es viele potenzielle Angriffspunkte – aber auch ebenso viele Stellschrauben, um SAP-Systeme wirksam abzusichern.

Um die genannten Aspekte mit einem konkreten Praxisbezug greifbar zu machen, zeigen wir dir, wie wir im Fall unseres Kunden aus der Automobilzulieferbranche vorgegangen sind:

• Wir haben gemeinsam mit dem Kunden eine strukturierte Sicherheitsanalyse der SAP-Landschaft durchgeführt – inkl. Benutzerrechte, RFC-Verbindungen und Cloud-Komponenten.
  
• Alle SAP Sicherheitshinweise wurden geprüft, priorisiert und in einem abgestimmten Patchplan eingeplant.
  
• Das Berechtigungskonzept wurde überarbeitet – inklusive 2FA-Einführung für Admin-Zugänge und restriktiver Rollenvergabe.
  
• Gemeinsam mit dem IT-Team haben wir ein internes SAP-Security-Monitoring aufgesetzt, das verdächtige Aktivitäten automatisch meldet.
  
• Abschließend gab es einen Awareness-Workshop für Fachbereiche, um SAP Security als Teil der Unternehmenskultur zu verankern.

Das Ergebnis: Der Kunde hat heute nicht nur ein sicheres SAP-System – sondern vor allem das gute Gefühl, dass er vorbereitet ist. Und der IT-Leiter konnte wieder gut schlafen – auch nach dem Go-Live des neuen SAP-Systems.

Doch jedes Unternehmen hat andere Systeme, Anforderungen und Sicherheitsniveaus. Wenn du dir unsicher bist, ob dein ERP-System wirklich ausreichend geschützt ist oder die Überwachung gut für eure Prozesse funktionieren:

Dann ist jetzt der richtige Zeitpunkt für ein unverbindliches Erstgespräch.

Denn Vorsicht ist besser als Nachsicht – vor allem, wenn es um sensible Daten geht.

Zusammenfassung

Die wichtigsten Antworten zu IT-Sicherheit bei SAP

• Klare Rollen- und Berechtigungskonzepte: Nutzer erhalten nur die Zugriffsrechte erhält, die sie wirklich benötigen, ergänzt durch regelmäßige Prüfungen und Zwei-Faktor-Authentifizierung für sensible Konten.
  
• Absicherung der SAP-Cloud: Verschlüsselte Protokolle, sichere VPN- und API-Architekturen sowie saubere Konfigurationsstandards sichern Ihr Projekt ab.
  
• Sichere Schnittstellen: EDI-, API- und RFC-Verbindungen sind potenzielle Einfallstore. Klare Regeln, Verschlüsselung und Protokollierung schützen vor unerwünschten Gästen.
  
• Kontinuierliches Monitoring und Penetrationstests: Finden diese bereits während der Implementierung statt, können Schwachstellen frühzeitig erkannt und die Wirksamkeit von Sicherheitsmaßnahmen geprüft werden.
  
• Organisatorische Verankerung der IT-Sicherheit: Fachbereiche sollten einbezogen und alle Beteiligten durch Schulungen und Awareness-Maßnahmen sensibilisiert werden.
• Regelmäßige Updates und ein strukturiertes Patchmanagement: Bekannte Schwachstellen werden überwacht und geschlossen und das SAP-System dauerhaft abgesichert.