Das Wartungsende für SAP ECC und ältere SAP-NetWeaver-Versionen setzt viele Security-Teams unter Zeitdruck. Auch SAP Governance, Risk and Compliance steht damit vor Modernisierung, Hardening und klaren Berechtigungsprozessen, bevor Übergangsrisiken eskalieren.
Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen.
„GRC“ ist es ein unmittelbares SAP-Cybersecurity-Thema, denn es verwaltet Sicherheitsobjekte in den verbundenen SAP-Systemen und wird damit zum lohnenden Angriffsziel. Wie kann SAP GRC also cyberresilient gemacht werden?
SAP GRC ist sowohl ein Produkt (aktuelle Version: 12) als auch eine sich weiterentwickelnde „Markenfamilie“ von Produkten. Als Einzelprodukt wird es auf einem einzigen SAP-System implementiert und fungiert als Managementsystem für Governance, Risk und Compliance anderer SAP-Systeme. Darüber hinaus entwickelt SAP die Marke GRC weiter, um neue Anwendungen einzubeziehen und sie in das SAP-Marktsegment für Cybersicherheit zu integrieren.
Als Produkt besteht SAP GRC aus den Komponenten „SAP Access Control“, „SAP Process Control“ und „SAP Risk Management“. Access Control verwaltet und überwacht den Zugriff auf sensible Daten und Systeme. Es stellt sicher, dass jeder Beschäftigte entsprechend seiner Rolle über die richtigen Zugriffsrechte verfügt. Dies minimiert das Risiko von Betrug, Fehlern und Verstößen gegen gesetzliche Vorschriften. Einzelne Module sind „Access Risk Analysis“ (ARA), „Emergency Access Management“ (EAM), „Business Role Management“ (BRM), „Access Request Management“ (ARM) und „User Access Review“ (UAR).
Gefährdungspotenzial beim Emergency Access Management
Process Control unterstützt bei der Verwaltung und Automatisierung interner Kontrollen, Risikobewertungen und Compliance-Prozessen. In seiner Kernfunktion stellt es sicher, dass die Geschäftsabläufe mit den regulatorischen und organisatorischen Standards übereinstimmen. Risk Management identifiziert, bewertet und mindert verschiedene operative, finanzielle und Compliance-Risiken. Dafür beinhaltet es Tools für die Echtzeitüberwachung, -analyse und -berichterstattung von Risiken in verschiedenen Geschäftsbereichen und unterstützt eine einheitliche Sicht auf das Risikomanagement zusammen mit anderen GRC-Modulen wie Prozesssteuerung, Zugriffskontrolle und Audit-Management. Diese Integration ermöglicht es Unternehmen, ihre Strategien zur Risikominderung an umfassenderen Compliance- und Geschäftszielen auszurichten.
Blickt man beispielsweise auf die Funktionen von GRC Access Control – Emergency Access Management (EAM), muss die Frage gestellt werden: Ist die IT-Abteilung wirklich mit dem Prozess zur Aktivierung des „Firefighter Access” im S/4HANA-Produktionssystem vertraut? Es handelt sich hier um eine einzigartige Choreografie zwischen zwei SAP-Systemen. S/4HANA und GRC interagieren so, dass ein System dem anderen System voll und ganz vertraut, dass es „zu seiner Rettung kommt”. Eines der beiden schickt Feuerwehrleute: Personen, denen vorübergehend Zugriff gewährt wird, um eine bestimmte Notfallfunktion oder einen bestimmten Geschäftsprozess auszuführen. Kann dieser Zugriff missbraucht werden? Durchaus, wenn man sich zurücklehnt und normale Geschäftsprozesse über eine Feuerwehr-Vereinbarung durchführt, anstatt sich die Zeit zu nehmen, die erforderliche Rollen-/Berechtigungs-/Benutzerarchitektur ordnungsgemäß zu konfigurieren.
EAM/FireFighter-Prozess muss durchkonzipiert sein
Ein gut konzipierter EAM/FireFighter-Prozess ist entscheidend für eine angemessene Governance und das Implementieren und Durchsetzen von Sicherheitsvorkehrungen im Falle eines erforderlichen erweiterten Zugriffs. Dazu gehört das Prinzip der begrenzten Nutzung und deren Erweiterung nur unter bestimmten Kriterien. Darüber hinaus sollten Rollen/IDs für erweiterten Zugriff unter Berücksichtigung des Least-Privilege-Prinzips konzipiert werden. Oft gehen Unternehmen indes den „einfachen“ Weg und erstellen Rollen mit viel zu weitreichendem Zugriff auf eine „FireFighter-ID“. Risiko dabei: Personen erhalten Zugriff auf extrem kritische und mächtige Transaktionen, die sie oft gar verstehen. Das führt zu extrem umfangreichen Protokollen, die es den Prüfern erschweren, die während einer FireFighter-Sitzung durchgeführten Aktivitäten angemessen zu überwachen.
Warum SAP GRC schützen? Auch wenn es ein Tool ist, das zur Sicherheit von SAP-Systemen beiträgt, läuft es doch selbst auf einem eigenen SAP („NetWeaver“-Server). Genau darin besteht seine Anfälligkeit. Wie jedes andere NetWeaver-System muss es Schwachstellen beheben, Konfigurationen überprüfen und SAP-Sicherheitshinweise anwenden. Werden diese standardmäßigen Maßnahmen zur Systemhärtung nicht durchgeführt, bleibt der SAP GRC-Server anfällig.
Bei seiner Kompromittierung sind damit folgende Komponenten gefährdet: die SAP-Systeme, die über Schnittstellen mit GRC verbunden sind, die SAP-Sicherheitsobjekte (Benutzer und Rollen), die von ihm verwaltet und administriert werden, sowie wichtige Governance-Prozesse, auf die sich interne Kontrollen stützen, um die Audit-Anforderungen zu erfüllen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
In der Diskussion über Umfang und Planung von SAP-Cybersicherheit darf SAP GRC nicht vernachlässigt werden. Komponenten der Lösung wie „AC EAM“ haben Live-Zugriff und Berechtigungen zur Verwaltung von Benutzern in anderen Systemen. GRC sammelt und verwaltet überdies sensible Informationen über die Benutzer und Rollen in anderen SAP-Servern innerhalb der gesamten SAP-Unternehmensarchitektur. Es benötigt daher eine effiziente Verwaltung des monatlichen Aktualisierungszyklus der SAP-Sicherheitshinweise.
Die größten Cyberrisiken für die Lösung bestehen durch sogenannte “Lateral Movements” in andere Systeme über Schnittstellen und darin, dass GRC nun einmal wie ein Inventurverzeichnis der meisten SAP-Rollen und -Profile im Unternehmen ist. Wie kann man sich vor diesen Risiken schützen? Am besten, indem man den Kern – SAP NetWeaver AS ABAP – mit einer Scan- und Überwachungslösung für Split-Stack-Umgebungen eines auf SAP-Security spezialisierten Herstellers permanent kontrolliert.
Über den Autor: Holger Hügel istProduct Director bei SecurityBridge.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/85/b5/85b5c69c5a6e6e5762a0c7c269261a43/0127916883v1.jpeg "Unternehmen haben ein Interesse daran, Angriffe zu stoppen, bevor sie passieren. Schließlich haben wir für böse Überraschungen keine Zeit. (Bild: © Dece Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/a2/3f/a23f06b1e52cc3e10b5af823d7de13b0/0128405508v2.jpeg "SAP-Landschaften werden häufig angegriffen, weil die Systeme geschäftskritische Daten bündeln und technische sowie organisatorische Schwächen attraktive Angriffspunkte bieten. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5b/bb/5bbb5a92cab6fedc0313098a0447e238/0125189276v2.jpeg "Der erste Teil dieser dreiteiligen Fachbeitragsserie zur Cybersicherheit für SAP-Systeme analysiert deren besonderen Herausforderungen, typische Angriffsszenarien sowie die häufigsten Sicherheitslücken. (Bild: © photon_photo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/fa/4dfabd55dd633cbeb9ef7707b9c3aac5/0125110410v2.jpeg "Sind die Authorisierungs- und Berechtigungsüberprüfungen in Software fehlerhaft, können sich Cyberangreifer im Netzwerk einnisten und sensible Daten einsehen und stehlen. (Bild: Thapana_Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
![Enterprise Risk Management bringt Balance in komplexe Unternehmensrisiken – moderne Frameworks und Softwarelösungen helfen CISOs und Geschäftsführern, strategische Entscheidungen risikobewusst zu treffen. (Bild: [CherriesJD] via Getty Images.)](https://cdn1.vogel.de/majDpN_ikXYuiTXkKKV9OrUiq44=/392x392/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/66/f5/66f5e4f3591d5f7a46b7f50a360f1750/0125112978v1.jpeg "Enterprise Risk Management bringt Balance in komplexe Unternehmensrisiken – moderne Frameworks und Softwarelösungen helfen CISOs und Geschäftsführern, strategische Entscheidungen risikobewusst zu treffen. (Bild: [CherriesJD] via Getty Images.)")