SAP-Systeme sind das Rückgrat vieler Unternehmen und öffentlicher Verwaltungen. Sie steuern Finanzströme, verwalten Beschaffungsprozesse und sorgen für reibungslose Abläufe. Doch Studien zeigen: Rund 4 % der Mitarbeitenden sind bereit, gegen das eigene Unternehmen zu handeln. Das macht SAP-Systeme nicht nur zu einem attraktiven Ziel für externe Angriffe, sondern auch anfällig für Insider-Bedrohungen. Deshalb ist es entscheidend, sowohl unbefugte Zugriffe von außen als auch verdächtige Aktivitäten im Inneren zu überwachen.
Die Herausforderung: Viele Unternehmen und Behörden verfügen bereits über umfangreiche Sicherheitslösungen – doch SAP bleibt oft ein blinder Fleck. Genau hier setzt unsere Arbeit an: Unser Ziel war es, unseren Kund:innen eine vollständige Sicherheitsüberwachung ihrer SAP-Systeme zu ermöglichen.
Die Lösung? Ein umfassendes SAP Security Monitoring & Threat Detection – nicht als theoretisches Konzept, sondern als praxisnahe, umsetzbare Lösung. Mit unserer Expertise, einem SAP-zertifizierten Add-on und Microsoft Sentinel als SIEM haben wir genau das realisiert.
Warum SAP Security-Monitoring heute wichtiger ist denn je
Wir beobachten, dass viele SAP-Kund:innen bereits auf verschiedene Sicherheitslösungen setzen – und doch bleibt SAP selbst oft eine Sicherheitslücke. Nur wenige Unternehmen überwachen die SAP-Applikationsebene auf kritische Ereignisse, obwohl nahezu alle zustimmen würden, dass SAP eine geschäftskritische Anwendung ist.
Warum wird SAP so selten ins Security Monitoring einbezogen?
Lange Zeit war die Integration von SAP in ein SIEM-System technisch anspruchsvoll. Die verfügbaren Lösungen waren nicht ausgereift, regulatorischer Druck fehlte, und CISOs zögerten, strenge Sicherheitsvorgaben für SAP-Teams einzuführen.
Doch jetzt zeichnet sich ein klarer Wandel ab: Immer mehr Unternehmen wollen SAP in ihr SIEM integrieren, um Transparenz zu schaffen und ihre Security Operations Center (SOC) zu stärken. Was früher eine Blackbox war, wird nun aktiv überwacht – und SAP damit endlich aus dem toten Winkel der IT-Sicherheit geholt.
Der Weg zum sicheren SAP-Monitoring
Die Schweizer Bundesverwaltung betreibt ein komplexes SAP-System, das essenziell für zahlreiche geschäftskritische Prozesse ist. Ein zentrales Element ist das SUPERB-Programm, das auf SAP S/4HANA basiert und Verwaltungsprozesse innerhalb der Regierung standardisiert und optimiert. Diese Systeme steuern Finanzbuchhaltung, Personalwesen und Beschaffung – ein Ausfall oder eine Kompromittierung hätte gravierende Folgen.
Von der Idee zur Umsetzung
Unser erster Schritt war: SAP-Logs in Microsoft Sentinel integrieren. Doch es ging nicht nur darum, Daten zu sammeln – sondern sie richtig zu interpretieren.
Welche Ereignisse deuten auf potenzielle Bedrohungen hin?
- Plötzliche Rechteerweiterungen, bei denen ein:e Nutzer:in unerwartet weitreichenden Zugriff erhält?
- Fehlkonfigurierte Systeme, die neue Angriffsvektoren eröffnen?
- Ungewöhnliches Nutzerverhalten, das auf eine mögliche Kompromittierung hindeutet?
Gemeinsam mit den IT-Sicherheitsexpert:innen der Bundesverwaltung haben wir ein Regelwerk zur Erkennung verdächtiger Aktivitäten entwickelt. Mithilfe der Kusto Query Language (KQL) konnten wir gezielt nach Mustern suchen, die auf unautorisierten Zugriff oder verdächtige Aktivitäten hinweisen.
Strukturierte Integration für maximale Sicherheit
Für die Umsetzung haben wir unseren SAP-zertifizierten SAP-to-Sentinel-Connector genutzt. Statt eines abrupten Rollouts haben wir die Integration in fünf Wellen durchgeführt, wobei jede Welle fünf Sprints umfasste. Pro Sprint haben wir rund 20 neue Erkennungsregeln implementiert, um potenzielle Bedrohungen systematisch zu identifizieren – darunter Rechteerweiterungen, Fehlkonfigurationen und verdächtige Aktivitäten.
Nach der erfolgreichen Datenintegration haben wir uns auf den nächsten entscheidenden Schritt konzentriert: Automatisierung.
Mit Microsoft Sentinel haben wir Playbooks erstellt, die automatisch Alarme auslösen und erste Reaktionsmaßnahmen einleiten.
Beispiele aus der Praxis:
Unerwarteter Administrator-Login mitten in der Nacht? → Ein Ticket wird automatisch an das Incident-Response-Team gesendet.
Mehrere fehlgeschlagene Login-Versuche von einer unbekannten IP-Adresse? → Das betroffene Konto wird sofort gesperrt.
Besonderes Augenmerk haben wir auf die Überwachung sowohl des SAP S/4HANA-Anwendungsservers als auch der HANA-Datenbank gelegt. So konnten wir sowohl die Applikationsebene als auch die zugrunde liegende Datenhaltung absichern – ein klarer Vorteil gegenüber herkömmlichen Lösungen.
SAP-Sicherheitsmonitoring auf dem neuesten Stand
Die Ergebnisse sprechen für sich: SAP-Systeme sind nun vollständig in das Security Operations Center (SOC) integriert und werden mit denselben modernen Tools und Methoden überwacht wie alle anderen geschäftskritischen Anwendungen.
Was früher ein blinder Fleck war, ist jetzt transparent und geschützt – dank unserer Anbindung an Microsoft Sentinel.
Erfolgsfaktor: Erprobte SAP-spezifische Erkennungsregeln
Ein entscheidender Faktor für den Erfolg dieses Projekts war der Einsatz unserer bewährten SAP-spezifischen Erkennungsregeln für Microsoft Sentinel. Diese Regeln basieren auf der jahrzehntelangen Erfahrung unseres Teams im Bereich SAP-Sicherheit und werden kontinuierlich optimiert und erweitert.
Da diese Regeln für alle SAP-Systeme identisch sind, konnte die Schweizer Bundesverwaltung auf eine bereits etablierte, robuste Lösung zurückgreifen, statt das Rad neu zu erfinden. Sie ermöglichen eine präzise Identifikation sicherheitskritischer Ereignisse und reduzieren Fehlalarme erheblich.
Während des Projekts wurde deutlich, dass eine enge Zusammenarbeit zwischen SAP- und Security-Teams essenziell ist. Nur so konnten wir sicherstellen, dass die richtigen Daten erfasst, verarbeitet und effektiv genutzt wurden.
Letztendlich war dieses Projekt mehr als nur eine technische Implementierung – es markierte einen grundlegenden Wandel im Umgang mit SAP-Sicherheit.
Fazit: Echtzeit-Monitoring als neuer Standard
Die Integration von SAP in Microsoft Sentinel hat gezeigt: Echtzeitanalyse ist keine Option mehr – sie muss der Standard sein.
Cyberangriffe werden immer raffinierter, und Unternehmen können es sich nicht leisten, erst zu reagieren, wenn eine Bedrohung bereits Schaden angerichtet hat. Wer seine geschäftskritischen Systeme wirklich schützen will, sollte nicht auf den nächsten Sicherheitsvorfall warten – sondern jetzt handeln und zentrales Monitoring implementieren.
Die Schweizer Bundesverwaltung hat diesen Schritt gemacht – und profitiert nun von wesentlich mehr Transparenz und einer schnelleren Reaktionsfähigkeit.
