SAP verfolgt eine klare Strategie: Cloud first! Daher werden die cloudbasierten Produkte wie SAP S/4HANA Cloud und die SAP Business Technology Platform (SAP BTP) bevorzugt weiterentwickelt, was ihre Attraktivität kontinuierlich steigert. Dennoch zögern viele Unternehmen, den Weg in die SAP Cloud zu gehen. Oft stehen dabei Sicherheitsbedenken im Vordergrund – immerhin verlassen geschäftskritische Anwendungen und sensible Daten das eigene Haus. Sind die Vorbehalte begründet?
Wie ist es tatsächlich um die SAP Cloud Security bestellt? Dieser Artikel taucht tief in das Thema ein und beleuchtet alle wichtigen Sicherheitsmaßnahmen, die der Anbieter implementiert hat.
In diesem Artikel finden Sie folgende Themen:
SAP nimmt die Themen Datenschutz und Datensicherheit sehr ernst. Dies zeigt ein Blick auf das Sicherheitskonzept des Software-Herstellers, das grob skizziert folgende Bausteine umfasst:
Im Folgenden werden diese Elemente der SAP Cloud Security näher beschrieben.
SAP betreibt rund 100 Rechenzentren weltweit. Davon befinden sich 30 in Europa und 6 in Deutschland. Unternehmen haben die Möglichkeit, den Standort für ihre Daten selbst auszuwählen. Einerseits kann durch geografische Nähe eine bessere Performance des ERP-Systems SAP S/4HANA Cloud realisiert werden. Auf der anderen Seite ist die freie Standortwahl im Hinblick auf Compliance-Themen wichtig. Denn ein lokaler Standort gewährleistet, dass die vor Ort gültigen gesetzlichen Anforderungen wie die EU-DSGVO erfüllt werden. In Deutschland befinden sich SAP-Rechenzentren unter anderem am SAP-Hauptsitz in Walldorf sowie in Frankfurt am Main, Rellingen und St. Leon-Rot. Darüber hinaus existieren weitere Data Center, deren Betriebsorte aus Gründen der Sicherheit nicht öffentlich bekannt gegeben werden.
Die SAP-Rechenzentren werden rund um die Uhr überwacht und sind mit modernsten physischen Sicherheitsmaßnahmen ausgestattet. Dazu gehören:
Das SAP-Security-Konzept gewährleistet darüber hinaus, dass die Systeme sogar im Falle von Naturkatastrophen oder anderen unvorhersehbaren Ereignissen den Betrieb aufrechterhalten können. Erreicht wird dies unter anderem mit Notstromgeneratoren, Brandschutzsystemen, speziell gesicherten Netzwerkverbindungen, georedundanten Systemen und automatischen Umschaltungen.
Dass die SAP Cloud Security funktionsfähig ist und höchsten Sicherheitsstandards entspricht, kann der Software-Hersteller durch mehrere international anerkannte Zertifizierungen nachweisen. Hierzu zählen:
SAP hat ein umfassendes Informationssicherheitsmanagementsystem (ISMS) implementiert, was durch die weltweit anerkannte Zertifizierung nach ISO/IEC 27001 bestätigt wird. Dieses System stellt sicher, dass alle sensiblen Daten durch strenge Zugriffskontrollen, Verschlüsselung und Risikomanagement geschützt werden. Zudem belegt das Zertifikat, dass SAP seine Rechenzentren im Hinblick auf Sicherheitsrisiken kontinuierlich überwacht und regelmäßige Audits durchführt, um Sicherheitslücken frühzeitig zu erkennen und zu beheben.
Die ISO 22301 bescheinigt SAP ein robustes Business-Continuity-Management-System (BCMS). Dieses gewährleistet, dass der Betrieb auch bei Störungen wie Cyberangriffen oder Naturkatastrophen aufrechterhalten wird. Dazu gehören automatische Failover-Mechanismen, Redundanz in mehreren Rechenzentren und regelmäßige Tests von Notfallplänen, um Datenverfügbarkeit und Geschäftskontinuität sicherzustellen.
Der SOC 1 Type II-Bericht bestätigt die Effektivität der internen Kontrollen, die den Schutz von finanzrelevanten Prozessen sicherstellen. SAP weist damit nach, dass Zugriffsrechte, Datenintegrität und Backup-Prozesse über einen längeren Zeitraum hinweg ordnungsgemäß funktionieren. Dies ist besonders wichtig für Kunden aus regulierten Branchen wie dem Finanzwesen.
Die SOC 2 Type II-Zertifizierung konzentriert sich auf die Einhaltung von fünf Compliance-Grundprinzipien: Sicherheit, Verfügbarkeit, Vertraulichkeit, Integrität der Verarbeitung und Datenschutz. SAP-Rechenzentren müssen für dieses Zertifikat nachweisen, dass sie kontinuierlich Maßnahmen wie Verschlüsselung, Intrusion-Detection-Systeme und Zugriffskontrollen umsetzen, um die Sicherheit der Kundendaten zu gewährleisten.
Die BS 10012:2017, zertifiziert durch die British Standards Institution (BSI), legt Anforderungen an ein Managementsystem für personenbezogene Daten (Personal Information Management System, PIMS) fest. Diese Zertifizierung bestätigt, dass SAP personenbezogene Daten im Einklang mit der DSGVO verarbeitet und strenge Richtlinien für den Schutz der Privatsphäre anwendet. Die Prozesse in den SAP-Rechenzentren sind also nachweislich darauf ausgelegt, die Erhebung, Speicherung, Verarbeitung und Löschung personenbezogener Informationen transparent und sicher zu gestalten.
Eine weitere Sicherheitsmaßnahme der SAP Cloud Security besteht darin, einen unbefugten Zugang zu sensiblen Unternehmensdaten zu verhindern. Hierzu nutzt der Anbieter eine robuste Ende-zu-Ende-Verschlüsselung. Das bedeutet, dass Daten aus SAP S/4HANA Cloud sowohl bei der Übertragung („in-transit“) als auch im Ruhezustand („at-rest“) geschützt sind. SAP verwendet hierfür den AES-256-Algorithmus, der als einer der sichersten Verschlüsselungsstandards gilt.
Darüber hinaus hat SAP strenge Zugriffskontrollen in SAP S/4HANA Cloud implementiert. Unternehmen können beispielsweise folgende Mechanismen nutzen:
Um die Geschäftskontinuität sicherzustellen, umfasst die SAP-Sicherheitsarchitektur zudem ausgefeilte Desaster-Recovery-Pläne. Dabei werden alle Daten in mindestens zwei verschiedenen Rechenzentren gespeichert – oft sogar in unterschiedlichen Ländern, um regionale Risiken wie Naturkatastrophen zu minimieren.
Zu den Backup-Strategien gehören:
Diese Maßnahmen gewährleisten eine nahezu 100-prozentige Verfügbarkeit von cloudbasierten SAP S/4HANA-Systemen. Selbst im Falle eines Hardwareausfalls oder einer Naturkatastrophe ist für Unternehmen ein weiterhin störungsfreier Betrieb möglich.
Nicht zuletzt beinhaltet die SAP-Security-Strategie eine Reihe von präventiven und proaktiven State-of-the-Art-Sicherheitsmaßnahmen, um Cyber-Attacken zu verhindern, zu erkennen und rechtzeitig zu stoppen. Im Wesentlichen sind dies:
SAP S/4HANA Cloud, Public Edition ist ein ERP-System, das stark auf vordefinierte Geschäftsprozesse (sogenannte Best Practices) setzt. Unternehmen haben keine Möglichkeit, den Quellcode zu verändern. Um dennoch einen gewissen Individualisierungsgrad zu erreichen, können sie jedoch die SAP Business Technology Platform (SAP BTP) nutzen. Hierzu eröffnet diese cloudbasierte Plattform verschiedene Optionen:
Selbstverständlich ist es auch bei solchen Aktivitäten unerlässlich, dass die Prozesse und Daten geschützt sind. Daher existiert auch für die SAP BTP ein Konzept, das hohe Sicherheitsstandards gewährleistet. Es wird als „SAP Business Technology Platform Security“ oder kurz „SAP BTP Security“ bezeichnet und umfasst folgende Elemente:
Diese Bausteine der SAP BTP Security zielen darauf ab, sowohl interne als auch externe Sicherheitsrisiken zu minimieren. Im Folgenden werden sie näher beschrieben.
Zugriffskontrollen sorgen dafür, dass nur autorisierte Personen Zugriff auf die SAP BTP und deren Anwendungen erhalten. Dies ist die erste Verteidigungslinie, um unbefugte Zugriffe zu verhindern. Dabei greifen vor allem folgende Mechanismen:
SAP nutzt den Identity Authentication Service, der eine Multi-Faktor-Authentifizierung (MFA) ermöglicht. Benutzer müssen neben einem Passwort einen zweiten Faktor eingeben, zum Beispiel einen Zugangscode aus einer App. MFA schützt vor Phishing-Angriffen und anderen Versuchen, Zugangsdaten zu missbrauchen.
Zugriffe auf Anwendungen und Daten werden durch rollenbasierte Zugriffskontrollen geregelt. Benutzer erhalten nur so viele Berechtigungen, wie sie für ihre Tätigkeit benötigen (Prinzip der Minimalprivilegien). Dies minimiert das Risiko, dass interne Sicherheitsvorfälle auftreten.
Hinweis: Für die Konfiguration von Identitäten (MFA), Rollen und Berechtigungen ist das Anwenderunternehmen selbst verantwortlich.
Die SAP BTP Security umfasst zudem eine Reihe von präventiven Schutzmaßnahmen. Diese zielen darauf ab, Angriffe zu verhindern, bevor sie überhaupt stattfinden können. Zu den Maßnahmen zählen:
Anwendungen in der SAP BTP laufen in isolierten Umgebungen (Sandboxen). Selbst wenn eine Anwendung kompromittiert wird, bleibt der Schaden auf diese Umgebung beschränkt. Andere Anwendungen oder Datenbereiche werden dadurch nicht beeinträchtigt.
Der SAP Web Dispatcher fungiert als Reverse Proxy, der eingehende Anfragen prüft und filtert, bevor sie an die internen Systeme weitergeleitet werden. Er schützt vor DDoS-Angriffen und stellt sicher, dass nur legitime Anfragen durchgelassen werden.
Proxyserver überprüfen den eingehenden Datenverkehr und blockieren unerwünschte Inhalte wie Malware oder Phishing-Versuche, bevor sie die Applikationen erreichen. Dies verhindert, dass schädliche Datenpakete in die Plattform gelangen. Somit wird die Anwendungssicherheit gestärkt.
Ein weiterer wichtiger Aspekt der Sicherheit in der SAP BTP ist die sichere Anbindung externer Systeme, insbesondere von On-Premise-Systemen. Hierzu werden unter anderem folgende Tools bereitgestellt:
Der SAP Cloud Connector ermöglicht eine sichere Verbindung zwischen On-Premise-Systemen und der SAP BTP. Er stellt sicher, dass Daten verschlüsselt und über gesicherte Kanäle übertragen werden. Der Cloud Connector arbeitet nach dem Prinzip des Least Privilege, sodass nur genehmigte Verbindungen hergestellt werden können.
Für die verschlüsselte Datenübertragung nutzt SAP BTP Secure Network Communication (SNC). Dadurch wird sichergestellt, dass kein unverschlüsselter Datenverkehr zwischen Systemen stattfindet.
In der SAP Business Technology Platform werden Bedrohungen in Echtzeit überwacht und bei Bedarf automatisch Gegenmaßnahmen eingeleitet. Dabei kommen Intrusion-Detection-Systeme, SIEM-Lösungen und automatisierte Sicherheitsupdates zum Einsatz, um sowohl bekannte als auch neue Bedrohungen abzuwehren.
Das Intrusion-Detection-System (IDS) überwacht kontinuierlich den Netzwerkverkehr und erkennt verdächtige Aktivitäten wie unbefugte Zugriffsversuche oder Anomalien im Benutzerverhalten. Sobald eine Bedrohung erkannt wird, löst das System automatisch Warnmeldungen aus, die an das zuständige Sicherheitsteam weitergeleitet werden. In kritischen Fällen kann das IDS automatische Blockierungen einleiten, um den Schaden zu begrenzen.
Das SIEM-System sammelt Protokolldaten aus verschiedenen Quellen – darunter Anmeldedaten, Ereignisse im Netzwerk und Systemzugriffe – und analysiert diese auf verdächtige Muster. Mithilfe von künstlicher Intelligenz (KI) erkennt das SIEM-System Anomalien, die auf potenzielle Angriffe hindeuten könnten. Es ermöglicht eine frühzeitige Erkennung unbekannter Bedrohungen, sodass das Sicherheitsteam proaktiv reagieren kann.
Um bekannte Schwachstellen in der Plattform zu schließen, verfolgt die SAP BTP Security einen strukturierten Patch-Management-Prozess. Dieser Prozess stellt sicher, dass Sicherheitsupdates regelmäßig und zeitnah eingespielt werden. Patches werden automatisch implementiert, ohne den Betrieb der Anwendungen zu unterbrechen. Dies reduziert das Risiko, dass Angreifer bereits bekannte Sicherheitslücken ausnutzen können.
Das SAP Trust Center ist eine zentrale Plattform von SAP, die Transparenz über die Sicherheits-, Datenschutz- und Compliance-Maßnahmen der SAP-Cloud-Dienste wie S/4HANA Cloud und SAP BTP gewährleistet. Es richtet sich an Kunden, die sich näher über die Sicherheitsstandards, Zertifizierungen und Rechenzentrumsinfrastruktur von SAP informieren möchten. Darüber hinaus stellt SAP über das Trust Center aktuelle Informationen zu Sicherheitsvorfällen, Wartungsfenstern und Datenschutzrichtlinien.
Vielerorts herrscht nach wie vor die Auffassung, ein SAP-On-Premise-System sei sicherer als SAP-Cloud-Lösungen. Doch bei genauer Betrachtung ist das Gegenteil der Fall. Denn nicht einmal große Konzerne – geschweige denn der Mittelstand – sind in der Lage, in einem hauseigenen Rechenzentrum ein solch hohes Sicherheitsniveau zu realisieren, wie dies SAP oder große Hyperscaler wie AWS, Microsoft und Google können. Dies hat vor allem zwei Gründe: Zunächst verursacht eine solide Sicherheitsarchitektur mit leistungsstarken Elementen wie kontinuierlicher Überwachung, georedundanten Backups, umfassender Zertifizierung und strikten Zugangskontrollen extrem hohe Kosten. Zusätzliche finanzielle Aufwände für die laufende Wartung der Infrastruktur und die regelmäßige Modernisierung kommen erschwerend hinzu. Darüber hinaus ist das notwendige Fachpersonal für den Aufbau eines eigenen Security-Teams nur sehr schwer zu rekrutieren.
Insgesamt empfiehlt es sich daher, sich der Cloud-Thematik aufgrund von Sicherheitsbedenken nicht zu verschließen, sondern sich objektiv mit der Leistungsfähigkeit der SAP Cloud Security auseinanderzusetzen. Schnell wird dabei klar, dass Lösungen wie SAP S/4HANA Cloud und SAP BTP nicht nur technologisch und strategisch vorteilhaft sind, sondern auch ein effektiver Schutz von Anwendungen, Prozessen und Daten vor verschiedensten Risiken gewährleistet werden kann.
Sie planen die Einführung von SAP S/4HANA? Sie möchten professionell und effizient beraten und unterstützt werden?
