Cyberangriffe treffen besonders Unternehmen in technologischen Transformationsprozessen. Während viele Firmen mit der SAP-S/4HANA-Umstellung ringen, rückt SAP Access Control zunehmend in den Fokus. Ab 2027 wird die strukturierte Kontrolle von Benutzerrechten für den Mittelstand essenziell – nicht nur nice to have.
SAP Access Control bietet unter anderem Notfallzugriffsverwaltung, Zugriffsrisikoanalyse und Zertifizierungsprüfung für strukturierte Berechtigungskontrolle in SAP-Landschaften.
Cyberangriffe gehören längst zur Realität. Die Bitkom Wirtschaftsschutzstudie 2025 zeigt, dass die Zahl der Angriffe auf die deutsche Wirtschaft weiter gestiegen ist. Grundlage der Studie ist eine repräsentative Befragung von Unternehmen sowie die Auswertung sicherheitsrelevanter Erkenntnisse von Behörden und Verbänden. Demnach waren 87 Prozent der Unternehmen in den vergangenen zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen. Der dadurch verursachte Schaden beläuft sich inzwischen auf 289,2 Milliarden Euro – ein Plus von rund 8 Prozent. Oftmals werden Sicherheitsmaßnahmen erst dann priorisiert, wenn ein spürbarer Schaden entstanden ist. Dabei ist IT-Security keine punktuelle Investition, sondern eine dauerhafte Verantwortung, die strategisch im Unternehmen verankert sein muss.
Relevanz: Wer muss sich mit GRC beschäftigen – und wer nicht?
Kleine Unternehmen (KMU) profitieren in vielen Fällen bereits von grundlegenden Sicherheitsmaßnahmen: klare IT-Richtlinien, gutes Passwort- und Identity-Management, Multi-Factor-Authentication (MFA) und effektive Schulungen für Mitarbeitende. Der deutsche Mittelstand sowie größere Unternehmen sehen sich hingegen mit wachsenden regulatorischen Anforderungen konfrontiert – etwa durch die DSGVO und die NIS2-Richtlinie – und operieren oft in hybriden IT-Landschaften. Hier wird strukturiertes Governance-, Risiko- und Compliance-Management zunehmend unverzichtbar.
Status Quo: Transformation dominiert die SAP-Agenda
Viele Unternehmen stehen aktuell vor einem grundlegenden Wandel ihrer IT-Systemlandschaften: der Migration von SAP ECC auf S/4HANA. Der Umstieg betrifft nicht nur die Technik, sondern zentrale Kernprozesse wie Finanzen, Logistik und Personalwesen. Studien und Marktanalysen zeigen, dass der Wechsel langsamer verläuft als erwartet: Viele Firmen bleiben noch bei ECC oder sind mitten im Migrationsprozess. Die Transformation ist komplex, kostenintensiv und bindet Ressourcen. Sicherheitsaspekte geraten dabei häufig in den Hintergrund – ein Risiko, da Angreifer gerade Übergangsphasen ausnutzen, in denen Systeme angepasst und Zugriffsrechte verteilt werden.
Access Control als Kern einer wehrfähigen SAP-Sicherheitsarchitektur
SAP Access Control bildet die zentrale Säule einer Compliance-orientierten SAP-Sicherheitsarchitektur. Die Lösung unterstützt Unternehmen dabei, Zugriffe transparent zu steuern, Risiken frühzeitig zu erkennen und regulatorische Anforderungen zuverlässig einzuhalten. Durch die Kombination mehrerer Kernfunktionen entsteht eine integrierte Plattform für effektives Berechtigungsmanagement.
Die Notfallzugriffsverwaltung (EAM) ermöglicht kontrollierte Firefighter-Zugriffe für kritische Situationen, die vollständig protokolliert und audittauglich sind. Die Zugriffsrisikoanalyse (ZRA) prüft automatisch Funktionstrennung und kritische Berechtigungen über SAP- und Non-SAP-Systeme hinweg und erkennt Risiken, bevor sie entstehen. Mit der Benutzerrollenverwaltung (BRM) lassen sich Rollen zentral, konsistent und revisionssicher pflegen, inklusive Dokumentation, Versionierung und Simulationsfunktionen. Die Zertifizierungsprüfung sorgt dafür, dass bestehende Zugriffe regelmäßig überprüft werden, ob sie noch notwendig und compliant sind, inklusive SoD-Checks und Prozess-Audits. Schließlich ermöglicht die Zugriffsanforderungsverwaltung (ARM) eine kontrollierte, workflowbasierte Vergabe Berechtigungen, inklusive integrierter Risikoanalyse und Dokumentation.
Durch das Zusammenspiel dieser Funktionen erhalten Unternehmen nicht nur Transparenz über alle Berechtigungen, sondern reduzieren gleichzeitig Risiken, vereinfachen Audits und schaffen eine langfristig stabile und sichere SAP-Systemlandschaft. SAP Access Control verknüpft so operative Sicherheit mit regulatorischer Compliance und bildet die Basis für eine moderne, widerstandsfähige IT-Architektur.
Wechselwirkung: Warum Prävention und Revision zusammengehören
Oftmals werden Zugriffssicherheit entweder präventiv („Risiken vermeiden“) oder reaktiv („wir prüfen später“) gedacht. Wirklich wirksam wird Governance jedoch erst durch das Zusammenspiel beider Ansätze. Genau hier setzt SAP Access Control an – mit zwei sich ergänzenden Kernprozessen:
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
1. Zugriffsrisikoanalyse (ZRA): Prävention Die ZRA prüft vor der Vergabe neuer Berechtigungen, ob daraus kritische Risiken oder SoD-Konflikte entstehen könnten – etwa wenn jemand sowohl Bestellungen auslösen als auch freigeben oder Rechnungen erstellen und bezahlen könnte. Sie wirkt wie ein Frühwarnsystem, das Fehler und Audit-Beanstandungen verhindert, bevor Nutzer aktiv werden.
2. Zertifizierungsprüfung: Revision Parallel dazu stellt die Zertifizierungsprüfung sicher, dass bestehende Berechtigungen weiterhin erforderlich und angemessen sind – besonders wichtig, weil Rollen nach Abteilungswechseln, Projekten oder organisatorischen Änderungen oft bestehen bleiben. So werden veraltete oder ungenutzte Zugriffe regelmäßig bereinigt.
Gemeinsam sorgen ZRA und Zertifizierungen für deutlich weniger SoD-Konflikte, saubere Audit-Trails und langfristig stabile Berechtigungsstrukturen. Sie sind keine Alternativen, sondern zwei Seiten derselben Sicherheitsstrategie.
Integrationsmöglichkeiten – der Weg zur vollständigen GRC-Landschaft
SAP Access Control ist häufig der Einstieg in eine strukturierte GRC-Umgebung. In Verbindung mit SAP Risk Management und SAP Process Control lassen sich Risiken, Kontrollen und Zugriffe zentral steuern und überwachen. Zugriffsrisiken werden in die übergeordnete Risikolandschaft integriert, während Geschäftsprozesse und Kontrollen automatisiert überwacht und revisionssicher dokumentiert werden. In der Praxis zeigt sich jedoch, dass insbesondere im Mittelstand oft bereits der Einsatz von SAP Access Control ausreicht, um Audit-Anforderungen zu erfüllen. Die Einführung weiterer GRC-Module ist dort in vielen Fällen eine strategische Entscheidung zur Erhöhung von Transparenz und Automatisierung.
Fazit
Während KMU oft bereits mit Basismaßnahmen wie klaren IT-Richtlinien und Awareness-Programmen ein solides Sicherheitsniveau erreichen, stehen mittelständische Unternehmen und Konzerne vor deutlich komplexeren Anforderungen. Mit dem Auslaufen von SAP ECC und der Fokussierung auf S/4HANA werden ab 2027 strukturelle Sicherheitslücken sichtbar. Spätestens dann wird eine auditierbare, systematische Zugriffskontrolle nicht mehr optional, sondern ein fester Bestandteil moderner Security- und Compliance-Architekturen.
SAP Access Control spielt darin eine zentrale Rolle: Es schafft Transparenz über Berechtigungen, unterstützt bei regulatorischen Vorgaben und lässt sich nahtlos in eine integrierte GRC-Landschaft einbetten. Unternehmen, die frühzeitig handeln, erhöhen nicht nur ihr Sicherheitsniveau, sondern vermeiden auch mögliche Strafen bei Prüfungen - während spätere Reaktionen oft teuer und risikoreicher sind.
Über die Autorin: Roxana Rahman ist IT-Security- und SAP-GRC-Spezialist mit Schwerpunkt auf Berechtigungen, Zugriffskontrolle, Compliance und hybriden Systemlandschaften bei der msg group. Sie berät Unternehmen bei der sicheren Gestaltung ihrer SAP-Architekturen und begleitet Transformationsprojekte von der Strategie bis zur Umsetzung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/a9/e3a92c703fdb1e6cc4dfbe4117dc6153/0122470970v1.jpeg "Der Microsoft Patchday April 2026 schließt 165 Sicherheitslücken, darunter die kritische Schwachstelle CVE-2026-33824 im IKE-Dienst, die unauthentifizierten Angreifern wurmartige Remote Code Execution über präparierte UDP-Pakete auf Port 500 und 4500 ermöglicht. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/58/1358c2ded23f2ab0d558a77f64d03040/0130515574v2.jpeg "Weil TeamPCP kurz zuvor mehrere großangelegte Supply‑Chain‑Angriffe durchgeführt hatte, wurde die Axios‑Kompromittierung zunächst fälschlich der Gruppe zugeschrieben. (Bild: © solom - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/76/3d/763d79293b04c72c30273fbc8b28cb3a/0130636515v2.jpeg "Quantencomputing ist eine Rechenmethode, die Quantenbits (Qubits) statt klassischer Bits nutzt, die durch Superposition und Verschränkung mehrere Zustände gleichzeitig einnehmen können. Damit können komplexe Probleme exponentiell schneller gelöst werden, als mit klassischen Computern. (Bild: phive2015 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/2b/a22b3af8c8e16e65b3a4bb7442569fb0/0130322683v1.jpeg "Sauber aufgeräumt: Das gehört zu den Gründen, warum die Kombination KI und Container recht erfolgreich ist. (Bild: © Yuliia - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ba/0f/ba0f5134efeb835362ae63865e6459cd/0130457235v2.jpeg "KI-Agenten agieren künftig wie digitale Mitarbeitende mit eigenen Identitäten und klar definierten Zugriffsrechten. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/b2/1bb200b389165b2357df29b879f86b73/0130536883v1.jpeg "privacyIDEA 3.13 vereinfacht das Rollout und erhöht die Sicherheit, indem es Passkeys während der Anmeldung mit Offline‑Verfügbarkeit erlaubt und Push‑Token für RADIUS durch Code‑Bestätigung stärkt. (Bild: NetKnights GmbH)")
:quality(80)/p7i.vogel.de/wcms/59/79/59797851d59d6c8b257d6c701077373a/0130477551v2.jpeg "SAP Access Control bietet unter anderem Notfallzugriffsverwaltung, Zugriffsrisikoanalyse und Zertifizierungsprüfung für strukturierte Berechtigungskontrolle in SAP-Landschaften. (Bild: © UD - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/e2/fce2aa6d9c7883d3e8b72999eb1d2711/0130120519v1.jpeg "Axians Katalog mit SAP-Add-ons umfasst 24 spezialisierte Lösungen. (Bild: Axians)")
:quality(80)/p7i.vogel.de/wcms/62/b7/62b73ef026d142356b893c09bb73bb71/0130515032v2.jpeg "Die Hackergruppe TeamPCP führte jüngst Supply‑Chain‑Angriffe auf Trivy und PyPI‑Pakete durch, um Zugangsdaten zu stehlen und Ransomware zu platzieren. (Bild: © Studenkova - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c4/f5/c4f5fc500292a788b4db164c36458267/0130475878v2.jpeg "Security Baselines für Windows Server 2025 umfassen unter anderem Authentifizierung, SMB-Härtung, Virtual Based Security und Defender. Umsetzung erfolgt über Gruppenrichtlinien und Security Compliance Toolkit. (Bild: © artchvit - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/9a/929aeb32c07212ea8843dba7dceb5be7/0130409906v2.jpeg "Mit der korrekten Konfiguration des Microsoft-365-Tenants steht und fällt der Unternehmensbetrieb. Menschliche Fehler, Insider-Bedrohungen und Tenant-Übernahmen gehören zu den größten Risiken. (Bild: © Santiago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/e0/5ce060d4d2f8c718ecc850759b1b7c4d/0126593157v1.jpeg "External Attack Surface Management (EASM) ist die Verwaltung und Absicherung der von außen zugänglichen digitalen Assets und externen Angriffsflächen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/e5/13e52ba754a65049c995146bac2f5426/0130048944v2.jpeg "Das US-Außenministerium hat sechs Männer sanktioniert, die zu CyberAv3ngers gehören. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/43/d2/43d2604538d6ae5a50d26cccc98cb9e6/0130112281v1.jpeg "IT-Governance ist ein wesentlicher Bestandteil der Unternehmensführung und bildet einen Ordnungsrahmen für die IT. (Bild: @indypendenz via Canva: Visual Suite for Everyone)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/a2/3f/a23f06b1e52cc3e10b5af823d7de13b0/0128405508v2.jpeg "SAP-Landschaften werden häufig angegriffen, weil die Systeme geschäftskritische Daten bündeln und technische sowie organisatorische Schwächen attraktive Angriffspunkte bieten. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/70/12/7012a2d773d5b6551d28fc4c51c754f2/0129998227v2.jpeg "Bereits bei Installation, Mandantenanlage oder Systemkopie liegen in SAP feste Konten und bekannte Zustände vor. Ohne gezielte Absicherung öffnen sie gefährliche Angriffspfade. (Bild: © Ronny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/bb/5bbb5a92cab6fedc0313098a0447e238/0125189276v2.jpeg "Der erste Teil dieser dreiteiligen Fachbeitragsserie zur Cybersicherheit für SAP-Systeme analysiert deren besonderen Herausforderungen, typische Angriffsszenarien sowie die häufigsten Sicherheitslücken. (Bild: © photon_photo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")