werth | SAP Security Inside

Wir haben in den letzten Wochen viel über technische Details gesprochen: Über SQL-Injections im ABAP-Code, über Wildcards in Cloud-Connectoren und über Berechtigungstraces. Doch am Ende des Tages steht der CISO oder der IT-Leiter vor einer ganz anderen Herausforderung: Er muss den Gesamtzustand der Sicherheit bewerten und Budgets oder Maßnahmen rechtfertigen.

Ein Vorstand interessiert sich selten für den Parameter rdisp/rfc_use_quotas. Er fragt: „Wie sicher sind wir? Erfüllen wir die Compliance-Vorgaben? Und wird es besser oder schlechter?“

Im Finale unserer Serie zeigen wir, wie der werthAUDITOR als Übersetzer fungiert – und aus komplexen technischen Daten entscheidungskritische Management-Informationen macht.

1. The Big Picture: Sicherheit messbar machen (KPIs)

Schluss mit dem Bauchgefühl. Das Management Dashboard des werthAUDITOR verdichtet Tausende von Einzelprüfergebnissen zu verständlichen Kennzahlen (KPIs).

Wie im Screenshot unten zu sehen, erhalten Sie einen „Average Security KPI“. Dieser Wert zeigt Ihnen auf einen Blick, wie „gesund“ Ihre SAP-Landschaft ist.

• Trend-Analyse: Die Verlaufskurven zeigen nicht nur den Ist-Zustand, sondern die Entwicklung. Haben die Maßnahmen des letzten Monats gegriffen? Oder sinkt das Sicherheitsniveau durch neue Projekte wieder ab?
• Hotspots: Grafiken wie „Threats per System“ zeigen sofort, welche Systeme die größten Sorgenkinder sind und wo dringender Handlungsbedarf besteht.

(Führung durch Daten: Das Dashboard zeigt den Sicherheits-Score, Bedrohungstrends und die Verteilung der Risiken auf einen Blick )

2. Audit-Readiness: Den Prüfer glücklich machen

Wenn der Wirtschaftsprüfer kommt, bricht oft Hektik aus. Screenshots werden gemacht, Excel-Listen händisch gepflegt. Mit dem werthAUDITOR generieren Sie den Audit-Report auf Knopfdruck.

Unsere Risk Summary kategorisiert alle gefundenen Schwachstellen automatisch nach Schweregrad (Critical, High, Medium, Low). Viel wichtiger noch: Wir mappen die Ergebnisse direkt auf gängige Compliance-Standards. Der Report zeigt schwarz auf weiß:

• Wie viele Anforderungen des DSAG Prüfleitfadens sind erfüllt?
• Wo verstoßen wir gegen den BSI IT-Grundschutz?
• Erfüllen wir die SAP Security Baseline?

Das spart nicht nur Tage an Vorbereitungszeit, sondern schafft Vertrauen durch Transparenz.

(Klartext für das Audit: Automatische Bewertung der Risiken und Abgleich gegen Compliance-Standards wie DSAG und BSI )

3. Priorisierung: Wichtiges zuerst

Nicht jedes Finding ist gleich kritisch. Eine fehlende Berechtigung im Entwicklungssystem ist anders zu bewerten als eine SQL-Injection im HR-System. Der werthAUDITOR hilft Ihnen bei der Priorisierung. Durch die visuelle Aufbereitung („Risk Heatmaps“ und Ampelsysteme) sehen Sie sofort, welche 5 Maßnahmen Sie heute ergreifen müssen, um das Risiko für das Unternehmen maximal zu senken.

Fazit der Serie: Eine Plattform, 360° Sicherheit

Wir haben unsere Reise bei den Berechtigungen begonnen, haben Schnittstellen visualisiert, Code gescannt, Logs überwacht und sind bis in die Cloud gegangen. Der rote Faden dabei: Der werthAUDITOR.

Anstatt ein Dutzend isolierter Tools zu betreiben, bietet Ihnen unsere Plattform den integrierten Ansatz:

1. Analysieren (Scan & Code)
2. Überwachen (Threat Detection & Logs)
3. Berichten (Dashboard & Audit Reports)

Sicherheit in SAP ist komplex, aber sie muss nicht kompliziert sein. Mit den richtigen Werkzeugen wird aus der „Blackbox SAP“ eine transparente Festung.

Möchten Sie Ihren eigenen Security KPI kennenlernen? Wir laden Sie herzlich ein, den werthAUDITOR in Ihrer Landschaft zu testen. Starten Sie mit einem Assessment und erhalten Sie Ihren ersten Management-Report von uns. Vielen Dank, dass Sie uns in dieser Serie begleitet haben!

Die SAP-Strategie ist klar: Die Zukunft ist hybrid oder Cloud-only. Mit der SAP Business Technology Platform (BTP) verlagern Unternehmen zunehmend kritische Prozesse, Apps und Integrationen in die Cloud. Doch während die On-Premise-Welt oft seit Jahren abgeschottet wird, ist die Cloud für viele SAP-Basis-Teams noch „Neuland“.

Das gefährliche Missverständnis: „Die Cloud ist doch per se sicher, darum kümmert sich SAP.“ Das stimmt nur für die Infrastruktur. Für die Konfiguration Ihrer Subaccounts, die Berechtigungen in der Cloud und vor allem die Verbindung zum On-Premise-System sind Sie verantwortlich.

In diesem Beitrag zeigen wir, wie der werthAUDITOR Licht in Ihre hybride Landschaft bringt und die „Brücke in die Cloud“ absichert.

1. Der Cloud Connector: Die Achillesferse

Der SAP Cloud Connector (SCC) ist das Bindeglied zwischen Ihrer geschützten On-Premise-Welt und der öffentlichen BTP. Er ist faktisch ein Tunnel durch Ihre Firewall. Ist dieser Tunnel falsch konfiguriert, kann ein Angreifer, der einen Cloud-Account kompromittiert, direkt auf Ihr internes ERP-System durchgreifen.

Der werthAUDITOR prüft:

• Härtung der Anbindung: Ist der Cloud Connector selbst sicher konfiguriert?
• Ressourcen-Zugriff: Welche internen Systeme und Funktionsbausteine (RFCs) sind für die Cloud freigegeben? Oft sind hier Wildcards (*) gesetzt, die Tür und Tor öffnen.
• Veraltete Versionen: Läuft der Connector auf einem aktuellen, sicheren Patch-Level?

2. Transparenz über BTP-Dienste und Flows

In der BTP verliert man schnell den Überblick. Wer nutzt welche Services? Welche Daten fließen wohin? Der werthAUDITOR inventarisiert Ihre Cloud-Landschaft genauso gründlich wie Ihr On-Premise-System. Wir analysieren:

• Integration Flows: Welche Schnittstellen-Prozesse laufen aktuell? Wir listen Endpunkte und Datenflüsse auf.
• Aktive Services & Apps: Welche BTP-Dienste sind aktiviert und bieten sie Angriffsfläche?.
• SubAccount-Härtung: Sind die Cloud-Accounts selbst nach Best-Practices abgesichert (Authentifizierung, Admins)?.

3. Alles in einem Bericht

Das Besondere am werthAUDITOR: Sie müssen nicht in drei verschiedenen Cloud-Cockpits und zwei On-Premise-Systemen suchen. Die Ergebnisse der BTP-Analyse fließen nahtlos in den zentralen Sicherheitsbericht ein.

Sie sehen „Hybrid Security“ auf einen Blick:

• Risiken im ABAP-Code (On-Prem).
• Offene RFC-Schnittstellen (Hybrid).
• Unsichere Cloud-Flows (BTP).

Fazit: Hybride Sicherheit aus einer Hand

Die SAP BTP bietet enorme Chancen, aber auch neue Risiken. Behandeln Sie Ihre Cloud-Projekte nicht als „Schatten-IT“. Mit dem werthAUDITOR integrieren Sie die BTP und den Cloud Connector vollautomatisch in Ihr Sicherheitskonzept – genau wie jedes andere SAP-System auch.

Ihr nächster Schritt: Wissen Sie, welche internen RFC-Bausteine Ihr Cloud Connector aktuell ins Internet freigibt? Wir zeigen es Ihnen in wenigen Minuten.

Sie vertrauen darauf, dass SAP seine Standardsoftware sicher entwickelt. Aber was ist mit den Millionen Zeilen Code, die Ihre eigenen Entwickler oder externe Dienstleister über die Jahre geschrieben haben?

In fast jedem SAP-System schlummern abertausende Z-Programme und Erweiterungen. Das Problem: ABAP-Entwickler werden für Funktionalität bezahlt, nicht für Sicherheit. Oft fehlt das Bewusstsein für Secure Coding. Das Ergebnis sind hausgemachte Einfallstore wie SQL-Injections, fehlende Berechtigungsprüfungen oder Backdoors, die selbst die beste Firewall umgehen.

In diesem Beitrag zeigen wir, wie der werthAUDITOR Ihren eigenentwickelten Code (Custom Code) durchleuchtet und Sicherheitslücken präzise aufzeigt – wie Sie im Screenshot sehen können.

1. Der unsichtbare Feind (Static Code Analysis)

Ein klassischer Virenscanner hilft bei ABAP nicht. Sie benötigen eine spezialisierte Analyse. Der werthAUDITOR scannt Ihren gesamten kundeneigenen Namensraum (Z* / Y*) auf typische Sicherheitsmuster.

Dabei geht es nicht um Syntaxfehler, sondern um handfeste Risiken:

• SQL-Injection: Unsichere Datenbankabfragen, über die Angreifer Daten manipulieren können.
• Backdoors: Hartcodierte User-Checks (z.B. IF sy-uname = 'DEVELOPER'), die als geheime Hintertüren dienen.
• OS Command Injection: Befehle, die direkt auf das Betriebssystem durchgreifen.

2. Präzision bis auf die Zeile (Finding Details)

Ein Scan-Ergebnis muss für Entwickler sofort verständlich sein. Pauschale Warnungen helfen niemandem. Der werthAUDITOR liefert daher – wie hier im Bild zu sehen – alle Details auf einen Blick:

• Die Fundstelle: Der Screenshot zeigt exakt die betroffene Code-Zeile und den Report-Namen. Sie sehen sofort den Kontext (z.B. ein dynamischer SELECT oder ein kritischer Funktionsaufruf), ohne erst im System suchen zu müssen.
• Die Bewertung: Der CVSS-Score (hier z.B. oben rechts im Bild) gibt Ihnen eine objektive Einschätzung der Gefährlichkeit. So können Sie priorisieren: Kritische Lücken zuerst!
• Die Lösung: Unter „Problemberichtigung“ liefert das Tool keine kryptischen Fehlercodes, sondern eine klare Handlungsanweisung. Oft wird direkt erklärt, wie der Code umgeschrieben werden muss oder welche SAP-Klasse stattdessen verwendet werden sollte.

3. Zero Footprint – Sicherheit ohne Ballast

Viele Code-Scanner erfordern aufwendige Installationen oder den Export des gesamten Quellcodes in externe Systeme. Der werthAUDITOR arbeitet nach dem Zero-Footprint-Ansatz. Die Analyse erfolgt ressourcenschonend über die RFC-Schnittstelle, ohne dass Sie zusätzliche Agenten auf Ihrem Produktions- oder Entwicklungssystem installieren müssen.

4. Integration in den Entwicklungsprozess

Am besten beheben Sie Fehler, noch bevor sie im Produktivsystem landen. Integrieren Sie den werthAUDITOR Scan in Ihre Transportwege. So etablieren Sie ein „Security Quality Gate“, das schlechten Code gar nicht erst durchlässt.

Fazit: Code-Sicherheit transparent gemacht

Ihr eigener Code ist oft die größte Unbekannte in Ihrer Sicherheitsgleichung. Mit der Custom ABAP Code Security des werthAUDITOR machen Sie diese „Blackbox“ transparent. Der Screenshot beweist: Sie erhalten keine abstrakten Daten, sondern eine klare Arbeitsanweisung für Ihre Entwickler.

Ihr nächster Schritt: Wissen Sie, ob in Ihren Z-Programmen versteckte DELETE-Befehle schlummern? Lassen Sie uns einen Scan über Ihren Custom Code laufen und die Ergebnisse gemeinsam analysieren.

Jeden zweiten Dienstag im Monat ist „Patch Day“. Die SAP veröffentlicht neue Security Notes, und für SAP-Basis-Administratoren beginnt das große Suchen: „Ist mein Kernel betroffen? Haben wir diesen Parameter schon gesetzt? Gilt dieser Hinweis überhaupt für unsere Version?“

Die Realität in vielen Unternehmen ist ernüchternd: Tausende Systemparameter und Patch-Level werden manuell oder mit selbstgebauten Skripten geprüft. Das ist nicht nur fehleranfällig, sondern bei der heutigen Schlagzahl an Sicherheitslücken schlichtweg nicht mehr leistbar. Oft bleiben Systeme monatelang ungepatcht, weil der Überblick fehlt oder die Priorisierung unklar ist.

In diesem Beitrag zeigen wir, wie Sie mit dem werthAUDITOR das Steuer übernehmen: Durch vollautomatisierte Configuration Validation und intelligentes Vulnerability Management.

1. Der automatisierte 360°-Check (Vulnerability Management)

Sicherheit ist kein statischer Zustand, sondern eine Momentaufnahme. Was heute sicher ist, kann morgen durch eine neu entdeckte Lücke (CVE) kritisch sein. Der werthAUDITOR prüft Ihre Systeme daher nicht punktuell, sondern kontinuierlich und ganzheitlich.

Unsere Security Engine scannt weit mehr als nur fehlende SAP-Hinweise. Wir prüfen den gesamten Stack:

• Patch-Level: Fehlen kritische Security Notes im ABAP-Stack, im Kernel oder in der Datenbank?
• Betriebssystem: Sind OS-Bibliotheken aktuell und gehärtet?
• Konfiguration: Sind Profilparameter (z.B. für Passwortrichtlinien oder Gateway-Sicherheit) korrekt gesetzt?

Das Ergebnis ist eine klare, priorisierte Risikoübersicht. Sie sehen sofort, wo der Schuh drückt – bewertet nach dem CVSS-Score (Common Vulnerability Scoring System), damit Sie wissen, was Sie zuerst fixen müssen.

(Alles auf einen Blick: Die Risikoübersicht zeigt fehlende Patches, kritische Berechtigungen und Konfigurationsfehler, sauber kategorisiert und bewertet)

2. Compliance auf Knopfdruck (Systemhärtung)

Neben fehlenden Updates sind Fehlkonfigurationen das größte Einfallstor. Doch wer kennt schon alle 2.000+ sicherheitsrelevanten SAP-Einstellungen auswendig?

Der werthAUDITOR bringt das Expertenwissen „Out of the Box“ mit. Wir prüfen Ihre Systeme automatisch gegen die wichtigsten Sicherheitsstandards:

• DSAG Prüfleitfaden
• BSI IT-Grundschutz
• SAP Security Baseline

Sie erhalten keinen abstrakten Report, sondern konkrete Handlungsempfehlungen. Wenn ein Parameter falsch gesetzt ist, sagt Ihnen das Tool nicht nur, dass es so ist, sondern auch, wie der korrekte Wert lauten muss und warum das wichtig ist.

3. Zero Footprint – Sicherheit ohne Ballast

Viele Security-Tools erfordern die Installation von Agenten auf jedem einzelnen SAP-Server. Das freut keinen Basis-Admin: Mehr Wartungsaufwand, potenzielle Performance-Probleme und Abhängigkeiten bei Upgrades.

Wir gehen einen anderen Weg. Der werthAUDITOR arbeitet nach dem „Zero Footprint“-Prinzip. Die Prüfung erfolgt von außen über Standard-Schnittstellen (RFC), ohne dass Sie Software auf Ihren produktiven SAP-Systemen installieren müssen. Das hält Ihre Systeme sauber und reduziert den administrativen Aufwand auf ein Minimum.

Fazit: Agieren statt Reagieren

Mit dem automatisierten Vulnerability Management des werthAUDITOR verwandeln Sie den monatlichen „Patch-Stress“ in einen geordneten Prozess. Sie wissen jederzeit, wie sicher Ihre Systeme sind, erfüllen Compliance-Vorgaben quasi nebenbei und können Auditoren jederzeit valide Berichte vorlegen.

Statt Listen zu pflegen, können Sie sich wieder darauf konzentrieren, Ihre SAP-Landschaft stabil und performant zu halten.

Ihr nächster Schritt: Sind Sie sicher, dass Ihr Gateway-Parameter gw/acl_mode korrekt gesetzt ist? Ein kurzer Scan gibt Ihnen Gewissheit. Sprechen Sie uns an!

Es ist das klassische Dilemma eines jeden SAP-Berechtigungsadministrators: Der Wirtschaftsprüfer fordert restriktive Berechtigungen (Need-to-Know-Prinzip), aber der Fachbereich fordert: „Es muss einfach laufen!“

Das Ergebnis in der Praxis ist oft ernüchternd: „Historisch gewachsene“ Rollen, User mit viel zu weiten Kompetenzen und die berühmte Angst vor Änderungen („Never touch a running system“). Denn wer Rechte entzieht, riskiert, dass kritische Geschäftsprozesse plötzlich stehenbleiben. Eine manuelle Bereinigung gleicht der Suche nach der Nadel im Heuhaufen und ist enorm zeitaufwendig.

In diesem Beitrag zeigen wir Ihnen, wie Sie mit dem werthAUDITOR diesen gordischen Knoten lösen – durch datenbasierte Role Minimization und proaktive Simulation.

Schritt 1: Messen statt Raten (Role Minimization)

Warum manuell erraten, was ein Sachbearbeiter im Einkauf wirklich tut, wenn das System es uns sagen kann? Der werthAUDITOR bietet hierfür die leistungsstarke Benutzertrace Analyse.

Anstatt Usern pauschal weitreichende Rechte zu geben, gehen Sie so vor:

1. Aufzeichnen: Sie aktivieren einen Trace für einen Referenzzeitraum (z.B. einen Monatsabschluss).
2. Analysieren: Der werthAUDITOR wertet die Trace-Daten aus. Das Dashboard zeigt Ihnen präzise, welche Berechtigungsobjekte, Feldwerte und Transaktionen tatsächlich erfolgreich genutzt wurden. Im Screenshot sehen Sie beispielsweise genau, dass der User das Objekt PLOG mit dem Infotyp 1001 und dem Subtyp B007 benötigt hat.
3. Generieren: Jetzt kommt der Clou. Statt die Rolle manuell in der PFCG zu bauen, nutzen Sie die Funktion „Rolle exportieren“. Der werthAUDITOR generiert einen Vorschlag für eine passgenaue Rolle, die exakt den genutzten Funktionen entspricht.

Das Ergebnis: Eine radikal entschlackte Rolle, die funktioniert – ohne das Risiko, zu viel wegzunehmen.

(Datenbasierte Entscheidung: Der werthAUDITOR zeigt genutzte Rechte und generiert daraus den Rollenvorschlag)

Schritt 2: Sicherheit vor dem Go-Live (Role Verification & Simulation)

Nachdem Sie eine Rolle entschlackt oder neu gebaut haben, stellt sich die nächste Frage: Habe ich versehentlich eine kritische Berechtigung (SoD-Konflikt) eingebaut? Oder reicht die neue Rolle für den Job aus?

Bevor Sie die Änderungen im Produktivsystem aktivieren, nutzen Sie die Berechtigungssimulation des werthAUDITOR.

• Simulation gegen Regelwerke: Prüfen Sie die geplante Rolle (oder den User) gegen gängige Sicherheitsstandards (DSAG, BSI) oder Ihre eigenen Compliance-Regeln.
• Risiko-Vorschau: Sie sehen sofort, ob die Änderung zu „Kritischen Berechtigungen“ (z.B. Debugging mit Speicheränderung oder direkter Tabellenpflege) führen würde.
• Transparenz: Die Simulation zeigt Ihnen nicht nur das „Ob“, sondern auch das „Warum“ – bis hinunter auf die Ebene der einzelnen Berechtigungsobjekte.

Fazit: Compliance ohne Kopfschmerzen

Mit der Kombination aus Role Minimization (Trace-Analyse) und Role Verification (Simulation) verwandeln Sie das Berechtigungsmanagement von einer angstgesteuerten Aufgabe in einen kontrollierten, sicheren Prozess.

Sie erfüllen die Anforderungen der Wirtschaftsprüfer (Least Privilege), ohne die Produktivität der Fachbereiche zu gefährden.

Ihr nächster Schritt: Möchten Sie wissen, wie viele überflüssige Berechtigungen in Ihren Rollen schlummern? Wir bieten Ihnen gerne eine Demo anhand Ihrer eigenen Daten an.

Hand aufs Herz: Wann haben Sie das letzte Mal proaktiv in das Security Audit Log (SM20) oder das Systemlog (SM21) Ihres SAP-Produktivsystems geschaut? Wahrscheinlich erst dann, als ein Fehler auftrat oder der Auditor im Haus war.

Das ist völlig normal, aber brandgefährlich. SAP-Logs sind im Standard unübersichtlich, auf einzelne Instanzen verteilt und schwer zu durchsuchen. Ein Angreifer weiß das. Er nutzt die Unübersichtlichkeit, um sich im „Rauschen“ der Millionen Log-Einträge zu verstecken. Und hat er erst einmal administrative Rechte erlangt, ist sein erster Schritt oft das Löschen der Spuren direkt im SAP-System.

In diesem Beitrag zeigen wir, wie Sie mit dem werthAUDITOR die Hoheit über Ihre Daten zurückgewinnen: Durch zentrales Log-Archiving und intelligente Threat Detection.

1. Raus aus dem Datensilo: Das manipulationssichere Log-Archiv

Die erste Verteidigungslinie ist Transparenz. Der werthAUDITOR zieht die sicherheitsrelevanten Logs (Security Audit Log, Systemlog, Gateway-Log, HTTP-Log) aus allen angeschlossenen SAP-Systemen ab und speichert sie in einer zentralen, modernen Datenbank (z.B. basierend auf Elastic/OpenSearch).

Das bringt Ihnen drei entscheidende Vorteile:

1. Manipulationssicherheit: Selbst wenn ein Angreifer das SAP-System kompromittiert und dort lokal Logs löscht („Covering Tracks“), sind die Beweise im werthAUDITOR-Archiv bereits sicher verwahrt.
2. Performance & Usability: Statt sich durch träge SAP-Transaktionen zu quälen, suchen Sie in Sekundenbruchteilen über alle Systeme hinweg. „Zeige mir alle Logins von User X auf allen Systemen in den letzten 30 Tagen“ – eine Abfrage, die im SAP Stunden dauert, ist hier ein Klick.
3. Single Point of Truth: Sie korrelieren Ereignisse über Systemgrenzen hinweg.

(Übersicht statt Textwüste: Der SAL/SLOG Viewer visualisiert Ereignisse und macht Anomalien sofort erkennbar)

2. Vom Rauschen zum Alarm: Intelligente Threat Detection

Logs zu haben ist gut, sie zu verstehen ist besser. Niemand kann Millionen Zeilen manuell lesen. Deshalb übernimmt das der werthAUDITOR für Sie.

Unsere Threat Detection Engine scannt den eingehenden Datenstrom in Echtzeit auf bekannte Angriffsmuster und kritische Ereignisse, wie zum Beispiel:

• Debugging im Produktivsystem (insbesondere mit Replace-Funktion).
• Verdächtige Download-Aktivitäten sensibler Daten.
• Zuweisung kritischer Profile wie SAP_ALL außerhalb genehmigter Prozesse.
• Starten von kritischen Reports oder Transaktionen durch Dialog-User.

3. Das Cockpit für Ihre Sicherheit (Management Dashboard)

Erkannte Bedrohungen landen nicht in einer Textdatei, sondern werden visuell aufbereitet. Das Management Dashboard gibt Ihnen jederzeit Auskunft über den Sicherheitsstatus Ihrer Landschaft.

Sie sehen sofort:

• Welche Systeme sind aktuell bedroht?
• Wie entwickeln sich die Sicherheitsvorfälle über die Zeit?
• Gibt es Häufungen bei bestimmten Angriffsmustern?

Dies ermöglicht eine schnelle Reaktion (Incident Response), bevor aus einem Sicherheitsvorfall ein Datenschutz-Desaster wird.

(Alles im Blick: Das Dashboard zeigt Bedrohungen, KPIs und den Sicherheitsstatus der gesamten Landschaft in Echtzeit)

Fazit: Werden Sie zum Jäger

Verlassen Sie sich nicht darauf, dass Ihre Firewall alles abhält. Innentäter oder kompromittierte Accounts agieren innerhalb des Perimeters. Mit dem Log-Archiv und der Threat Detection des werthAUDITOR machen Sie das Licht an. Sie sehen, was passiert – genau in dem Moment, in dem es passiert.

So schützen Sie Ihre Daten nicht nur vor Diebstahl, sondern sichern sich auch wertvolle Beweise für forensische Analysen.

Ihr nächster Schritt: Möchten Sie sehen, was in Ihren Logs wirklich steht? Lassen Sie uns den werthAUDITOR als „stille Alarmanlage“ testen.

Kennen Sie wirklich jede Verbindung in Ihrer SAP-Landschaft? Wissen Sie, welches Testsystem eine vertrauenswürdige RFC-Verbindung („Trusting“) in Ihre Produktion besitzt? Oder welche Cloud-Dienste (BTP) Daten aus Ihrem On-Premise-ERP ziehen?

In vielen Unternehmen gleicht die SAP-Architektur einem historisch gewachsenen Spinnennetz. Schnittstellen wurden für Projekte eingerichtet und nie wieder deaktiviert. Für Angreifer ist dieses undurchsichtige Netz ein Paradies: Haben sie ein schwach gesichertes Entwicklungssystem kompromittiert, nutzen sie vergessene RFC-Verbindungen für das sogenannte „Lateral Movement“, um sich unbemerkt bis ins Herz der Produktion vorzuarbeiten.

In diesem Beitrag zeigen wir, wie Sie mit dem werthAUDITOR dieses Netzwerk kartografieren und Risiken mittels detaillierter Reports sofort eliminieren.

Schritt 1: Das Unsichtbare sichtbar machen (Die Landschaftsanalyse)

Bevor man sichert, muss man verstehen. Der werthAUDITOR scannt Ihre gesamte Landschaft und visualisiert sie in einer interaktiven Topologie-Karte. Sie sehen auf einen Blick, wer mit wem spricht – über Systemgrenzen und Standorte hinweg. Doch die grafische Übersicht ist nur der erste Schritt.

Schritt 2: Hard Facts für Auditoren und Admins – Der Verbindungsbericht

Für die operative Bereinigung und das Audit benötigen Sie Details. Der werthAUDITOR exportiert die Analyseergebnisse in einen umfassenden Excel-Report, der als Arbeitsnachweis und Maßnahmenplan dient.

Welche kritischen Informationen ziehen wir aus den Rohdaten für Sie heraus? Ein Blick in den Report zeigt den enormen Mehrwert:

1. Inventarisierung & Gesundheitsstatus (Tab: Systems) Der Report liefert nicht nur eine Liste der Systeme, sondern bewertet deren Zustand. Sie sehen sofort den Patchstand des Kernels und des Betriebssystems. Veraltete Stände werden rot markiert. Das ist Ihre Basis für ein sauberes Asset Management.

2. Die RFC-Gefahrenanalyse (Tab: Destinations) Hier liegt oft das größte Risiko. Der Report listet nicht nur alle RFC-Verbindungen auf, sondern analysiert deren Qualität:

• Stored User: Wir identifizieren Verbindungen, in denen Passwörter fest hinterlegt sind – oft sogar von privilegierten Usern.
• Trusting-Beziehungen: Der Report filtert gezielt nach „TRUSTING“-Verbindungen. Diese sind besonders kritisch, da sie oft keinen erneuten Login erfordern. Ein Angreifer auf dem Quellsystem ist automatisch auch auf dem Zielsystem.
• Status-Check: Defekte Verbindungen, die nur „Datenmüll“ sind, werden zur Bereinigung vorgeschlagen.

3. Konkrete Bedrohungsliste (Tab: Bedrohungen) Der werthAUDITOR übersetzt technische Daten in Management-Risiken. Im Tab „Bedrohungen“ finden Sie priorisierte Findings wie:

• „Destinations mit privilegiertem stored User erkannt“: Ein Einfallstor für Privileged Escalation.
• „Standard-Anmeldeinformationen gefunden“: Vergessene Default-Passwörter, die jedem Angreifer bekannt sind.
• „Unverschlüsselte Destinations“: Wo fließen Daten im Klartext?

4. Moderne Schnittstellen & Cloud (Tabs: OData, BTP Integration) SAP ist längst nicht mehr nur RFC. Der Report deckt auch die moderne Welt ab. Wir listen alle aktiven OData-Services und ICF-Knoten auf, um die Angriffsfläche im Web zu bewerten. Zudem integrieren wir die SAP Business Technology Platform (BTP): Der Report zeigt Integration Flows und Endpoints. So erkennen Sie Schatten-IT auch in der Cloud.

Fazit: Von der Blackbox zur transparenten Festung

Mit diesem Report verwandeln Sie das diffuse Gefühl der Unsicherheit in eine abarbeitbare Checkliste. Sie können:

1. Veraltete und gefährliche RFC-Verbindungen kappen.
2. Passwörter aus Verbindungen entfernen.
3. Trust-Beziehungen auf das Nötigste reduzieren.
4. Cloud-Integrationen überwachen.

Machen Sie Ihre Schnittstellen zur kontrollierten Schleuse statt zum offenen Tor.

Ihr nächster Schritt: Wissen Sie, wie viele „Trusting“-Verbindungen in Ihrer Produktion enden? Lassen Sie uns gemeinsam einen Scan durchführen und den Report für Ihre Landschaft generieren.

SAP-Systeme bilden das Rückgrat vieler Unternehmen. Doch wer für deren Sicherheit verantwortlich ist, blickt oft auf einen Flickenteppich: Hier ein Tool für Code-Scans, dort manuelle Listen für Patch-Level, und für die Log-Analyse kämpft man sich mühsam durch die SAP-GUI.

Diese Fragmentierung kostet nicht nur Zeit, sie ist ein echtes Sicherheitsrisiko. Angriffe werden übersehen, weil der Gesamtüberblick fehlt. Mit dem werthAUDITOR verfolgen wir einen anderen Ansatz: Eine zentrale Plattform, die alle sicherheitsrelevanten Bereiche abdeckt – von der Konfiguration über den Code bis hin zur Echtzeit-Überwachung.

In unserer neuen Blog-Serie stellen wir Ihnen konkrete Use-Cases vor, wie Sie mit unserer Lösung typische Sicherheitsherausforderungen meistern. Zum Start geben wir Ihnen heute einen Überblick über die Leistungsfähigkeit der Plattform.

1. Zentralisierung statt Datensilos: Das moderne Log-Archiv

Hand aufs Herz: Analysieren Sie gerne Security Audit Logs (SM20) oder Systemlogs (SM21) direkt im SAP-System? Die SAP-eigenen Werkzeuge sind oft unübersichtlich und isoliert auf das jeweilige System beschränkt.

Der werthAUDITOR ändert das radikal. Er zieht die Logs aus allen angeschlossenen SAP-Systemen ab und zentralisiert sie in einem modernen Security Dashboard (z.B. basierend auf Elastic/OpenSearch).

Ihre Vorteile:

• Komfortable Analyse: Statt kryptischer Transaktionen nutzen Sie performante Suchfunktionen und Visualisierungen, um Anomalien sofort zu erkennen.
• Manipulationssicherheit: Ein Angreifer, der in Ihr SAP-System eindringt, versucht oft als erstes, seine Spuren zu verwischen, indem er Logs löscht. Da der werthAUDITOR die Logs bereits exportiert und archiviert hat, bleiben die Beweise sicher verwahrt – ein entscheidender Vorteil für die Forensik.
• Gesamtblick: Korrelieren Sie Ereignisse über Systemgrenzen hinweg, anstatt jedes System einzeln zu prüfen.

(Zentrale Log-Analyse im werthAUDITOR: Übersichtlicher und schneller als jede SAP-Transaktion)

2. Das Minimalprinzip umsetzen: Role Minimization leicht gemacht

Berechtigungen wachsen oft historisch. Ein Mitarbeiter wechselt die Abteilung, behält aber die alten Rechte. Das Resultat sind überberechtigte User („Toxic Combinations“). Eine manuelle Bereinigung ist ein Ritt auf der Rasierklinge: Entzieht man zu viel, steht der Fachbereich still.

Mit der Benutzertrace Analyse des werthAUDITOR automatisieren wir den Weg zum „Least Privilege“-Prinzip.

• Messen statt Raten: Wir zeichnen auf, welche Berechtigungen ein User im Alltag tatsächlich nutzt.
• Automatische Generierung: Auf Basis dieser Fakten erstellt der werthAUDITOR passgenaue Rollenvorschläge oder vergleicht den Ist-Zustand mit der Soll-Rolle.

So reduzieren Sie Angriffsflächen effektiv, ohne den laufenden Betrieb zu gefährden.

(Vom Trace zur Rolle: Automatische Ermittlung der tatsächlich benötigten Berechtigungen)

3. Transparenz in der Systemlandschaft

Wissen Sie ad-hoc, welches Entwicklungssystem eine vertrauenswürdige RFC-Verbindung in Ihr Produktionssystem hat? Veraltete Schnittstellen und unkontrollierte Trust-Beziehungen sind ideale Einfallstore für laterale Bewegungen von Angreifern.

Unsere Grafische Landschaftsanalyse visualisiert Ihre gesamte Topologie. Sie sehen sofort, wie Systeme vernetzt sind und wo kritische Kommunikationspfade verlaufen. Das macht unsichtbare Risiken sichtbar.

4. Basis-Härtung und Code Security

Sicherheit beginnt im Fundament. Der werthAUDITOR prüft Ihre Systeme automatisiert gegen gängige Standards wie den DSAG Prüfleitfaden, BSI IT-Grundschutz oder die SAP Security Baseline.

Doch wir schauen tiefer: Auch Ihr eigenentwickelter ABAP-Code (Z-Code) wird auf Sicherheitslücken wie SQL-Injections oder fehlende Berechtigungsprüfungen gescannt. Das Besondere dabei: Unsere Lösung arbeitet „Zero Footprint“ – es sind keine Agenten auf Ihren SAP-Systemen notwendig, was den Betrieb entlastet.

Ausblick: Unsere Use-Case Serie

Der werthAUDITOR ist mehr als nur ein Audit-Tool – er ist Ihre Schaltzentrale für SAP-Sicherheit. In den kommenden Wochen tauchen wir tiefer in die Praxis ein. Freuen Sie sich auf detaillierte Artikel zu diesen Themen:

• SAP ERP Config Validation: Automatisierte Prüfung tausender Parameter.
• Threat Detection: Angriffe in Echtzeit erkennen (OnPrem & Cloud).
• Vuln Management: Schwachstellen proaktiv managen.
• Role Verification: Rechteänderungen simulieren, bevor sie aktiv werden.
• BTP Security: Sicherheit in der SAP Business Technology Platform.
• Interfaces / RFC Security: Schnittstellen effektiv härten.

Machen Sie Schluss mit dem „Blindflug“ in Ihrer SAP-Sicherheit.

Sie wollen nicht auf den nächsten Artikel warten? Kontaktieren Sie uns für eine Live-Demo und sehen Sie selbst, wie der werthAUDITOR Ihre Landschaft absichert.

Zum heutigen SAP Security Patchday (9. Dezember 2025) wurden insgesamt 14 neue Sicherheitshinweise veröffentlicht. Darunter befinden sich drei „HotNews“-Hinweise mit kritischer Priorität (CVSS > 9.0), die sofortige Aufmerksamkeit erfordern.

Hier findet ihr eine Übersicht aller SAP Security Notes für Dezember 2025:

1. Score 9.9 (Hot News) Nummer: 3685270 [CVE-2025-42880] Code-Injection-Schwachstelle in SAP Solution Manager Link: https://me.sap.com/notes/3685270

Im SAP Solution Manager (Komponente ST 720) wurde eine kritische Code-Injection-Schwachstelle identifiziert. Ein authentifizierter Angreifer kann durch das Ausnutzen eines Remote-fähigen Funktionsbausteins (RFC) beliebigen Code auf dem System ausführen. Dies führt zu einer vollständigen Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems. Da der Solution Manager oft als zentrales Verwaltungswerkzeug dient, ist das Risiko hier besonders hoch.

2. Score 9.6 (Hot News) Nummer: 3683579 [CVE-2025-55754] Mehrere Schwachstellen in Apache Tomcat innerhalb der SAP Commerce Cloud Link: https://me.sap.com/notes/3683579

SAP Commerce Cloud verwendet eine Version von Apache Tomcat, die von mehreren Sicherheitslücken betroffen ist (darunter CVE-2025-55754 und CVE-2025-55752). Diese Schwachstellen ermöglichen es Angreifern, die Verfügbarkeit des Dienstes zu beeinträchtigen oder unautorisierten Zugriff zu erlangen. SAP stellt mit diesem Hinweis aktualisierte Versionen bereit, um die betroffenen Komponenten zu patchen.

3. Score 9.1 (Hot News) Nummer: 3685286 [CVE-2025-42928] Deserialisierungsschwachstelle in SAP jConnect (SDK für ASE) Link: https://me.sap.com/notes/3685286

Im SAP jConnect SDK für Adaptive Server Enterprise (ASE) existiert eine Deserialisierungsschwachstelle. Ein Angreifer könnte speziell präparierte Daten an die Anwendung senden, die beim Deserialisieren zur Ausführung von Schadcode oder zu einer Dienstunterbrechung führen. Betroffen sind die Versionen 16.0.4 und 16.1.

4. Score 8.2 (High Priority) Nummer: 3684682 [CVE-2025-42878] Offenlegung sensibler Daten in SAP Web Dispatcher und Internet Communication Manager (ICM) Link: https://me.sap.com/notes/3684682

Eine Schwachstelle im SAP Web Dispatcher und ICM ermöglicht es unter bestimmten Umständen, interne Test-Schnittstellen oder Diagnose-Informationen offenzulegen. Ein unauthentifizierter Angreifer könnte diese Informationen nutzen, um weitere Angriffe vorzubereiten oder sensitive Konfigurationsdetails einzusehen.

5. Score 7.9 (High Priority) Nummer: 3640185 [CVE-2025-42874] Denial-of-Service (DOS) in SAP NetWeaver (Remote-Service für Xcelsius) Link: https://me.sap.com/notes/3640185

Der Remote-Service für Xcelsius in SAP NetWeaver weist eine Schwachstelle bei der Eingabevalidierung auf. Ein Angreifer mit Netzwerkzugriff kann dies ausnutzen, um den Dienst zum Absturz zu bringen oder die Verarbeitung massiv zu stören (Denial of Service). Dies beeinträchtigt die Verfügbarkeit des Systems erheblich.

6. Score 7.5 (High Priority) Nummer: 3677544 [CVE-2025-42877] Speicherbeschädigungsschwachstelle in SAP Web Dispatcher, Internet Communication Manager und SAP Content Server Link: https://me.sap.com/notes/3677544

Aufgrund logischer Fehler in der Speicherverwaltung von Web Dispatcher, ICM und Content Server kann ein authentifizierter Benutzer eine Speicherbeschädigung (Memory Corruption) auslösen. Dies führt in der Regel zum Absturz der betroffenen Prozesse und somit zu einer hohen Beeinträchtigung der Verfügbarkeit.

7. Score 7.5 (High Priority) Nummer: 3650226 [CVE-2025-48976] Denial-of-Service (DoS) in SAP BusinessObjects Management Console Link: https://me.sap.com/notes/3650226

Eine unzureichende Ressourcenverwaltung in der SAP BusinessObjects Management Console erlaubt es einem nicht authentifizierten Angreifer, den Dienst durch Überlastung lahmzulegen. Dies verhindert, dass legitime Benutzer auf die Anwendung zugreifen können.

8. Score 7.1 (High Priority) Nummer: 3672151 [CVE-2025-42876] Fehlende Berechtigungsprüfung in SAP S/4HANA Cloud (Finanzwesen: Hauptbuch) Link: https://me.sap.com/notes/3672151

Im Finanzwesen (Hauptbuch) der SAP S/4HANA Cloud fehlt eine spezifische Berechtigungsprüfung. Dadurch kann ein authentifizierter Angreifer mit eigentlich geringen Rechten buchungskreisübergreifend Belege lesen, ändern oder buchen. Dies stellt ein ernsthaftes Risiko für die Vertraulichkeit und Integrität von Finanzdaten dar.

9. Score 6.6 (Medium Priority) Nummer: 3591163 [CVE-2025-42875] Fehlende Authentifizierungsprüfung in SAP Internet Communication Framework Link: https://me.sap.com/notes/3591163

Das SAP Internet Communication Framework (ICF) führt für bestimmte Services keine korrekte Authentifizierungsprüfung durch. Ein Angreifer mit hohen Privilegien könnte dies nutzen, um eine Benutzeridentität wiederzuverwenden. Dies verstößt gegen sichere Authentifizierungsstandards.

10. Score 6.5 (Medium Priority) Nummer: 3662324 [CVE-2025-42904] Offenlegung von Informationen in Application Server ABAP Link: https://me.sap.com/notes/3662324

Durch eine fehlerhafte Maskierung in ABAP-Listen kann ein authentifizierter Angreifer im Application Server ABAP sensible Daten einsehen, die eigentlich maskiert sein sollten. Dies führt zu einer unautorisierten Offenlegung von Informationen.

11. Score 6.1 (Medium Priority) Nummer: 3662622 [CVE-2025-42872] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Enterprise Portal Link: https://me.sap.com/notes/3662622

Im SAP NetWeaver Enterprise Portal wurde eine Reflected XSS-Schwachstelle entdeckt. Da URL-Parameter nicht ausreichend bereinigt werden, kann Schadcode im Browser des Opfers ausgeführt werden, was potenziell zum Diebstahl von Sitzungsdaten führt.

12. Score 5.9 (Medium Priority) Nummer: 3676970 [CVE-2025-42873] Denial of Service (DoS) in SAPUI5 (Markdown-it-Komponente) Link: https://me.sap.com/notes/3676970

SAPUI5 verwendet die Drittanbieter-Bibliothek „markdown-it“, die in älteren Versionen anfällig für eine Endlosschleife bei der Verarbeitung fehlerhafter Eingaben ist. Dies kann zu einer hohen CPU-Last führen und die Anwendung blockieren.

13. Score 5.5 (Medium Priority) Nummer: 3659117 [CVE-2025-42891] Fehlende Berechtigungsprüfung in SAP Enterprise Search für ABAP Link: https://me.sap.com/notes/3659117

In SAP Enterprise Search für ABAP können authentifizierte Benutzer aufgrund einer fehlenden Berechtigungsprüfung Datenbanktabelleninhalte lesen und exportieren, auf die sie keinen Zugriff haben sollten.

14. Score 5.4 (Medium Priority) Nummer: 3651390 [CVE-2025-42896] Server-Side Request Forgery (SSRF) in SAP BusinessObjects Business Intelligence Plattform Link: https://me.sap.com/notes/3651390

Ein nicht authentifizierter Angreifer kann die SAP BusinessObjects BI-Plattform dazu bringen, bösartige URLs abzurufen (SSRF). Dies geschieht über manipulierte Parameter auf der Anmeldeseite und kann zur Offenlegung interner Netzwerkinformationen führen.

---

Wir empfehlen euch dringend, insbesondere die HotNews und High Priority Patches so schnell wie möglich zu installieren, um eure SAP-Landschaft abzusichern.