Zum Inhalt springen

SAP-Systeme im Mittelstand: Klassisches Sicherheitsmonitoring erfasst sie nicht

Auf den Punkt: Klassisches Managed Detection & Response kann SAP-Systeme nicht monitoren, weil proprietäre Datenformate, fehlende Konnektoren und Kontextwissen drei strukturelle Barrieren bilden.

SAP-Anwendungen steuern im Mittelstand kritische Geschäftsprozesse von Finanzbuchhaltung bis Produktionssteuerung, werden aber von Standard-MDR-Lösungen nicht erfasst. Angreifer nutzen diese Sicherheitslücke gezielt aus, während Bedrohungen über Monate unentdeckt bleiben.

Managed Detection & Response (MDR) wurde für Windows, Linux und Public-Cloud-Umgebungen entwickelt. Der technische Ansatz kombiniert Endpoint-Telemetrie, Netzwerk-Logs und Infrastruktur-Signale mit SOC-Analysten – eine Architektur, die an der proprietären SAP-Welt scheitert. Sicherheitsrelevante Ereignisse entstehen tief in der SAP-Anwendung: im Security Audit Log, in Change Documents und bei Berechtigungs- und Tabellenzugriffen. Klassische OS- oder Endpoint-Agenten erreichen diese Ebene nicht.

Drei strukturelle Hürden verhindern, dass SAP-Angriffe erkannt werden: Erstens müssen sicherheitsrelevante Daten mit SAP-spezifischen Mitteln aus dem Kern extrahiert werden. Zweitens folgen RFC-Aufrufe, ABAP-Reports und Audit-Log-Einträge proprietären Formaten, die ohne SAP-spezifische Konnektoren und Parser im SIEM nicht sinnvoll ankommen. Drittens lässt sich nur im Kontext von Berechtigungsmodellen und Geschäftsprozessen beurteilen, ob eine Buchung legitim ist oder eine SAP_ALL-Berechtigung missbraucht wird – IT-Signaturen reichen dafür nicht aus.

Wirksame SAP-Threat-Detection erfordert das Zusammenspiel dreier Komponenten: eine SAP-fähige Datenpipeline mit spezialisierten Konnektoren, verhaltensbasierte Analyse (UEBA) zur Erkennung atypischer Transaktionsmuster, und ein SOC mit SAP-Expertise. Nur wenn diese Elemente integriert zusammenwirken, entstehen handlungsfähige Sicherheitsentscheidungen.

Mit der NIS2-Richtlinie und dem Gesetz über die Bundesamt für Sicherheit in der Informationstechnik (BSIG) ist SAP-Sicherheit zur Geschäftsführungsaufgabe geworden. § 38 BSIG verankert die persönliche Haftung der Geschäftsleitung für wirksame Cybersicherheit – auch für die Überwachung der SAP-Landschaft. Der Verweis auf ein bestehendes MDR genügt nicht, wenn dieses SAP nicht sehen kann. SAP-Systeme sind das wertvollste und gleichzeitig das am schlechtesten überwachte Ziel im Mittelstand.


Quelle: www.it-daily.net · Erschienen 6. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.

Share on: