Auf den Punkt: Klassisches Managed Detection & Response kann SAP-Systeme nicht monitoren, weil proprietäre Datenformate, fehlende Konnektoren und Kontextwissen drei strukturelle Barrieren bilden.
SAP-Anwendungen steuern im Mittelstand kritische Geschäftsprozesse von Finanzbuchhaltung bis Produktionssteuerung, werden aber von Standard-MDR-Lösungen nicht erfasst. Angreifer nutzen diese Sicherheitslücke gezielt aus, während Bedrohungen über Monate unentdeckt bleiben.
Managed Detection & Response (MDR) wurde für Windows, Linux und Public-Cloud-Umgebungen entwickelt. Der technische Ansatz kombiniert Endpoint-Telemetrie, Netzwerk-Logs und Infrastruktur-Signale mit SOC-Analysten – eine Architektur, die an der proprietären SAP-Welt scheitert. Sicherheitsrelevante Ereignisse entstehen tief in der SAP-Anwendung: im Security Audit Log, in Change Documents und bei Berechtigungs- und Tabellenzugriffen. Klassische OS- oder Endpoint-Agenten erreichen diese Ebene nicht.
Drei strukturelle Hürden verhindern, dass SAP-Angriffe erkannt werden: Erstens müssen sicherheitsrelevante Daten mit SAP-spezifischen Mitteln aus dem Kern extrahiert werden. Zweitens folgen RFC-Aufrufe, ABAP-Reports und Audit-Log-Einträge proprietären Formaten, die ohne SAP-spezifische Konnektoren und Parser im SIEM nicht sinnvoll ankommen. Drittens lässt sich nur im Kontext von Berechtigungsmodellen und Geschäftsprozessen beurteilen, ob eine Buchung legitim ist oder eine SAP_ALL-Berechtigung missbraucht wird – IT-Signaturen reichen dafür nicht aus.
Wirksame SAP-Threat-Detection erfordert das Zusammenspiel dreier Komponenten: eine SAP-fähige Datenpipeline mit spezialisierten Konnektoren, verhaltensbasierte Analyse (UEBA) zur Erkennung atypischer Transaktionsmuster, und ein SOC mit SAP-Expertise. Nur wenn diese Elemente integriert zusammenwirken, entstehen handlungsfähige Sicherheitsentscheidungen.
Mit der NIS2-Richtlinie und dem Gesetz über die Bundesamt für Sicherheit in der Informationstechnik (BSIG) ist SAP-Sicherheit zur Geschäftsführungsaufgabe geworden. § 38 BSIG verankert die persönliche Haftung der Geschäftsleitung für wirksame Cybersicherheit – auch für die Überwachung der SAP-Landschaft. Der Verweis auf ein bestehendes MDR genügt nicht, wenn dieses SAP nicht sehen kann. SAP-Systeme sind das wertvollste und gleichzeitig das am schlechtesten überwachte Ziel im Mittelstand.
Quelle: www.it-daily.net · Erschienen 6. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.