Hamburger Skyline - Hupp Consulting SAP Beratung
Hupp Consulting Logo
Hupp Consulting

SAP BTP Security: Cloud-Plattform richtig absichern

Stefan Hupp März 2026 Security

Die SAP Business Technology Platform (BTP) ist die strategische Cloud-Plattform von SAP für Erweiterungen, Integrationen und Analysen. Mit der zunehmenden Verlagerung von Workloads in die Cloud verändert sich auch das Sicherheitsmodell grundlegend. Klassische Perimeter-Security reicht nicht mehr – stattdessen brauchen Unternehmen ein Verständnis des Shared-Responsibility-Modells und BTP-spezifischer Sicherheitsmechanismen.

Das Shared-Responsibility-Modell verstehen

Bei SAP BTP teilen sich SAP und der Kunde die Verantwortung für die Sicherheit. SAP verantwortet die physische Infrastruktur, Netzwerksicherheit und Plattform-Patches. Der Kunde ist verantwortlich für: Identity Management und Authentifizierung, Autorisierung und Rollenzuweisung, Anwendungssicherheit, Datenverschlüsselung auf Anwendungsebene und Audit-Logging-Konfiguration. Ein häufiger Fehler ist die Annahme, dass SAP sich um alles kümmert – in Wirklichkeit liegt ein erheblicher Teil der Sicherheitsverantwortung beim Kunden.

Identity Authentication Service (IAS) konfigurieren

Der SAP Cloud Identity Authentication Service ist der zentrale Baustein für die Authentifizierung auf BTP. Konfigurieren Sie IAS als Proxy zu Ihrem Corporate Identity Provider (z.B. Azure AD, Okta). Aktivieren Sie Multi-Factor Authentication (MFA) für alle Benutzer, mindestens jedoch für administrative Zugriffe. Definieren Sie Passwortrichtlinien, Session-Timeouts und IP-basierte Zugriffsbeschränkungen. Nutzen Sie die risikobasierte Authentifizierung für zusätzliche Sicherheit bei ungewöhnlichen Zugriffsmustern.

Role Collections und Autorisierung

BTP verwendet Role Collections als zentrales Autorisierungskonzept. Eine Role Collection bündelt mehrere Rollen und wird Benutzern oder Benutzergruppen zugewiesen. Best Practices: Erstellen Sie granulare Role Collections nach dem Least-Privilege-Prinzip. Vermeiden Sie die Zuweisung der vordefinierten Administrator-Role-Collection an zu viele Benutzer. Dokumentieren Sie die Zuordnung von Role Collections zu Geschäftsfunktionen. Überprüfen Sie die Zuweisungen regelmäßig – BTP bietet keine automatische Rezertifizierung.

Cloud Connector absichern

Der Cloud Connector ist die Brücke zwischen BTP und On-Premise-Systemen. Er öffnet einen verschlüsselten Tunnel von der On-Premise-Umgebung zur Cloud – ohne eingehende Firewall-Regeln. Trotzdem ist er ein kritischer Sicherheitspunkt:

  • Beschränken Sie die exponierten Backend-Systeme und -Ressourcen auf das Minimum
  • Verwenden Sie System-Mappings mit fiktiven virtuellen Hosts, um interne Hostnamen zu verbergen
  • Aktivieren Sie Access Control Listen für URL-Pfade und RFC-Funktionsbausteine
  • Betreiben Sie den Cloud Connector in einer DMZ oder einem dedizierten Netzwerksegment
  • Halten Sie den Cloud Connector stets auf dem neuesten Patch-Stand

API-Security und OAuth 2.0

APIs sind das Rückgrat der BTP-Architektur. Sichern Sie alle APIs mit OAuth 2.0 ab – API-Keys allein bieten unzureichenden Schutz. Nutzen Sie den SAP Authorization and Trust Management Service (XSUAA) für Token-basierte Authentifizierung. Implementieren Sie Rate Limiting und Input Validation. Überwachen Sie API-Aufrufe auf Anomalien. Rotieren Sie Client Secrets regelmäßig und speichern Sie sie niemals im Code.

Audit Logging in BTP

BTP bietet einen dedizierten Audit Log Service. Aktivieren Sie das Audit Logging für alle sicherheitsrelevanten Ereignisse: Benutzeranmeldungen, Autorisierungsänderungen, Datenzugriffe und Konfigurationsmodifikationen. Exportieren Sie Audit Logs regelmäßig in ein zentrales SIEM-System, da BTP Logs nach einem definierten Zeitraum löscht. Beachten Sie die unterschiedlichen Aufbewahrungsfristen je nach Service-Plan.

Datenschutz und Datenresidenz

Bei der Nutzung von BTP müssen Sie wissen, wo Ihre Daten gespeichert werden. Wählen Sie die Region bewusst aus – für EU-Kunden empfiehlt sich die Region EU (Frankfurt oder Amsterdam). Prüfen Sie die Subprocessor-Liste von SAP regelmäßig. Implementieren Sie Verschlüsselung für sensible Daten auf Anwendungsebene, zusätzlich zur Transport-Verschlüsselung. Nutzen Sie den SAP Data Custodian Service für erhöhte Transparenz über Datenzugriffe.

Fazit

BTP-Security erfordert ein Umdenken gegenüber der klassischen On-Premise-Absicherung. Das Shared-Responsibility-Modell, Identity-First-Security und API-Schutz sind die Schlüsselthemen. Beginnen Sie mit IAS-Konfiguration und Cloud-Connector-Härtung – diese beiden Maßnahmen adressieren die größten Risiken.

Jetzt anfragen →

Stefan Hupp
Geschäftsführer | Managing Director

20+ Jahre Erfahrung in SAP Security, Basis und Berechtigungen. Pragmatische Lösungen für komplexe Systemlandschaften – dokumentiert, auditfest und KI-gestützt.

Weitere Artikel

Security

März 2026 · Stefan Hupp

SAP Security Audit Log: Konfiguration, Auswertung & Best Practices

Das SAP Security Audit Log richtig konfigurieren und systematisch auswerten.

Weiterlesen →
Security

Februar 2026 · Stefan Hupp

SAP Security Hardening: Die 10 wichtigsten Maßnahmen für 2026

10 konkrete Maßnahmen, um Ihre SAP-Systeme gegen aktuelle Bedrohungen abzusichern.

Weiterlesen →
Security

Dezember 2025 · Stefan Hupp

SAP-Profilparameter: Sicherheitseinstellungen für On-Prem, Cloud & S/4HANA

Die wichtigsten Sicherheitsparameter im Vergleich aller drei Umgebungen.

Weiterlesen →

Brauchen Sie Unterstützung bei diesem Thema?

Wir helfen Ihnen bei der Umsetzung – von der Analyse bis zum Go-Live.

Jetzt anfragen

← Alle Artikel

Verwandte Artikel

Alle Leistungen ansehen →