Eine der wichtigsten Anforderung für eine organisationsübergreifende und risiko-orientierte Anomalie- & Angriffserkennung ist die Korrelation von Informationen aus möglichst allen relevanten Datenquellen innerhalb der Organisation. Da die Anbindung von Daten aus SAP-Systemlandschaften einige Herausforderungen aufwirft, wird dies häufig organisatorisch und/oder technisch abgegrenzt behandelt. Bezogen auf das Ziel des „Umfassenden Lagebilds“ ein No-Go.
Unternehmen sollten in der Lage sein, Daten aus SAP in einem SIEM-Tool bzw. -Service zu integrieren, um die Primary Assets des Unternehmens bestmöglich abzusichern.
(Bild: pinkeyes - stock.adobe.com)
Ein Grund dafür ist, dass die durch SAP-Systeme verarbeiteten Daten, die Primary Assets der Organisation (businessrelevante Prozesse und Aktivitäten im Kontext der ISO/IEC 27001, umgangssprachlich „Kronjuwelen“) direkt unterstützen und die Erfüllung der individuellen Ziele der Organisation damit in direkter Abhängigkeit stehen. Aus dieser Perspektive betrachtet gilt es, die Daten aus der SAP-Systemlandschaft mit denen weiterer Datenquellen zu korrelieren. Ziel muss es daher sein, SAP-Systeme bei der Anbindung von Datenquellen an ein SIEM-Tool bzw. -Service nicht außen vor zu lassen, sondern risiko-orientiert und mit angemessener Priorität aktiv zu verfolgen. SAP stellt zwar entsprechende Tools & Optionen für die Erhebung dieser Informationen bereit. Allerdings bieten diese nicht die Funktionen und Leistungsmerkmale in Bezug auf die Korrelation mit additiven Datenquellen/Datentypen, die z. B. moderne SIEM-Tools bieten. Umgekehrt weisen SIEM-Tools in deren Standard-Lieferumfang keine bis wenige Schnittstellen zu SAP auf.
Mögliche Risiken von Individualentwicklungen
Um dem Ziel der ganzheitlichen Betrachtung näher zu kommen, ergreifen viele System- und Serviceverantwortliche individuelle, organisationsspezifische Maßnahmen. Diese bestehen oft aus manuellen oder nur teilweise automatisierten Schritten, gepaart mit daraus resultierenden Risiken, z. B. Fehler bei Kopiervorgängen und Medienbrüchen bzw. daraus resultierender Fehl- oder Falschinformation. Dieser indifferente Zustand stellt keine akzeptable Basis für eine qualitativ hochwertige Detektion auf Basis hochwertiger, stets reproduzierbarer Basisinformationen bereit. Vielmehr werden die möglichen Risiken der Generierung von False-Positiv und – viel gefährlicher – False-Negatives signifikant erhöht. Alternativ nutzen Service- und Systemverantwortliche häufig auch die Möglichkeit, die unqualifizierten Rohdaten der zahlreichen Standard-Logfiles, die SAP-Systeme bereitstellen, als Datenquelle in SIEM-Tools und -Services zu integrieren. Da letztgenannte meist nach Datenmenge bzw. Events pro Zeiteinheit lizenziert werden, kann dies zu höheren Kosten führen. Ungeachtet dessen ist das SIEM-Tool-Engineering gefordert, entsprechende Use Cases, Dashboards usw. von Grund auf zu planen, umzusetzen und deren Qualität fortlaufend sicherzustellen.
Identify & Protect
EPI-USE bietet mit Cenoti ein Produkt mit Support an, das SAP-seitig Informationen auf Basis eines etablierten Datenmodells je nach Kategorie per Field Set Definition tagged (PII, PCI, HIPAA, …). Dieses Datenmodell kann individuell für jede Organisation bzw. für jedes angebundene System spezifisch angepasst werden. Auf diese Weise ist es einerseits möglich, die Informationen kritischer Businessprozesse mit den Ergebnissen individueller Risk Assessements, nachgelagerter Managementprozesse (ISMS) und bereits ergriffener Maßnahmen (z. B. Patchmanagement, Datenklassifizierung, Incident Response Management) individuell und zielgerichtet zu erfassen. Andererseits erlaubt dieses Vorgehen, neben der zuvor beschriebenen Individualisierung, die Menge an Daten aktiv zu managen, die an ein SIEM-System übertragen werden (Stichwort Kostenreduzierung). Cenoti liefert dazu produktseitig ein JSON-Interface für den transportverschlüsselten Export der Daten (optional auch pseudonymisiert oder anonymisiert), z. B. an den HTTP Event Collector von Splunk.
Detect
Nach Abschluss der Installation/Konfiguration der Cenoti for Splunk App können die SAP-seitig erfassten, gesammelten und getaggten Informationen in Splunk mit den Möglichkeiten und Leistungsmerkmalen eines modernen SIEM-Systems analysiert und weiterverarbeitet werden. Dafür stellt die App produktseitig Searches und Dashboards als Basis bzw. für mögliche Anpassungen oder Erweiterungen bereit. Zusätzlich werden, bezogen auf die Detektion, Standard Use Cases geliefert, die isoliert auf die Datenquelle SAP angewendet werden können. Diese beinhalten beispielsweise die Detektion anomalen Benutzerverhaltens, wie z. B. die Anzahl fehlerhafter Anmeldungen bzw. ermöglicht diese die zeitnahe Reaktion auf den Abfluss möglicherweise sensibler Daten.
Weitere Anwendungsfälle mit Cenoti als (singuläre) Datenquelle ist die Detektion angewendeter toxischer Berechtigungen, der Zugriff auf als PCI-relevant kategorisierte (getaggte) Daten, Informationen zum IDoc-Status, zu Transaction-Code-Errors sowie den CCMS Monitor Tree Elements. Bezogen auf das in der Einleitung genannte, „umfassende Lagebild“, liefern die Daten aus Cenoti durch Korrelation mit den Informationen weiterer (ggf. am bestehenden SIEM-Tool bereits angeschlossener) Datenquellen, Feeds und Enrichments (z. B. Asset-Informationen, PCAP, Threat Intel, Informationen aktiver/passiver Discovery-Tools, Logs, …) die eigentlichen Mehrwerte. Sie ermöglichen ein übergreifendes Use Cases auf der Basis möglichst valider und qualitativ hochwertiger Daten aus multiplen Datenquellen. Generell ist zu erwähnen, dass die durch Cenoti bereitgestellten Daten grundsätzlich auch kompatibel für die Verarbeitung in der Splunk ES (Enterprise Security) App sind, deren Installation aber nicht Systemvoraussetzung ist. Beim Use Case Design, der Konfiguration von Correlation searches, Defintion individueller Risk scores sowie der Beschreibung/Verlinkung entsprechender Maßnahmen (Playbooks, Runbooks) in Splunk ES kann auf existierende Vorgehensweisen und Prozessen zurückgegriffen werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Respond & Recover
Die bisher beschriebenen Maßnahmen (z. B. Taggen in SAP, Enrichment, Risk score) unterstützen die Organisation dabei, vorliegende Incidents auf Basis der beispielsweise im Incident Management Plan fixierten Inhalte, zu klassifizieren sowie Maßnahmen direkt abzuleiten und zuzuweisen. Bei der möglicherweise notwendigen forensischen Untersuchung im Incident Response Prozess kann der Analyst im Security Operation Center direkt auf weitere produktseitig bereitgestellte Features (z. B. eine User Activity Summary) zurückgreifen, ohne die zugrundeliegenden Informationen aus verschiedenen Quellen ggf. manuell extrahieren zu müssen. Werden im „Lessons learned“ eines Incidents im Kontext SAP, mögliche Optimierungspotentiale in der Eventerzeugung und Vorqualifizierung in Cenoti oder der Verarbeitung in Splunk lokalisiert, bieten beiden Werkzeugen dahingehend flexible Anpassungsmöglichkeiten.
Fazit
Die Kombination aus Cenoti und Splunk bietet eine erprobte Option, Daten aus SAP in einem SIEM-Tool bzw. -Service zu integrieren, das Ziel „Umfassendes Lagebild“ in Bezug auf Informationssicherheit zu erreichen und so die Organisation bei der Erfüllung der Informationssicherheitsziele durch Absicherung der Primary Assets („Kronjuwelen“) bestmöglich zu unterstützen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d0/0d/d00d9817e95b958c4e9a5de3827f97dc/0128941867v2.jpeg "Die StackWarp-Sicherheitslücke in AMD-Prozessoren ermöglicht Angreifern, durch Manipulation des Stack-Pointers Sicherheitsmechanismen zu umgehen und auf vertrauliche Daten in virtuellen Maschinen zuzugreifen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/f5/20/f5202ba457b5b1acd41cf9dcf7fee081/0128966225v1.jpeg "SASE-Plattformen verarbeiten Sicherheitsfunktionen direkt im Datenstrom. Leistungsengpässe wirken sich sofort auf Anwendungen und Richtliniendurchsetzung aus. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/a4/2da4b696d03840fc37a3f5e234c9835e/0128976696v2.jpeg "User and Entity Behavior Analytics erkennt Angriffe, bei denen Kriminell legitime Nutzerkonten missbrauchen, in Echtzeit, indem es Verhalten analysiert und relevante Ereignisse kontextuell korreliert, um interne Bedrohungen effizient zu identifizieren. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/d5/07d5de7cfa895e90d88fc9023a0d7050/0128728878v1.jpeg "Zahlen, Vergütung, Transparenz: Der Gehaltsreport zeigt, wie unterschiedlich Einkommen in Deutschland ausfallen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/e1/45/e1456e639977c33af9d802ea88e22c1f/0127747819v2.jpeg "Datengetriebenes Risikomanagement: Durch die Auswertung und Verknüpfung von Sicherheits- und Prozessdaten erhalten Finanzinstitute ein klares Lagebild und können Risiken frühzeitig erkennen. (Bild: © SKIMP Art - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/f8/a8f839b6d6fc54f14228abb8e4984e8c/0123871625v2.jpeg "Ein SIEM ermöglicht einen umfassenden Einblick auf die Cybersicherheitslage eines Unternehmens und ermöglicht eine schnelle Reaktion auf Bedrohungen. (Bild: kjekol - stock.adobe.com)")