Angriffserkennung im SAP – mit Luca Cremer

Autor: Tobias Harmes | 16. April 2025

#podcast
SAP Angriffserkennung

SAP-Systeme sind längst nicht nur das Rückgrat der unternehmerischen Prozesse – sie sind auch ein attraktives Ziel für Angreifer. Mit Luca Cremer, Bereichsleiter SAP Security und Partner bei mindsquare, spreche ich in dieser Folge darüber, warum der Kauf eines Security-Tools allein nicht ausreicht, um die Sicherheit von SAP-Systemen zu gewährleisten. Denn ohne eine fundierte technische Überwachung und eine durchdachte strategische Planung können selbst die besten Tools nicht vor Sicherheitslücken schützen.

…zum Anschauen

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

…zum Hören

…zum Lesen

Sicherheit im SAP-Umfeld

Viele Unternehmen wiegen sich in Sicherheit, weil ihre SAP-Systeme nicht direkt über das Internet zugänglich sind. Die Systeme sind oft durch Firewalls abgeschottet, laufen in internen Netzwerken und erscheinen dadurch vermeintlich unangreifbar. Doch genau dieses Sicherheitsgefühl kann trügen – denn die größte Gefahr geht nicht vom externen Angriff aus, sondern vom internen Zugriff.

Das können etwa legitime Benutzer mit zu weitreichenden Berechtigungen sein – oder Systeme, die untereinander zu offen kommunizieren. Ob manipulierte Gehaltsabrechnungen oder geänderte Lieferantenkonten: Es gibt reale Fälle, bei denen Angreifer – oft aus dem Unternehmen selbst – gravierende Schäden verursachen konnten, ohne dass dies frühzeitig entdeckt wurde.

Angriffserkennung im SAP-Kontext: Worum geht es eigentlich?

SAP-Angriffserkennung bedeutet, systematisch zu überwachen, ob verdächtige oder potenziell schädliche Aktivitäten stattfinden – und das in Echtzeit oder zumindest mit minimalem Verzug. Während klassische Berechtigungsprojekte darauf abzielen, Angriffsflächen zu minimieren, setzt die Angriffserkennung dort an, wo diese Prävention endet. Im Zentrum steht dabei die Frage, wie ich erkennen kann, dass sich jemand unberechtigt Zugriff verschafft – auch wenn die Berechtigungen formal korrekt aussehen.

SAP-spezifische Angriffsszenarien sind häufig komplex: Sie bestehen aus mehrstufigen Sprungketten (etwa via RFC-Verbindungen), missbräuchlicher Nutzung legitimer Prozesse (z. B. Firefighter) oder Ausnutzung schwacher Konfigurationen. Diese Angriffe lassen sich oft nur erkennen, wenn man Logdaten korreliert, Aktivitäten aufzeichnet und automatisiert Muster erkennt.

Beispiel aus der Praxis: Wenn der Angreifer längst im System ist

Ein Fall aus der Praxis: Ein Mitarbeiter mit Zugriff auf das HR-System änderte seine Gehalts- und Bonusdaten. Möglich war das durch formal korrekte, aber unzureichend kontrollierte Berechtigungen. Erst als der erste verdächtige Zahlungsausgang durch einen manuellen Revisionsprozess auffiel, wurde der Vorfall erkannt.

Ein zweites Szenario: Ein interner Nutzer nutzte RFC-Hopping über drei Systeme hinweg, bis er auf das Produktivsystem gelangte – und dort die Bankdaten von Lieferanten auf sein Auslandskonto änderte. Nur durch einen internen Workflow zur Bankdatenänderung wurde der Angriff gestoppt.

Solche Beispiele zeigen, dass SAP gegen Missbrauch längst nicht immun ist. Oft sind es keine klassischen Hackerangriffe, sondern komplexe, aber realistische Szenarien, die mit Know-how und Systemkenntnis ausgeführt werden.

Webinar: Das richtige Tool für SAP Security & Angriffserkennung finden

In diesem Webinar erfahren Sie, wie Sie das passende SAP Security-Tool auswählen, um Bedrohungen frühzeitig zu erkennen und abzuwehren.
Jetzt anmelden

Tool-Einsatz allein reicht nicht: Warum Prozesse entscheidend sind

Eine verbreitete Erwartung besteht darin, ein Angriffserkennungstool zu kaufen, es zu konfigurieren und sofort alles automatisch laufen zu lassen. Die Realität sieht hingegen häufig so aus, dass selbst mit professionellen Tools viel manuelle Analyse erforderlich ist. Gute Tools reduzieren zwar die Masse an zu analysierenden Events, aber sie ersetzen nicht das strategische Sicherheitskonzept.

Typische Herausforderungen:

  • Fehlkonfigurationen führen zu einer Flut an Alarmen (Alert Fatigue).
  • Sicherheitsverantwortliche haben nicht die nötige SAP-Expertise, um Events richtig zu interpretieren.
  • Es fehlt ein definierter Prozess für die Eskalation und Bewertung von Vorfällen.

Deshalb ist Angriffserkennung immer auch ein organisatorisches Projekt: Wer analysiert die Events? Wer ist für Reaktionen verantwortlich? Wie ist der Kommunikationsweg zur SAP-Basis? Wer entscheidet über kritische Maßnahmen?

Welche Logs sind wirklich relevant?

Viele Unternehmen stützen ihre Überwachung auf das Security Audit Log. Dieses enthält allerdings nur einen Bruchteil der relevanten Informationen. Ein professioneller Angriffserkennungsansatz berücksichtigt bis zu 20 Logquellen aus SAP, darunter:

  • Table Logging
  • Read Access Logging
  • Gateway Logs
  • System Logs
  • RFC-Verbindungsprotokolle
  • Benutzeränderungen & Rollenvergabe

Erst durch die Korrelation dieser Quellen kann ein vollständiges Bild entstehen. Tools helfen, diese Komplexität zu bewältigen, müssen aber passgenau konfiguriert und betrieben werden.

Einbindung in bestehende Security-Strukturen

Viele Unternehmen verfügen bereits über ein Security Operation Center (SOC) und SIEM-Systeme (z. B. Splunk, QRadar). Naheliegend ist daher der Gedanke, SAP einfach als weitere Datenquelle zu integrieren. Doch auch das ist komplex:

  • SAP erzeugt viele verschiedene Logformate (Tabellen, Textdateien, etc.).
  • Die Semantik von SAP-Events ist für klassische SIEM-Analysen nicht selbsterklärend.
  • Externe SOC-Teams verfügen oft nicht über SAP-Zugänge oder -Knowhow.

Es braucht also spezialisierte Integrationen (Middleware, Adapter) und klare Prozesse zur Zusammenarbeit zwischen SOC und SAP Basis.

Was ist ein sinnvoller Einstieg für Unternehmen?

Als Best Practice hat sich ein gestufter Ansatz bewährt:

  • Risikobewertung durchführen: Welche SAP-Systeme sind besonders sensibel? Wie lange wäre ein Ausfall tolerierbar? Welche Daten wären im Angriffsfall besonders kritisch?
  • Proof of Concept (PoC): Testweise für 4–8 Wochen ein Tool einführen, um Events zu sammeln, Muster zu erkennen und das Datenvolumen zu bewerten.
  • Tool-Auswahl und Prozessdesign: Basierend auf dem PoC entscheiden, ob intern betrieben wird oder ob ein externer Service (z. B. Managed SAP Security Monitoring) sinnvoll ist.
  • Integration und Betrieb: Tool produktiv nehmen, Verantwortlichkeiten klären, Alert-Regeln feinjustieren und laufend evaluieren.

Besonders wichtig: Ein Tool ohne Betriebskonzept führt schnell zur Frustration. Deshalb ist Planung entscheidend – insbesondere, wenn die IT-Security bereits mit anderen Themen (Cloud Security, Infrastruktur, Identity Management) stark ausgelastet ist.

Proof of Concept Angriffserkennung

Sie wollen wissen, wie Sie Ihr SAP-System am besten absichern?
Wir schauen gemeinsam auf Ihre Landschaft und erstellen einen Proof of Concept

Jetzt unverbindlich anfragen

Fazit Angriffserkennung SAP

Die SAP Angriffserkennung ist kein optionales Feature, sondern ein notwendiger Bestandteil moderner IT-Sicherheit. Gerade in regulierten Branchen (Finanzen, Energie, kritische Infrastrukturen) steigt der Druck – und mit ihm die Verantwortung. Es braucht ein grundlegendes Verständnis dafür, welche Aktionen sicherheitsrelevant sind – von RFC-Verbindungen über Rollenvergabe bis hin zu Firefighter-Nutzung. Denn viele Angriffe basieren auf funktionalem Missbrauch bestehender Prozesse.

Ob man bereits ein Tool im Einsatz hat oder noch vor der Auswahl steht – der wichtigste Schritt ist, sich mit dem Thema aktiv auseinanderzusetzen. Denn Angriffe passieren – und sie werden oft nicht erkannt, wenn man sich ausschließlich auf präventive Maßnahmen verlässt.


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Weitere Beiträge:

SAP Security

Das richtige Tool für Security Monitoring finden – Welche Tools gibt es?

Security Monitoring Tools
Security Monitoring & Logfile-Überwachungen sind für IT-Sicherheit enorm wichtig. Welche Tools Sie im Blick haben sollten, zeigt der Beitrag.
Artikel lesen
Podcast

Nur zusammen sicher: SAP und das Netzwerk

Wie Teamwork zwischen SAP- und Netzwerk-Verantwortlichen funktioniert und was man eigentlich voneinander lernen könnte, erfahren Sie hier.
#podcast, #story
jetzt anhören
SAP Security

Datei-Download von SAP SRM MDM und Umgehung SAP BTP-Apps Authentifizierung | SAP Security Patchday Februar 2025

Der SAP Security Patchday im Februar war am 11.02.2025. Wie jeden zweiten Dienstag im Monat gibt es frische SAP Security Notes.
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage