Hamburger Skyline - Hupp Consulting SAP Beratung
Hupp Consulting Logo
Hupp Consulting

SAP-Transportsystem absichern: Risiken, Kontrollen & Best Practices

Stefan Hupp März 2026 Security Basis

Das SAP-Transportsystem (TMS) ist die zentrale Infrastruktur für die kontrollierte Übertragung von Änderungen zwischen Entwicklungs-, Qualitäts- und Produktivsystemen. Gleichzeitig ist es ein häufig unterschätzter Angriffsvektor: Wer unkontrolliert Transporte ins Produktivsystem importieren kann, kann Code einschleusen, Konfigurationen ändern und Sicherheitsmechanismen umgehen.

Warum das Transportsystem ein Sicherheitsrisiko ist

Transporte können nahezu jede Änderung im SAP-System enthalten – von harmlosen Customizing-Einstellungen bis hin zu ABAP-Code mit Backdoor-Funktionalität. Ein manipulierter Transport kann Berechtigungsprüfungen deaktivieren, Daten ändern oder zusätzliche Benutzer mit weitreichenden Rechten anlegen. Die Herausforderung: Im Standardsystem werden Transport-Inhalte beim Import nicht automatisch auf Sicherheitsrisiken geprüft.

Berechtigungsobjekte für das Transportsystem

Die Absicherung beginnt bei den Berechtigungen. Drei Objekte sind zentral:

  • S_TRANSPRT: Steuert, wer Transportaufträge anlegen, freigeben und importieren darf. Trennen Sie diese Aktivitäten strikt nach Rollen.
  • S_CTS_ADMI: Regelt administrative Funktionen im TMS wie die Konfiguration von Transportwegen und die Verwaltung von Importqueues.
  • S_CTS_SADM: Kontrolliert den Zugriff auf STMS-Superadmin-Funktionen. Vergeben Sie dieses Objekt ausschließlich an dedizierte Basis-Administratoren.

Ein häufiger Fehler: Entwickler erhalten Importberechtigungen für das Produktivsystem. Dies verletzt das Vier-Augen-Prinzip und ist ein typisches Audit-Finding.

Vier-Augen-Prinzip konsequent umsetzen

Das Vier-Augen-Prinzip (Dual Control) bedeutet: Wer einen Transport erstellt und freigibt, darf ihn nicht selbst ins Produktivsystem importieren. Diese Trennung ist eine Grundanforderung in SOX, ISO 27001 und BSI-Grundschutz. Setzen Sie dies technisch um, indem Sie Import-Berechtigungen nur an ein dediziertes Basis-Team vergeben und Entwicklern ausschließlich Freigaberechte im Entwicklungssystem gewähren.

Transport-Logging und Nachvollziehbarkeit

Jeder Transportvorgang wird in den Transportprotokollen dokumentiert (Transaktion STMS, Transport Logs). Zusätzlich sollten Sie das Security Audit Log für Transport-relevante Aktivitäten konfigurieren. Für eine lückenlose Nachvollziehbarkeit empfiehlt sich die Verknüpfung von Transport-Requests mit Change-Tickets aus dem ITSM-System.

Dokumentieren Sie für jeden Transport: Wer hat ihn erstellt? Wer hat ihn freigegeben? Wer hat ihn importiert? Welches Change-Ticket liegt zugrunde? Diese Informationen sind essenziell für Audit-Nachweise.

RFC-Verbindungen für TMS absichern

Das TMS kommuniziert über RFC-Verbindungen zwischen den Systemen. Diese Verbindungen müssen mit minimalen Berechtigungen konfiguriert sein. Verwenden Sie dedizierte technische Benutzer (Typ CPIC oder System) mit eingeschränkten Rollen. Aktivieren Sie SNC (Secure Network Communications) für die TMS-RFC-Verbindungen, um die Kommunikation zu verschlüsseln.

Transportverzeichnis auf Dateisystemebene schützen

Das gemeinsame Transportverzeichnis (/usr/sap/trans) enthält die Transportdateien aller Systeme. Schützen Sie dieses Verzeichnis auf Betriebssystemebene: Nur die SAP-Systembenutzer (SIDadm) sollten Schreibzugriff haben. Überwachen Sie Änderungen am Verzeichnis mit File-Integrity-Monitoring. Unbefugter Zugriff auf das Transportverzeichnis ermöglicht das direkte Einschleusen manipulierter Transportdateien.

Notfalltransporte kontrollieren

In Notfällen müssen manchmal Transporte außerhalb des normalen Prozesses importiert werden. Definieren Sie einen dokumentierten Notfallprozess: Wer darf Notfalltransporte genehmigen? Welche zusätzlichen Prüfungen sind erforderlich? Wie werden Notfalltransporte nachträglich dokumentiert und überprüft? Ein unkontrollierter Notfallprozess ist ein häufiges Einfallstor für Sicherheitsprobleme.

Fazit

Die Absicherung des Transportsystems erfordert eine Kombination aus technischen Kontrollen (Berechtigungen, RFC-Absicherung, Verzeichnisschutz) und organisatorischen Maßnahmen (Vier-Augen-Prinzip, Notfallprozesse, Dokumentation). Investieren Sie in diese Grundlagen – ein kompromittiertes Transportsystem kann die gesamte SAP-Landschaft gefährden.

Jetzt anfragen →

Stefan Hupp
Geschäftsführer | Managing Director

20+ Jahre Erfahrung in SAP Security, Basis und Berechtigungen. Pragmatische Lösungen für komplexe Systemlandschaften – dokumentiert, auditfest und KI-gestützt.

Weitere Artikel

Security

März 2026 · Stefan Hupp

SAP Security Audit Log: Konfiguration, Auswertung & Best Practices

Das SAP Security Audit Log richtig konfigurieren und systematisch auswerten.

Weiterlesen →
Basis

März 2026 · Stefan Hupp

SAP-Systemkopien: Leitfaden für sichere & effiziente Kopien

Systemkopien planen und durchführen: Datenmaskierung, Post-Copy-Automatisierung und Security.

Weiterlesen →
Security

Februar 2026 · Stefan Hupp

SAP Security Hardening: Die 10 wichtigsten Maßnahmen für 2026

10 konkrete Maßnahmen, um Ihre SAP-Systeme gegen aktuelle Bedrohungen abzusichern.

Weiterlesen →

Brauchen Sie Unterstützung bei diesem Thema?

Wir helfen Ihnen bei der Umsetzung – von der Analyse bis zum Go-Live.

Jetzt anfragen

← Alle Artikel

Verwandte Artikel

Alle Leistungen ansehen →