Monat: Januar 2026

Wir haben in den letzten Wochen viel über technische Details gesprochen: Über SQL-Injections im ABAP-Code, über Wildcards in Cloud-Connectoren und über Berechtigungstraces. Doch am Ende des Tages steht der CISO oder der IT-Leiter vor einer ganz anderen Herausforderung: Er muss den Gesamtzustand der Sicherheit bewerten und Budgets oder Maßnahmen rechtfertigen.

Ein Vorstand interessiert sich selten für den Parameter rdisp/rfc_use_quotas. Er fragt: „Wie sicher sind wir? Erfüllen wir die Compliance-Vorgaben? Und wird es besser oder schlechter?“

Im Finale unserer Serie zeigen wir, wie der werthAUDITOR als Übersetzer fungiert – und aus komplexen technischen Daten entscheidungskritische Management-Informationen macht.

1. The Big Picture: Sicherheit messbar machen (KPIs)

Schluss mit dem Bauchgefühl. Das Management Dashboard des werthAUDITOR verdichtet Tausende von Einzelprüfergebnissen zu verständlichen Kennzahlen (KPIs).

Wie im Screenshot unten zu sehen, erhalten Sie einen „Average Security KPI“. Dieser Wert zeigt Ihnen auf einen Blick, wie „gesund“ Ihre SAP-Landschaft ist.

• Trend-Analyse: Die Verlaufskurven zeigen nicht nur den Ist-Zustand, sondern die Entwicklung. Haben die Maßnahmen des letzten Monats gegriffen? Oder sinkt das Sicherheitsniveau durch neue Projekte wieder ab?
• Hotspots: Grafiken wie „Threats per System“ zeigen sofort, welche Systeme die größten Sorgenkinder sind und wo dringender Handlungsbedarf besteht.

(Führung durch Daten: Das Dashboard zeigt den Sicherheits-Score, Bedrohungstrends und die Verteilung der Risiken auf einen Blick )

2. Audit-Readiness: Den Prüfer glücklich machen

Wenn der Wirtschaftsprüfer kommt, bricht oft Hektik aus. Screenshots werden gemacht, Excel-Listen händisch gepflegt. Mit dem werthAUDITOR generieren Sie den Audit-Report auf Knopfdruck.

Unsere Risk Summary kategorisiert alle gefundenen Schwachstellen automatisch nach Schweregrad (Critical, High, Medium, Low). Viel wichtiger noch: Wir mappen die Ergebnisse direkt auf gängige Compliance-Standards. Der Report zeigt schwarz auf weiß:

• Wie viele Anforderungen des DSAG Prüfleitfadens sind erfüllt?
• Wo verstoßen wir gegen den BSI IT-Grundschutz?
• Erfüllen wir die SAP Security Baseline?

Das spart nicht nur Tage an Vorbereitungszeit, sondern schafft Vertrauen durch Transparenz.

(Klartext für das Audit: Automatische Bewertung der Risiken und Abgleich gegen Compliance-Standards wie DSAG und BSI )

3. Priorisierung: Wichtiges zuerst

Nicht jedes Finding ist gleich kritisch. Eine fehlende Berechtigung im Entwicklungssystem ist anders zu bewerten als eine SQL-Injection im HR-System. Der werthAUDITOR hilft Ihnen bei der Priorisierung. Durch die visuelle Aufbereitung („Risk Heatmaps“ und Ampelsysteme) sehen Sie sofort, welche 5 Maßnahmen Sie heute ergreifen müssen, um das Risiko für das Unternehmen maximal zu senken.

Fazit der Serie: Eine Plattform, 360° Sicherheit

Wir haben unsere Reise bei den Berechtigungen begonnen, haben Schnittstellen visualisiert, Code gescannt, Logs überwacht und sind bis in die Cloud gegangen. Der rote Faden dabei: Der werthAUDITOR.

Anstatt ein Dutzend isolierter Tools zu betreiben, bietet Ihnen unsere Plattform den integrierten Ansatz:

1. Analysieren (Scan & Code)
2. Überwachen (Threat Detection & Logs)
3. Berichten (Dashboard & Audit Reports)

Sicherheit in SAP ist komplex, aber sie muss nicht kompliziert sein. Mit den richtigen Werkzeugen wird aus der „Blackbox SAP“ eine transparente Festung.

Möchten Sie Ihren eigenen Security KPI kennenlernen? Wir laden Sie herzlich ein, den werthAUDITOR in Ihrer Landschaft zu testen. Starten Sie mit einem Assessment und erhalten Sie Ihren ersten Management-Report von uns. Vielen Dank, dass Sie uns in dieser Serie begleitet haben!

Die SAP-Strategie ist klar: Die Zukunft ist hybrid oder Cloud-only. Mit der SAP Business Technology Platform (BTP) verlagern Unternehmen zunehmend kritische Prozesse, Apps und Integrationen in die Cloud. Doch während die On-Premise-Welt oft seit Jahren abgeschottet wird, ist die Cloud für viele SAP-Basis-Teams noch „Neuland“.

Das gefährliche Missverständnis: „Die Cloud ist doch per se sicher, darum kümmert sich SAP.“ Das stimmt nur für die Infrastruktur. Für die Konfiguration Ihrer Subaccounts, die Berechtigungen in der Cloud und vor allem die Verbindung zum On-Premise-System sind Sie verantwortlich.

In diesem Beitrag zeigen wir, wie der werthAUDITOR Licht in Ihre hybride Landschaft bringt und die „Brücke in die Cloud“ absichert.

1. Der Cloud Connector: Die Achillesferse

Der SAP Cloud Connector (SCC) ist das Bindeglied zwischen Ihrer geschützten On-Premise-Welt und der öffentlichen BTP. Er ist faktisch ein Tunnel durch Ihre Firewall. Ist dieser Tunnel falsch konfiguriert, kann ein Angreifer, der einen Cloud-Account kompromittiert, direkt auf Ihr internes ERP-System durchgreifen.

Der werthAUDITOR prüft:

• Härtung der Anbindung: Ist der Cloud Connector selbst sicher konfiguriert?
• Ressourcen-Zugriff: Welche internen Systeme und Funktionsbausteine (RFCs) sind für die Cloud freigegeben? Oft sind hier Wildcards (*) gesetzt, die Tür und Tor öffnen.
• Veraltete Versionen: Läuft der Connector auf einem aktuellen, sicheren Patch-Level?

2. Transparenz über BTP-Dienste und Flows

In der BTP verliert man schnell den Überblick. Wer nutzt welche Services? Welche Daten fließen wohin? Der werthAUDITOR inventarisiert Ihre Cloud-Landschaft genauso gründlich wie Ihr On-Premise-System. Wir analysieren:

• Integration Flows: Welche Schnittstellen-Prozesse laufen aktuell? Wir listen Endpunkte und Datenflüsse auf.
• Aktive Services & Apps: Welche BTP-Dienste sind aktiviert und bieten sie Angriffsfläche?.
• SubAccount-Härtung: Sind die Cloud-Accounts selbst nach Best-Practices abgesichert (Authentifizierung, Admins)?.

3. Alles in einem Bericht

Das Besondere am werthAUDITOR: Sie müssen nicht in drei verschiedenen Cloud-Cockpits und zwei On-Premise-Systemen suchen. Die Ergebnisse der BTP-Analyse fließen nahtlos in den zentralen Sicherheitsbericht ein.

Sie sehen „Hybrid Security“ auf einen Blick:

• Risiken im ABAP-Code (On-Prem).
• Offene RFC-Schnittstellen (Hybrid).
• Unsichere Cloud-Flows (BTP).

Fazit: Hybride Sicherheit aus einer Hand

Die SAP BTP bietet enorme Chancen, aber auch neue Risiken. Behandeln Sie Ihre Cloud-Projekte nicht als „Schatten-IT“. Mit dem werthAUDITOR integrieren Sie die BTP und den Cloud Connector vollautomatisch in Ihr Sicherheitskonzept – genau wie jedes andere SAP-System auch.

Ihr nächster Schritt: Wissen Sie, welche internen RFC-Bausteine Ihr Cloud Connector aktuell ins Internet freigibt? Wir zeigen es Ihnen in wenigen Minuten.

Sie vertrauen darauf, dass SAP seine Standardsoftware sicher entwickelt. Aber was ist mit den Millionen Zeilen Code, die Ihre eigenen Entwickler oder externe Dienstleister über die Jahre geschrieben haben?

In fast jedem SAP-System schlummern abertausende Z-Programme und Erweiterungen. Das Problem: ABAP-Entwickler werden für Funktionalität bezahlt, nicht für Sicherheit. Oft fehlt das Bewusstsein für Secure Coding. Das Ergebnis sind hausgemachte Einfallstore wie SQL-Injections, fehlende Berechtigungsprüfungen oder Backdoors, die selbst die beste Firewall umgehen.

In diesem Beitrag zeigen wir, wie der werthAUDITOR Ihren eigenentwickelten Code (Custom Code) durchleuchtet und Sicherheitslücken präzise aufzeigt – wie Sie im Screenshot sehen können.

1. Der unsichtbare Feind (Static Code Analysis)

Ein klassischer Virenscanner hilft bei ABAP nicht. Sie benötigen eine spezialisierte Analyse. Der werthAUDITOR scannt Ihren gesamten kundeneigenen Namensraum (Z* / Y*) auf typische Sicherheitsmuster.

Dabei geht es nicht um Syntaxfehler, sondern um handfeste Risiken:

• SQL-Injection: Unsichere Datenbankabfragen, über die Angreifer Daten manipulieren können.
• Backdoors: Hartcodierte User-Checks (z.B. IF sy-uname = 'DEVELOPER'), die als geheime Hintertüren dienen.
• OS Command Injection: Befehle, die direkt auf das Betriebssystem durchgreifen.

2. Präzision bis auf die Zeile (Finding Details)

Ein Scan-Ergebnis muss für Entwickler sofort verständlich sein. Pauschale Warnungen helfen niemandem. Der werthAUDITOR liefert daher – wie hier im Bild zu sehen – alle Details auf einen Blick:

• Die Fundstelle: Der Screenshot zeigt exakt die betroffene Code-Zeile und den Report-Namen. Sie sehen sofort den Kontext (z.B. ein dynamischer SELECT oder ein kritischer Funktionsaufruf), ohne erst im System suchen zu müssen.
• Die Bewertung: Der CVSS-Score (hier z.B. oben rechts im Bild) gibt Ihnen eine objektive Einschätzung der Gefährlichkeit. So können Sie priorisieren: Kritische Lücken zuerst!
• Die Lösung: Unter „Problemberichtigung“ liefert das Tool keine kryptischen Fehlercodes, sondern eine klare Handlungsanweisung. Oft wird direkt erklärt, wie der Code umgeschrieben werden muss oder welche SAP-Klasse stattdessen verwendet werden sollte.

3. Zero Footprint – Sicherheit ohne Ballast

Viele Code-Scanner erfordern aufwendige Installationen oder den Export des gesamten Quellcodes in externe Systeme. Der werthAUDITOR arbeitet nach dem Zero-Footprint-Ansatz. Die Analyse erfolgt ressourcenschonend über die RFC-Schnittstelle, ohne dass Sie zusätzliche Agenten auf Ihrem Produktions- oder Entwicklungssystem installieren müssen.

4. Integration in den Entwicklungsprozess

Am besten beheben Sie Fehler, noch bevor sie im Produktivsystem landen. Integrieren Sie den werthAUDITOR Scan in Ihre Transportwege. So etablieren Sie ein „Security Quality Gate“, das schlechten Code gar nicht erst durchlässt.

Fazit: Code-Sicherheit transparent gemacht

Ihr eigener Code ist oft die größte Unbekannte in Ihrer Sicherheitsgleichung. Mit der Custom ABAP Code Security des werthAUDITOR machen Sie diese „Blackbox“ transparent. Der Screenshot beweist: Sie erhalten keine abstrakten Daten, sondern eine klare Arbeitsanweisung für Ihre Entwickler.

Ihr nächster Schritt: Wissen Sie, ob in Ihren Z-Programmen versteckte DELETE-Befehle schlummern? Lassen Sie uns einen Scan über Ihren Custom Code laufen und die Ergebnisse gemeinsam analysieren.

Jeden zweiten Dienstag im Monat ist „Patch Day“. Die SAP veröffentlicht neue Security Notes, und für SAP-Basis-Administratoren beginnt das große Suchen: „Ist mein Kernel betroffen? Haben wir diesen Parameter schon gesetzt? Gilt dieser Hinweis überhaupt für unsere Version?“

Die Realität in vielen Unternehmen ist ernüchternd: Tausende Systemparameter und Patch-Level werden manuell oder mit selbstgebauten Skripten geprüft. Das ist nicht nur fehleranfällig, sondern bei der heutigen Schlagzahl an Sicherheitslücken schlichtweg nicht mehr leistbar. Oft bleiben Systeme monatelang ungepatcht, weil der Überblick fehlt oder die Priorisierung unklar ist.

In diesem Beitrag zeigen wir, wie Sie mit dem werthAUDITOR das Steuer übernehmen: Durch vollautomatisierte Configuration Validation und intelligentes Vulnerability Management.

1. Der automatisierte 360°-Check (Vulnerability Management)

Sicherheit ist kein statischer Zustand, sondern eine Momentaufnahme. Was heute sicher ist, kann morgen durch eine neu entdeckte Lücke (CVE) kritisch sein. Der werthAUDITOR prüft Ihre Systeme daher nicht punktuell, sondern kontinuierlich und ganzheitlich.

Unsere Security Engine scannt weit mehr als nur fehlende SAP-Hinweise. Wir prüfen den gesamten Stack:

• Patch-Level: Fehlen kritische Security Notes im ABAP-Stack, im Kernel oder in der Datenbank?
• Betriebssystem: Sind OS-Bibliotheken aktuell und gehärtet?
• Konfiguration: Sind Profilparameter (z.B. für Passwortrichtlinien oder Gateway-Sicherheit) korrekt gesetzt?

Das Ergebnis ist eine klare, priorisierte Risikoübersicht. Sie sehen sofort, wo der Schuh drückt – bewertet nach dem CVSS-Score (Common Vulnerability Scoring System), damit Sie wissen, was Sie zuerst fixen müssen.

(Alles auf einen Blick: Die Risikoübersicht zeigt fehlende Patches, kritische Berechtigungen und Konfigurationsfehler, sauber kategorisiert und bewertet)

2. Compliance auf Knopfdruck (Systemhärtung)

Neben fehlenden Updates sind Fehlkonfigurationen das größte Einfallstor. Doch wer kennt schon alle 2.000+ sicherheitsrelevanten SAP-Einstellungen auswendig?

Der werthAUDITOR bringt das Expertenwissen „Out of the Box“ mit. Wir prüfen Ihre Systeme automatisch gegen die wichtigsten Sicherheitsstandards:

• DSAG Prüfleitfaden
• BSI IT-Grundschutz
• SAP Security Baseline

Sie erhalten keinen abstrakten Report, sondern konkrete Handlungsempfehlungen. Wenn ein Parameter falsch gesetzt ist, sagt Ihnen das Tool nicht nur, dass es so ist, sondern auch, wie der korrekte Wert lauten muss und warum das wichtig ist.

3. Zero Footprint – Sicherheit ohne Ballast

Viele Security-Tools erfordern die Installation von Agenten auf jedem einzelnen SAP-Server. Das freut keinen Basis-Admin: Mehr Wartungsaufwand, potenzielle Performance-Probleme und Abhängigkeiten bei Upgrades.

Wir gehen einen anderen Weg. Der werthAUDITOR arbeitet nach dem „Zero Footprint“-Prinzip. Die Prüfung erfolgt von außen über Standard-Schnittstellen (RFC), ohne dass Sie Software auf Ihren produktiven SAP-Systemen installieren müssen. Das hält Ihre Systeme sauber und reduziert den administrativen Aufwand auf ein Minimum.

Fazit: Agieren statt Reagieren

Mit dem automatisierten Vulnerability Management des werthAUDITOR verwandeln Sie den monatlichen „Patch-Stress“ in einen geordneten Prozess. Sie wissen jederzeit, wie sicher Ihre Systeme sind, erfüllen Compliance-Vorgaben quasi nebenbei und können Auditoren jederzeit valide Berichte vorlegen.

Statt Listen zu pflegen, können Sie sich wieder darauf konzentrieren, Ihre SAP-Landschaft stabil und performant zu halten.

Ihr nächster Schritt: Sind Sie sicher, dass Ihr Gateway-Parameter gw/acl_mode korrekt gesetzt ist? Ein kurzer Scan gibt Ihnen Gewissheit. Sprechen Sie uns an!

Es ist das klassische Dilemma eines jeden SAP-Berechtigungsadministrators: Der Wirtschaftsprüfer fordert restriktive Berechtigungen (Need-to-Know-Prinzip), aber der Fachbereich fordert: „Es muss einfach laufen!“

Das Ergebnis in der Praxis ist oft ernüchternd: „Historisch gewachsene“ Rollen, User mit viel zu weiten Kompetenzen und die berühmte Angst vor Änderungen („Never touch a running system“). Denn wer Rechte entzieht, riskiert, dass kritische Geschäftsprozesse plötzlich stehenbleiben. Eine manuelle Bereinigung gleicht der Suche nach der Nadel im Heuhaufen und ist enorm zeitaufwendig.

In diesem Beitrag zeigen wir Ihnen, wie Sie mit dem werthAUDITOR diesen gordischen Knoten lösen – durch datenbasierte Role Minimization und proaktive Simulation.

Schritt 1: Messen statt Raten (Role Minimization)

Warum manuell erraten, was ein Sachbearbeiter im Einkauf wirklich tut, wenn das System es uns sagen kann? Der werthAUDITOR bietet hierfür die leistungsstarke Benutzertrace Analyse.

Anstatt Usern pauschal weitreichende Rechte zu geben, gehen Sie so vor:

1. Aufzeichnen: Sie aktivieren einen Trace für einen Referenzzeitraum (z.B. einen Monatsabschluss).
2. Analysieren: Der werthAUDITOR wertet die Trace-Daten aus. Das Dashboard zeigt Ihnen präzise, welche Berechtigungsobjekte, Feldwerte und Transaktionen tatsächlich erfolgreich genutzt wurden. Im Screenshot sehen Sie beispielsweise genau, dass der User das Objekt PLOG mit dem Infotyp 1001 und dem Subtyp B007 benötigt hat.
3. Generieren: Jetzt kommt der Clou. Statt die Rolle manuell in der PFCG zu bauen, nutzen Sie die Funktion „Rolle exportieren“. Der werthAUDITOR generiert einen Vorschlag für eine passgenaue Rolle, die exakt den genutzten Funktionen entspricht.

Das Ergebnis: Eine radikal entschlackte Rolle, die funktioniert – ohne das Risiko, zu viel wegzunehmen.

(Datenbasierte Entscheidung: Der werthAUDITOR zeigt genutzte Rechte und generiert daraus den Rollenvorschlag)

Schritt 2: Sicherheit vor dem Go-Live (Role Verification & Simulation)

Nachdem Sie eine Rolle entschlackt oder neu gebaut haben, stellt sich die nächste Frage: Habe ich versehentlich eine kritische Berechtigung (SoD-Konflikt) eingebaut? Oder reicht die neue Rolle für den Job aus?

Bevor Sie die Änderungen im Produktivsystem aktivieren, nutzen Sie die Berechtigungssimulation des werthAUDITOR.

• Simulation gegen Regelwerke: Prüfen Sie die geplante Rolle (oder den User) gegen gängige Sicherheitsstandards (DSAG, BSI) oder Ihre eigenen Compliance-Regeln.
• Risiko-Vorschau: Sie sehen sofort, ob die Änderung zu „Kritischen Berechtigungen“ (z.B. Debugging mit Speicheränderung oder direkter Tabellenpflege) führen würde.
• Transparenz: Die Simulation zeigt Ihnen nicht nur das „Ob“, sondern auch das „Warum“ – bis hinunter auf die Ebene der einzelnen Berechtigungsobjekte.

Fazit: Compliance ohne Kopfschmerzen

Mit der Kombination aus Role Minimization (Trace-Analyse) und Role Verification (Simulation) verwandeln Sie das Berechtigungsmanagement von einer angstgesteuerten Aufgabe in einen kontrollierten, sicheren Prozess.

Sie erfüllen die Anforderungen der Wirtschaftsprüfer (Least Privilege), ohne die Produktivität der Fachbereiche zu gefährden.

Ihr nächster Schritt: Möchten Sie wissen, wie viele überflüssige Berechtigungen in Ihren Rollen schlummern? Wir bieten Ihnen gerne eine Demo anhand Ihrer eigenen Daten an.