Viele Unternehmen investieren erheblich in den Perimeterschutz, um externe Angriffe abzuwehren, während sie ihre internen SAP-Landschaften für sicher halten und hinsichtlich der Cyber Security vernachlässigen. Diese Annahme kann sich jedoch als fataler Trugschluss erweisen und dazu führen, dass elementare Schwachstellen in Prozessen, Zuständigkeiten und der Unternehmenskultur nicht erkannt werden.
Eine unzureichende Absicherung der SAP-Systeme kann nicht nur finanzielle Verluste nach sich ziehen, sondern auch das Ansehen von Organisationen massiv schädigen oder den Stillstand des Betriebs zur Folge haben. Besonders mittelständische Unternehmen sind hiervon betroffen, da sie oft nicht über die gleichen Ressourcen wie Großkonzerne verfügen und daher anfälliger für Cyber-Angriffe sind.
Aufgrund ihrer Komplexität und ihrer Integration in die geschäftskritischen Prozesse sind SAP-Systeme ein lohnenswertes Ziel für Cyber-Kriminelle. Viele Unternehmen übersehen interne Schwachstellen wie veraltete Berechtigungskonzepte, unzureichendes Patch-Management oder fehlende Protokollierungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die aktuelle Lage der IT-Sicherheit in Deutschland als besorgniserregend ein. In seiner Keynote auf dem DSAG-Jahreskongress 2025 erklärte der DSAG-Vorstandsvorsitzende Jens Hungershausen, dass bis zu 90 % der Cyber-Angriffe auf menschliches (Fehl-)Verhalten zurückzuführen sind, also beispielsweise auf das Öffnen von Phishing-Mails, die Verwendung von schwachen Passwörtern oder das Einstecken von fremden USB-Sticks. Hat sich ein Angreifer auf diese Weise erst einmal Zugriff auf das Netzwerk verschafft, ist er in der Lage, dort immensen Schaden anzurichten.
Als Herausforderung erweist sich oftmals die komplexe Berechtigungsvergabe in SAP. Im Laufe der Jahre werden Berechtigungen angehäuft, die nicht mehr den tatsächlichen Aufgabenprofilen der Anwender entsprechen. Das Resultat sind überprivilegierte Benutzer – und ein erhebliches Risiko für das Unternehmen. Ist ein Account mit weitreichenden Berechtigungen kompromittiert, kann das verheerende Folgen haben. Darüber hinaus ist oft keine zentralisierte Überwachung von Zugriffen und Aktivitäten innerhalb der SAP-Systeme vorhanden. Eine lückenlose Protokollierung ist jedoch die Voraussetzung, um verdächtige Aktivitäten rechtzeitig zu erkennen und forensische Analysen im Falle eines Angriffs durchzuführen.
Die Kluft zwischen gefühlter und tatsächlicher Sicherheit ist aber nicht nur technisch bedingt, sondern hat ihre Ursachen auch in der Organisation und der Kultur von Unternehmen. Cyber-Sicherheit gilt vielerorts immer noch als reine IT-Aufgabe. Bleibt eine Integration der Cyber-Sicherheit in die Geschäftsprozesse aus, stellt das jedoch eine der größten Schwachstellen dar. Unternehmen, die das Thema Sicherheit bei der Planung und Implementierung neuer SAP-Systeme und -Module nicht von Anfang an berücksichtigen, schaffen erhebliche Angriffspunkte für Cyber-Kriminelle.
Ein weiterer elementarer Faktor ist die Sensibilisierung der Mitarbeiter. Auch die neueste Technologie ist nutzlos, wenn Mitarbeiter leichtsinnig mit Daten umgehen oder zum Opfer von Phishing-E-Mails werden. Gerade im SAP-Kontext müssen sich die Benutzer der Wichtigkeit der von ihnen verarbeiteten Daten bewusst sein und entsprechend vorsichtig agieren. Regelmäßige Schulungen und Awareness-Kampagnen tragen maßgeblich zur Etablierung einer robusten Sicherheitskultur bei (siehe unten).
Zahlreiche Unternehmen betrachten Investitionen in die Cyber-Sicherheit als notwendiges Übel. Spricht man jedoch mit Organisationen, die in der Vergangenheit Opfer eines Cyber-Angriffs waren und sich mit den Folgen einer solchen Attacke auseinandersetzen mussten, ergibt sich ein eindeutiges Bild: Die Kosten für eine Wiederherstellung der Betriebsbereitschaft sind gigantisch. Hinzu kommt, dass Versicherungen unter Umständen nur einen Teil dieser Kosten übernehmen, da „Optimierungen“ der IT-Landschaft in den Bestimmungen gerne ausgeschlossen werden. Außerdem steigen nach einem Cyber-Angriff üblicherweise die Versicherungsprämien und lassen sich nur reduzieren, indem Unternehmen nachweisen können, dass sie wirksame Maßnahmen im Sinne der Cyber-Sicherheit ergriffen haben.
Um die Cyber-Sicherheit in SAP-Landschaften nachhaltig zu stärken, ist es empfehlenswert, die eigenen Sicherheitsansprüche mit der tatsächlichen Widerstandsfähigkeit abzugleichen. Hierbei sollten folgende Maßnahmen eine Rolle spielen:
Ganzheitliche Risikoanalyse
Spezifische Risikobewertungen für die SAP-Landschaft umfassen beispielsweise die Identifizierung kritischer Systeme, Daten und Geschäftsprozesse sowie die Analyse möglicher Schwachstellen und daraus resultierender Bedrohungen. Wichtig ist, dass neben technischen Aspekten auch organisatorische und menschliche Faktoren Berücksichtigung finden.
Permanente Überwachung mit automatisierten Prozessen
Manuelle Sicherheitsprozesse sind fehleranfällig und aufwendig. Unternehmen sollten daher automatisierte Tools für das Identity & Access Management (IAM), Schwachstellen-Scans, Patch-Management und Konfigurationsprüfungen einsetzen. Eine permanente Überwachung der SAP-Systeme auf ungewöhnliche Aktivitäten ist die Voraussetzung dafür, dass Angriffe frühzeitig entdeckt und wirksame Gegenmaßnahmen ergriffen werden.
Etablierung einer Zero-Trust-Architektur
Das Zero-Trust-Konzept basiert auf dem Grundsatz, keinem Gerät, Nutzer oder Dienst und keiner Anwendung innerhalb oder außerhalb des eigenen Netzwerks zu vertrauen. Das bedeutet: Jeder Zugriff auf SAP-Systeme – sei es von internen oder externen Benutzern – wird unabhängig von seinem Ursprung streng authentifiziert und autorisiert.
Sicherstellung der Geschäftskontinuität
Die Frage lautet mittlerweile nicht mehr, ob ein Unternehmen angegriffen wird, sondern wann. Umso wichtiger ist die Festlegung von Gegenmaßnahmen, die im Falle einer Cyber-Attacke ergriffen werden (Incident Response) und speziell auf SAP-Szenarien zugeschnitten sind. Dazu gehören definierte Vorgehensweisen für die Erkennung, Eindämmung, Beseitigung und Wiederherstellung nach einem Cyber-Angriff. Ein Konzept für die Sicherstellung der Geschäftskontinuität beschreibt, wie kritische SAP-Prozesse auch im Falle eines Angriffs weiterlaufen können.
Regelmäßige Audits und Penetrationstests
Externe Audits und Penetrationstests decken Schwachstellen auf und stellen die Wirksamkeit der Sicherheitsmaßnahmen auf den Prüfstand. Idealerweise sind die Überprüfungen passgenau auf die SAP-Anforderungen zugeschnitten, um den spezifischen Herausforderungen von SAP-Architekturen Rechnung zu tragen.
Die technische Absicherung von SAP-Systemen ist nur ein Teil der Gleichung. Eine robuste Sicherheitskultur erfordert auch, dass alle Mitarbeiter sich der potenziellen Risiken bewusst sind und entsprechend handeln. Regelmäßige Schulungen und Awareness-Kampagnen sind entscheidend, um das Bewusstsein für Cyber-Sicherheit zu schärfen und die Mitarbeiter in die Lage zu versetzen, verdächtige Aktivitäten zu erkennen und zu melden.
Anwender sollten regelmäßig über aktuelle Bedrohungen und Best Practices informiert werden. Phishing-Simulationen und interaktive Schulungen können helfen, die Wachsamkeit zu schärfen und die Reaktionsfähigkeit zu verbessern. Eine starke Sicherheitskultur ist unerlässlich, um die Resilienz gegenüber Cyber-Bedrohungen zu steigern und die Integrität der SAP-Systeme zu gewährleisten.
Damit Unternehmen das höchstmögliche Schutzniveau erreichen, müssen sie ihre Strategie in Sachen Cyber-Sicherheit kritisch hinterfragen und einen realistischen Blick auf die Wirksamkeit der etablierten Maßnahmen werfen. Wenn die Aspekte Technologie, Prozesse und Kultur in einem ganzheitlichen Ansatz zusammengeführt werden, erhöhen Unternehmen ihre Widerstandsfähigkeit gegenüber Cyber-Attacken und verringern die Wahrscheinlichkeit, dass die Folgen eines Angriffs existenzbedrohend sind. Gleichzeitig schützen sie sich vor den enormen Kosten, die bei der Wiederherstellung des Betriebs nach einer erfolgreichen Cyber-Attacke entstehen würden.