SAP Security Hardening: Die 10 wichtigsten Maßnahmen für 2026

2025 war ein Weckruf für SAP-Security: Erstmals meldeten 23% der Unternehmen einen Cyberangriff auf ihre SAP-Umgebung. Zero-Day-Exploits wie der NetWeaver-Vorfall (CVE-2025-31324) zeigten, wie schnell Ransomware-Gruppen SAP-Schwachstellen ausnutzen. Die gute Nachricht: Die meisten erfolgreichen Angriffe nutzen keine Zero-Days, sondern bekannte, aber nicht behobene Schwachstellen. Mit den folgenden 10 Maßnahmen reduzieren Sie Ihre Angriffsfläche erheblich.

1. Patch-Management mit Priorisierung etablieren

SAP veröffentlicht monatlich Security Notes. Allein in H1/2025 waren 14 davon HotNews mit CVSS-Scores über 9.0. Ein reines „wir patchen quartalweise“ reicht nicht mehr. Etablieren Sie einen Prozess, der HotNews-Patches innerhalb von 72 Stunden bewertet und kritische innerhalb von 2 Wochen einspielt.

2. Standardpasswörter und -benutzer eliminieren

Klingt trivial, ist aber in der Praxis erschreckend häufig: SAP*-Benutzer mit Standardpasswort, DDIC ohne Sperre, EARLYWATCH mit weitreichenden Berechtigungen. Ein systematischer Scan aller Mandanten schafft Klarheit.

3. RFC-Verbindungen inventarisieren und härten

RFC-Verbindungen sind ein häufig unterschätzter Angriffsvektor. Dokumentieren Sie alle Trusted- und Stored-Credentials-Verbindungen. Entfernen Sie nicht mehr benötigte Verbindungen. Nutzen Sie SNC für die verbleibenden.

4. Kritische Transaktionen überwachen

SE16, SM59, STMS, SU01 – diese Transaktionen sollten nicht ohne Monitoring genutzt werden. Konfigurieren Sie das Security Audit Log (SAL) für kritische Aktivitäten und werten Sie es regelmäßig aus.

5. ICF-Services bereinigen

Viele HTTP-Services im Internet Communication Framework sind standardmäßig aktiviert, aber nicht benötigt. Jeder aktive Service ist eine potenzielle Angriffsfläche. Deaktivieren Sie alle nicht genutzten Services systematisch.

6. Berechtigungen nach Least-Privilege-Prinzip

31% aller SAP-Patches 2025 betrafen fehlende Autorisierungsprüfungen. Wenn Ihre Benutzer gleichzeitig zu viele Berechtigungen haben, potenziert sich das Risiko. Starten Sie mit den kritischsten Profilen: Wer hat SAP_ALL? Wer hat Zugriff auf Debugging im Produktivsystem?

7. Gateway-Security konfigurieren

Die SAP Gateway Security (reginfo, secinfo) kontrolliert, welche Programme extern RFC-Funktionen aufrufen dürfen. Eine offene Konfiguration erlaubt potenziell jedem im Netzwerk, Funktionsbausteine aufzurufen.

8. Verschlüsselung durchsetzen

SNC für RFC/Dialog, TLS für HTTP/HTTPS, Verschlüsselung der HANA-Datenbank. Viele Systeme laufen noch mit unverschlüsselter Kommunikation – das ist 2026 nicht mehr akzeptabel.

9. Security-Monitoring automatisieren

Manuelle Log-Auswertung skaliert nicht. Implementieren Sie automatisierte Alerts für verdächtige Aktivitäten: ungewöhnliche Login-Zeiten, massenhafte Datenexporte, Änderungen an kritischen Tabellen.

10. Incident-Response-Plan erstellen

Was passiert, wenn ein Angriff erkannt wird? Wer wird informiert? Wie wird das System isoliert? Ein dokumentierter und getesteter Plan ist die letzte Verteidigungslinie – und eine Audit-Anforderung.

Fazit

Die meisten dieser Maßnahmen erfordern kein riesiges Budget – sondern Systematik, Prioritäten und Erfahrung. Wenn Sie wissen möchten, wo Ihre SAP-Landschaft heute steht, bieten wir einen kostenlosen Security Quick-Check als Erstgespräch an.

Security Quick-Check anfragen →

Weitere Artikel

Brauchen Sie Unterstützung bei diesem Thema?

Wir helfen Ihnen bei der Umsetzung – von der Analyse bis zum Go-Live.

Jetzt anfragen

← Alle Artikel