Die DSAG-SAP-Security-Umfrage 2024/25

SAP Security zwischen Déjà-vu und frischem Wind

Bei der DSAG-SAP-Security-Umfrage 2024/25 ging es darum, den Status quo der Unternehmen in Sachen Sicherheit herauszufinden. Dafür wurden akute Handlungsfelder wie der Solution Manager, das Security Dashboard, das Monitoring und Patchmanagement ebenso abgefragt wie die Verantwortlichkeiten für die SAP Security im Unternehmen oder auch die Budgetfrage. Einige der Ergebnisse waren zu erwarten, andere überraschen und wieder andere signalisieren Nachholbedarf. Kurz: SAP Security ist aktueller denn je und muss weiter vorangetrieben werden.

Beitrag teilen

LinkedIn

E-Mail

WhatsApp

Link kopieren Kopieren

Mit der Unterstützung durch die DSAG bezogen auf die SAP Security sind 81 Prozent der Befragten sehr zufrieden und zufrieden, 11 Prozent sind unzufrieden und 2 Prozent sehr unzufrieden. Die Frage nach der Unterstützung durch SAP in Bezug auf die Sicherheit beantworten 6 Prozent mit sehr zufrieden, 58 Prozent mit zufrieden, 27 Prozent mit unzufrieden und 3 Prozent mit sehr unzufrieden. Keine Antwort kam von 6 Prozent der Befragten.

Fehlende Security-Budgets verlangen Überzeugungsarbeit

Bei den geplanten Investitionen in die Sicherheit innerhalb der kommenden zwölf Monate planen 17 Prozent höhere Ausgaben, bei 28 Prozent bleiben die Investitionen gleich und 6 Prozent wollen weniger investieren. Kein explizites Budget für die SAP Security haben 24 Prozent. 20 Prozent kennen den entsprechenden Wert nicht und keine Angaben machten 5 Prozent. Das Thema ist noch nicht in dem Maße bei den Unternehmen angekommen, wie es eigentlich sollte. Besonders die Quote der gleichbleibenden Investitionen und die komplett fehlenden Budgets bei knapp einem Viertel der Befragten sind zu hinterfragen. Hier müssen SAP und DSAG definitiv noch mehr Überzeugungsarbeit leisten. Zu dieser Beurteilung passt auch das Ergebnis, dass, befragt nach dem Stellenwert der Sicherheit in ihren Unternehmen, mehr als zwei Drittel sich mehr Veranstaltungen zu dem Thema wünschten.

Bei der Frage nach den wichtigsten Handlungsfeldern wurden Patchmanagement, Security Monitoring sowie Verschlüsselung und Schnittstellen in die Top 3 gewählt. „Dass Patchmanagement auf Platz eins liegt, überrascht nicht. Hier bedarf es mitunter eines hohen Einsatzes der Unternehmen, entsprechende Hinweise zu sichten, zu verstehen, zu bewerten und umzusetzen. Oder es ist die schiere Menge an Hinweisen, die es schwierig macht, die Patch-Prozesse zu steuern und umzusetzen“, erläutert Jessica Wolf, stellvertretende Sprecherin des Arbeitskreises Security & Vulnerability Management.

Sicherheitspolicy ist etabliert

Eine SAP-Sicherheitspolicy existiert bereits oder wird aufgebaut bei 83 Prozent der Unternehmen. Nur 17 Prozent geben an, keine Policy zu haben. „Das zeigt, dass sich die Unternehmen Richtlinien gegeben haben für die Security-Arbeit im SAP-Umfeld. Diese internen Vorgaben sind mit entscheidend, um das Thema Sicherheit nachhaltig zu etablieren“, fasst Dr. Alexander Ziesemer, Sprecher des Arbeitskreises Security & Vulnerability Management, zusammen.

Leifäden und Whitepapers zur Orientierung

Als Orientierungshilfe in puncto Sicherheit nutzen 58 Prozentder Befragten SAP-Sicherheitsleitfäden und Whitepapers, um sich für den Betrieb zu wappnen, für 46 Prozent sind sie Argumentationshilfen gegenüber dem Management und 44 Prozent nutzen sie als Vorlagen für die eigenen Vorgaben. Hier waren Mehrfachantworten möglich. „Der Stellenwert dieser Dokumente bei den Unternehmen sollte für SAP ein Ansporn sein, dieses Informationsmaterial regelmäßig zu aktualisieren und zentral zur Verfügung zu stellen. Ebenfalls wichtig wären kurze und präzise Management-Summaries, die auf den ersten Blick eine Orientierung geben über den Zweck und die Zielgruppe der teilweise über 1.000-seitigen Dokumente. Das kann die Akzeptanz und die Nutzung der Informationen zusätzlich verbessern“, so Constantin von Hornung, Sprecher der DSAG-Themengruppe SAP Security Survey.

Verantwortung auf C-Level-Ebene wächst

Verantwortlich für die SAP Security in den Unternehmen ist bei 61 Prozent der Befragten die SAP-Basis und bei 24 Prozent der Chief Information Security Officer. „Mit zunehmender Cloud-Nutzung wird sich die Zuständigkeit für SAP Security voraussichtlich stärker in Richtung C-Level verlagern“, ist Wolf überzeugt. „Denn SAP Security ist eng mit der übergreifenden Unternehmenssicherheit verknüpft. Sie sollte daher nicht isoliert als rein technisches Thema betrachtet, sondern auch strategisch mitgedacht werden. Der Arbeitskreis Security and Vulnerability Management trägt diesen Begriff nicht umsonst im Titel.“ Demzufolge muss SAP eine konkrete umfassende Strategie im Sicherheitsumfeld entwickeln und konsequent umsetzen.

Abkündigung des SAP Solution Managers

Die Entscheidung von SAP, den Solution Manager abzukündigen, sehen 65 Prozent der Befragten negativ, nur 13 Prozent positiv. Keine Meinung zu diesem Thema haben 18 Prozent. Ein kostenloses, vollumfängliches Tool abzukündigen, ohne einen gleichwertigen Nachfolger präsentieren zu können, kommt verständlicherweise bei der überwiegenden Mehrheit der Befragten nicht gut an. Bringt diese Entscheidung doch einen hohen Aufwand und hohe Kosten mit sich, bei der Suche nach einer Alternative. Auch wenn rein unter dem Gesichtspunkt der Security der Solution Manager eine eher untergeordnete Rolle spielt, da sich dessen Kernfunktionalitäten auf das allgemeine Application Lifecycle Management für SAP-Landschaften fokussieren und Security-Aspekte nur in einzelnen, wenn auch wichtigen Funktionalitäten vorhanden sind.

Mehr Vorgaben und Best Practices erforderlich

Befragt nach den Härtungsvorgaben, also der sicheren Konfiguration von SAP-Systemen, geben 16 Prozent der Befragten an, für ihre On-Premises-Systeme keine zu haben, im Aufbau sind sie bei 18 Prozent, vorhanden bei 13 Prozent. Bei den Cloud-Systemen haben 31 Prozent keine Härtungsvorgaben und bei 22 Prozent sind sie im Aufbau. Vorhanden sind sie bei 5 Prozent für die Cloud-Systeme. „Dass rund ein Viertel der Cloud-Anwenderunternehmen bereits mit Härtungsvorgaben arbeitet bzw. sie aufbaut, ist ein positives Signal. Vor allem vor dem Hintergrund, dass die Anwendungen mit jedem neuen Cloud-Modul komplexer werden. Hier braucht es von SAP-Seite noch deutlich mehr Vorgaben und Best Practices sowie eine klare Kommunikation, welche Punkte von SAP abgedeckt werden und für welche der Anwender zuständig ist“, fasst Ziesemer zusammen.

Notwendigkeit der Verschlüsselung ist präsent

Befragt nach der Verschlüsselung lässt sich zusammenfassend festhalten: HTTP/Transport Layer Security (TLS) wird nahezu überall verschlüsselt, Verbindungen von und zu SAP GUI/SNC werden mehrheitlich und Verbindungen von und zu SAP-Systemen teilweise verschlüsselt. Das lässt den Schluss zu, dass die Notwendigkeit zur Verschlüsselung erkannt ist – gerade auch mit Blick auf den Umgang mit sensiblen und personenbezogenen Daten. Gleichzeitig zeigt sich, dass der damit verbundene Aufwand in der Umsetzung nach wie vor eine Hürde darstellt. Das führt mitunter dazu, dass das Thema in der Praxis noch nicht flächendeckend umgesetzt wird.

Security-Monitoring steht noch am Anfang

Ein Security-Monitoring für SAP-Systeme haben 9 Prozent im Einsatz, bei 17 Prozent ist es im Aufbau, 19 Prozent haben keins. Immerhin insgesamt knapp die Hälfte arbeitet bereits mit Security Operations Centern (SOC), einem Security Information and Event Management (SIEM) oder einer Security Orchestration, Automation, Response (SOAR). „Das Thema Security-Monitoring für SAP-Applikationen und der Einsatz darauf spezialisierter Produkte stehen noch am Anfang. Die Umsetzung gestaltet sich teilweise auch deshalb schwierig, weil die unternehmenseigenen Security Operations Center mit SAP und den Begrifflichkeiten in diesem Umfeld in der Regel noch nicht sehr vertraut sind. Da werden wir als DSAG noch viel Aufklärungsarbeit leisten und sind über jede Unterstützung seitens SAP dankbar“, ist von Hornung überzeugt.

Kein führendes Tool als Security Dashboard vorhanden

Ein zentrales Dashboard für die Steuerung der SAP Security gibt es bei 47 Prozent der Unternehmen, 42 Prozent haben keins. Ein führender Weg zu einem Dashboard ist aus den Antworten nicht erkennbar. 29 Prozent benutzen ein SAP-Tool, 27 Prozent eine Drittanbieter-Lösung und 17 Prozent eine Eigenentwicklung. Das Security Dashboard in der SAP Analytics Cloud wäre ein möglicher Weg in diese Richtung. Jedoch ist es nur knapp einem Drittel der Befragten bekannt. Und von diesem nutzen es über 60 Prozent nicht. „Das könnte an einigen offensichtlichen Schwachstellen der Lösung liegen, die teilweise als nicht ausgereift und schwer adaptierbar beschrieben wird. Und es zeigt auch, dass noch ein langer Weg gegangen werden muss, bis zu einem zentralen SAP Security Dashboard. Die Tür steht von Seiten der DSAG jederzeit offen, um gemeinsam mit SAP weiter an einer entsprechenden Lösung zu arbeiten“, fasst Ziesemer zusammen.

Integration ist herausfordernd

Die Herausforderung, SAP-Cloud-Produkte in die IT-Security zu integrieren, ist für 72 Prozent der Befragten sehr groß oder groß und für drei Prozent sehr klein oder klein. Die Veränderungen im Vergleich zu früheren Umfragen sind gering, und auch die Argumente drehen sich um dieselben Punkte. „Die Integration von SAP-Cloud-Produkten in bestehende IT-Sicherheitsstrukturen stellt viele Unternehmen vor Herausforderungen. Dabei spielen unter anderem die Neuartigkeit der Lösungen, die noch ausbaufähige Expertise im Umgang mit Cloud-Security sowie die teilweise unklare Dokumentation eine Rolle. Diese Faktoren machen es nachvollziehbar, dass viele Befragte hier noch große Aufgaben sehen“, ordnet Wolf das Ergebnis ein. Eine zusätzliche DSAG-Umfrage ist bereits geplant, um hier noch mehr Klarheit zu bringen.

Zwei Welten berücksichtigen und abdecken

Schließlich wurde noch der Status quo in Bezug auf die generelle Cloud-Nutzung abgefragt. Demnach betreiben mittlerweile 20 Prozent der Befragten ihre zentralen SAP-Systeme in der Cloud, 26 Prozent teilweise und 45 Prozent nicht. Das heißt, weiterhin existieren zwei Welten nebeneinander und müssen dementsprechend in Bezug auf die SAP-Sicherheit gleichwertig berücksichtigt und abgedeckt werden.

Bei den eingesetzten Cloud-Produkten liegt die Business Technology Platform (BTP) bei 66 Prozent vorn, 14 Prozent planen deren Einsatz, 17 Prozent setzen sie nicht ein. SAP S/4HANA Cloud, Private Edition, bspw. über ein RISE-Modell, wird von 17 Prozent genutzt, bei 18 Prozent ist es geplant und bei 57 Prozent nicht. Weniger im Fokus scheint SAP S/4HANA Cloud, Public Edition, bspw. über das GROW-Modell, zu sein nur acht Prozent nutzen es, vier Prozent planen es zu nutzen, und 76 Prozent nutzen es nicht.

Das Ergebnis zeigt, dass insbesondere die BTP nun einen festen Platz bei den Unternehmen einnimmt und damit rückt auch das Thema Security auf der BTP in den Vordergrund. Jetzt geht es darum, in den DSAG-Arbeitskreisen zu ermitteln, welche Herausforderungen sich hier konkret ergeben, welche Gremien übergreifend von der BTP-Sicherheit betroffen sind und wie sie sich einbringen können.  

Erhebungsgrundlage

Vom November 2024 bis Januar 2025 haben 228 Personen an der DSAG-SAP-Security-Umfrage 2024/25 teilgenommen. Von den Befragten waren 38 Prozent Basisadministratoren, 23 Prozent Sicherheitsspezialisten und 9 Prozent Berater. Gefolgt von CIOs und IT-Leitern, CISO/IT Sicherheitsverantwortlichen, Entwicklern, Keyusern und Anwendern. Abgefragt wurden die Bereiche Governance, Solution Manager, Security Hardening, Security Monitoring, Patching und Cloud. Die Top 3 der beteiligten Branchen, denen die Teilnehmenden angehören, sind das Produzierende Gewerbe/Industrie, die IT/Telekommunikation und der Einzelhandel/Großhandel. 80 Prozent der Teilnehmenden kamen aus Deutschland, 7 Prozent aus Österreich und 6 Prozent aus der Schweiz. Aus weiteren Ländern beteiligten sich 3 Prozent. Keine Angaben machten ebenfalls 3 Prozent.