Zero Trust in der Praxis
Kurz & knapp: SAP-Systeme verwalten die sensibelsten Geschäftsdaten eines Unternehmens – Finanzdaten, Personalinformationen, Lieferketten. Klassische Netzwerk-Perimeter schützen diese Systeme längst nicht mehr ausreichend. Das Sicherheitsmodell Zero Trust setzt dem entgegen: Kein Nutzer, kein Gerät, kein Dienst erhält automatisch Vertrauen – jeder Zugriff muss bewiesen und genehmigt werden. Dieser Beitrag erklärt, was Zero Trust bedeutet, warum es für SAP-Umgebungen besonders relevant ist und wie Sie den Weg in die Praxis gehen.
Inhalt dieses Beitrags
- 1. Was ist Zero Trust überhaupt?
- 2. Warum ist SAP-Sicherheit ein besonderes Thema?
- 3. Zero Trust im SAP-Kontext: Die wichtigsten Bausteine
- 4. SAP Identity Authentication Service (IAS) als Herzstück
- 5. Least Privilege & Berechtigungskonzept
- 6. Monitoring, Logging & SIEM-Integration
- 7. Regulatorische Anforderungen: NIS-2, BSI, ISO 27001
- 8. Zero Trust umsetzen: Schritt für Schritt
- 9. Fazit
1. Was ist Zero Trust überhaupt?
Zero Trust ist kein Produkt, das man kauft – es ist ein Sicherheitskonzept, das auf einem einzigen Grundprinzip beruht: „Never trust, always verify“ – niemals vertrauen, immer überprüfen. Das Konzept wurde bereits 2010 vom Analysten John Kindervag (Forrester Research) geprägt und hat seitdem stetig an Relevanz gewonnen. Im Jahr 2025 ist Zero Trust kein theoretisches Modell mehr, sondern eine praxiserprobte Antwort auf die reale Bedrohungslage.
Der traditionelle Ansatz in der IT-Sicherheit war lange Zeit das sogenannte Perimeter-Modell: Eine Firewall trennte das „sichere“ interne Netzwerk vom „unsicheren“ Internet. Wer einmal drin war – ob Mitarbeiter, interner Server oder Anwendung – genoss automatisch Vertrauen. Dieses Modell scheitert spätestens seit der Durchsetzung von Cloud-Diensten, mobilem Arbeiten und hybriden IT-Landschaften. Daten liegen heute nicht mehr hinter einer einzigen Mauer, sondern verteilt über Cloud-Plattformen, On-Premise-Systeme und externe Dienste.
Zero Trust begegnet dieser Realität mit drei Kernprinzipien:
| Prinzip | Bedeutung in der Praxis |
|---|---|
| Verify explicitly | Jeder Zugriff wird kontextbasiert geprüft – Nutzeridentität, Gerätezustand, Standort, Uhrzeit |
| Least Privilege | Nutzer erhalten nur die Rechte, die sie für ihre aktuelle Aufgabe wirklich benötigen |
| Assume Breach | Das System geht davon aus, dass eine Kompromittierung bereits stattgefunden haben könnte – und handelt entsprechend vorsichtig |
Die technische Referenzarchitektur für Zero Trust liefert das National Institute of Standards and Technology (NIST) mit der Publikation NIST SP 800-207. Diese definiert die Kernkomponenten: einen Policy Engine, einen Policy Administrator und sogenannte Enforcement Points, die Zugriffe in Echtzeit steuern.
Wichtig zu verstehen: Zero Trust bedeutet nicht, dass man dem eigenen Team misstraut. Es bedeutet, dass technische Systeme Vertrauen nicht einfach voraussetzen, sondern aktiv und kontinuierlich überprüfen – unabhängig davon, ob jemand im Büro oder von zu Hause aus arbeitet.
2. Warum ist SAP-Sicherheit ein besonderes Thema?
SAP-Systeme sind das Rückgrat vieler Unternehmen. Ob Buchhaltung, Personalwesen, Einkauf oder Produktion – in SAP laufen die kritischsten Geschäftsprozesse und dort liegen die sensibelsten Daten. Genau deshalb sind SAP-Systeme ein bevorzugtes Ziel für Angreifer.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellte in seinem Lagebericht fest, dass die Bedrohungslage für Unternehmen in den vergangenen Jahren kontinuierlich gestiegen ist. Laut einer Bitkom-Umfrage aus dem Sommer 2024 gaben 8 von 10 deutschen Unternehmen an, bereits Opfer von Datendiebstahl, Spionage oder Sabotage geworden zu sein.
SAP-Systeme sind aus mehreren Gründen besonders exponiert:
Erstens sind RFC-Verbindungen (Remote Function Calls) zwischen SAP-Systemen ein klassisches Einfallstor. Falsch konfigurierte oder zu weit gefasste RFC-Verbindungen ermöglichen Privilege Escalation – also das unbefugte Erlangen höherer Zugriffsrechte. Zweitens leiden viele SAP-Landschaften unter einem jahrelang gewachsenen Berechtigungs-Wildwuchs: Nutzer akkumulieren über Jahre Zugriffsrechte, die sie längst nicht mehr brauchen. Drittens entstehen durch hybride Architekturen aus SAP S/4HANA On-Premise, SAP Cloud-Lösungen und Drittanbieter-Systemen neue Angriffsflächen, die klassische Perimeter-Sicherheit nicht mehr abdecken kann.
Konkretes Risiko: Ein Nutzer mit Rechnungsfreigabe-Berechtigung in SAP S/4HANA und gleichzeitiger Bestellberechtigung in SAP Ariba untergräbt das Vier-Augen-Prinzip (Segregation of Duties, SoD) – ein klassischer Compliance-Verstoß, der systemübergreifend oft lange unentdeckt bleibt.
3. Zero Trust im SAP-Kontext: Die wichtigsten Bausteine
Zero Trust für SAP bedeutet, dass der Zugriff auf SAP-Systeme nicht mehr pauschal auf Basis des Netzwerkstandorts (intern/extern) gewährt wird, sondern stets kontextabhängig und rollenbasiert kontrolliert wird. Dabei ergeben sich fünf zentrale Sicherheitsdomänen, die das CISA Zero Trust Maturity Model beschreibt und die sich direkt auf SAP-Umgebungen anwenden lassen:
| Domäne | SAP-relevante Maßnahme |
|---|---|
| Identität | Zentrales Identity Management mit SAP IAS, MFA, Single Sign-On (SSO) |
| Gerät | Geräte-Compliance-Checks vor SAP-Zugriff, Endpoint Security |
| Netzwerk | Mikrosegmentierung, verschlüsselte RFC-Verbindungen via SNC, TLS |
| Anwendung/Workload | SAP BTP Security, API-Gateways, Code Vulnerability Analyzer |
| Daten | Datenverschlüsselung at rest & in transit, Data Custodian, ILM |
Die Stärke von Zero Trust liegt in der ganzheitlichen Betrachtung all dieser Schichten. Es genügt nicht, nur die Netzwerkebene abzusichern, wenn Identitäten kompromittiert werden können – oder umgekehrt.
4. SAP Identity Authentication Service (IAS) als Herzstück
Im SAP-Universum ist der SAP Identity Authentication Service (IAS) das zentrale Werkzeug für die Umsetzung von Zero-Trust-Prinzipien auf der Identitätsebene. IAS ist ein Cloud-basierter Identity Provider (IdP) auf der SAP Business Technology Platform (BTP), der Authentifizierung für SAP Cloud-Anwendungen übernimmt.
Markus Weber, Senior Consultant für SAP Platform Technology bei T.CON, beschreibt IAS treffend: „IAS ist der strategische Dreh- und Angelpunkt für Zero Trust im SAP-Universum – er erlaubt uns, Identitäten kontextabhängig abzusichern und passgenau zu orchestrieren.“
Was IAS konkret leisten kann:
Single Sign-On (SSO) via SAML 2.0 und OpenID Connect ermöglicht es, dass Nutzer sich einmalig authentifizieren und anschließend auf alle angebundenen SAP-Systeme zugreifen können – ohne erneute Passwort-Eingabe, aber mit durchgängiger Sicherheitsprüfung. Multi-Faktor-Authentifizierung (MFA) fügt einen zweiten Verifikationsschritt hinzu, der auch bei kompromittiertem Passwort Schutz bietet. Die risikobasierte Authentifizierung erlaubt es, Zugriffsregeln nach IP-Adresse, Nutzergruppe, Gerätetyp oder geografischem Standort zu definieren – wer sich von einem unbekannten Ort einloggt, wird automatisch zu einer strengeren Prüfung aufgefordert.
Ergänzend dazu ist der Authorization Management Service (AMS) der SAP Cloud Identity Services eine Richtlinien-Engine, die feingranulare Zugriffspolicies zur Laufzeit auswertet und damit ein zentralisiertes Zero-Trust-Berechtigungsmodell für BTP-Applikationen bereitstellt. Der Identity Provisioning Service (IPS) sorgt für automatische, regelbasierte Synchronisation von Nutzern und Berechtigungen zwischen Cloud- und On-Premise-Systemen.
Praxis-Tipp: SAP IAS ist für jeden SAP Cloud Kunden mit einem Produktiv- und einem Test-Tenant kostenfrei im Leistungsumfang enthalten. Die Nutzung von IAS für SAP Cloud- und On-Premise-Logins ist lizenzfrei – ein guter Einstiegspunkt ohne zusätzliche Kosten.
Für die Absicherung der SAP GUI-Kommunikation (DIAG-Protokoll) sowie RFC-Verbindungen kommt SAP Secure Network Communication (SNC) zum Einsatz, das mit AES-256-GCM-Verschlüsselung arbeitet. In hybriden Szenarien mit Microsoft Entra ID (ehemals Azure AD) als Corporate IdP agiert SAP IAS als Proxy: Es leitet Authentifizierungsanfragen weiter, behält aber die Kontrolle über SAP-spezifische Sicherheitsrichtlinien.
5. Least Privilege & Berechtigungskonzept
Das Least-Privilege-Prinzip ist einer der Grundpfeiler von Zero Trust: Nutzer, Dienste und Anwendungen erhalten nur die Berechtigungen, die sie für ihre aktuelle Aufgabe wirklich benötigen – nicht mehr. Klingt einfach, ist in der Praxis jedoch eine der größten Herausforderungen im SAP-Umfeld.
In der Praxis zeigt sich das Problem häufig so: Über Jahre hinweg erhalten Nutzer neue Berechtigungen, wenn sie neue Aufgaben übernehmen. Die alten Rechte werden dabei selten entzogen. Es entsteht ein gefährlicher Berechtigungs-Wildwuchs. Hinzu kommen sogenannte Service-Accounts (technische Nutzer für Schnittstellen und Hintergrundprozesse), die oft übermäßig weit gefasste Berechtigungen besitzen und damit ein erhebliches Sicherheitsrisiko darstellen. Laut aktuellen Analysen übersteigen anfällige Maschinenidentitäten (Service Accounts) mittlerweile die Anzahl menschlicher Benutzer in vielen Unternehmensumgebungen.
Für SAP bedeutet dies konkret:
Ein durchdachtes Rollenkonzept mit Sammelrollen und Einzelrollen stellt sicher, dass jede Rolle genau einem Arbeitsplatz oder einer Aufgabe entspricht. SAP GRC Access Control (Governance, Risk & Compliance) hilft dabei, Segregation-of-Duties-Konflikte (SoD) zu erkennen, zu analysieren und zu beheben – auch systemübergreifend über mehrere SAP-Systeme hinweg. Regelmäßige Zugriffszertifizierungen (Access Certifications) stellen sicher, dass Verantwortliche periodisch prüfen, ob ihre Mitarbeiter noch die richtigen Berechtigungen haben. Das SAP Identity Access Governance (IAG), aufgebaut auf SAP BTP, ergänzt GRC um Cloud-native Funktionen für Access-Analyse und Privileged Access Management.
6. Monitoring, Logging & SIEM-Integration
Zero Trust bedeutet nicht nur, Zugriffe besser zu kontrollieren – es bedeutet auch, sie lückenlos zu dokumentieren und verdächtige Aktivitäten in Echtzeit zu erkennen. Hier kommen Logging und SIEM (Security Information and Event Management) ins Spiel.
SAP stellt dafür das Security Audit Log (SAL) zur Verfügung. Das BSI empfiehlt in seinem IT-Grundschutzkompendium (Baustein APP.4.2, SAP-ERP-System) ausdrücklich, das Security Audit Log mit geeigneten Filtereinstellungen so zu konfigurieren, dass sicherheitskritische Ereignisse – wie fehlgeschlagene Anmeldeversuche, Rollenänderungen, kritische Transaktionen oder Systemadministrations-Aktivitäten – korrekt protokolliert werden.
Neben dem SAL sind weitere Log-Quellen relevant: Change Documents und STAD-Logs bieten granularen Einblick in Nutzeraktivitäten und ermöglichen die Nachverfolgung einzelner SAP-Transaktionen mit Zeitstempel – unverzichtbar für Incident-Response-Analysen. RFC-Verbindungen und Trusted Systems müssen ebenfalls überwacht werden, da unautorisierte oder falsch konfigurierte RFCs ein klassisches Einfallstor für Rechteausweitung (Privilege Escalation) darstellen.
Ein Schwachpunkt klassischer SIEM-Architekturen ist die mangelnde Abdeckung SAP-spezifischer Logs. Relevante Angriffsmuster bleiben dadurch oft unerkannt. Die Lösung: SAP-spezifische Konnektoren, die sicherheitsrelevante SAP-Logs in das unternehmensweite SIEM weiterleiten. Tools wie SAP Enterprise Threat Detection (ETD) oder Drittanbieter-Lösungen sind dabei darauf spezialisiert, SAP-native Ereignisse zu erkennen und zu korrelieren.
Best Practice: Richten Sie das SAP Security Audit Log auf allen Systemen (Produktiv, Qualitätssicherung, Entwicklung) ein und leiten Sie die Logs in ein zentrales SIEM weiter. Die DSAG empfiehlt in Kapitel 3.8 ihres Prüfleitfadens eine regelmäßige Überwachung und Analyse der Zugriffe innerhalb des SAP-Systems.
7. Regulatorische Anforderungen: NIS-2, BSI, ISO 27001
Zero Trust ist nicht nur eine technische Entscheidung – es ist zunehmend auch eine regulatorische Notwendigkeit. Mehrere Regelwerke und Normen fordern explizit oder implizit Maßnahmen, die mit dem Zero-Trust-Ansatz übereinstimmen.
Die NIS-2-Richtlinie der Europäischen Union hat den Geltungsbereich der Cybersicherheitsvorschriften erheblich ausgeweitet und stellt strengere Anforderungen an Unternehmen in kritischen Sektoren. Dazu gehören strengere Sicherheitsmaßnahmen, transparente Risikomanagementprozesse, die Überwachung von Lieferketten und eine Meldepflicht für erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden nach Kenntniserlangung. Für SAP-betreibende Unternehmen, die unter NIS-2 fallen, ist ein dokumentiertes Sicherheitskonzept – wie es Zero Trust liefert – praktisch unverzichtbar.
Der BSI IT-Grundschutz (Baustein APP.4.2 für SAP-ERP-Systeme) definiert konkrete Anforderungen für SAP-Sicherheit: von Zugriffsschutz über Logging bis zu Notfallkonzepten. Die Anforderungen decken sich in weiten Teilen mit Zero-Trust-Prinzipien. ISO 27001 als internationale Norm für Informationssicherheitsmanagementsysteme (ISMS) schafft den übergeordneten Rahmen und ist besonders relevant für Unternehmen, die Zertifizierungen gegenüber Geschäftspartnern nachweisen müssen. DSGVO und SOX (für börsennotierte Unternehmen) stellen zusätzliche Anforderungen an Datenschutz, Zugriffskontrolle und Auditierbarkeit, die Zero Trust strukturell unterstützt.
| Regelwerk | Relevanz für SAP Zero Trust |
|---|---|
| NIS-2 (EU) | Risikomanagement, 24h-Meldepflicht, Lieferkettensicherheit |
| BSI IT-Grundschutz APP.4.2 | SAP-spezifische Sicherheitsanforderungen, Logging, Notfallkonzept |
| ISO 27001 | ISMS-Rahmenwerk, Risikobewertung, Zertifizierung |
| DSGVO | Datenzugriffskontrolle, Datenschutz by Design, Löschkonzepte |
| DORA (Finanzsektor) | Cyberresilienz, Incident Management, Drittanbieter-Risiko |
8. Zero Trust umsetzen: Schritt für Schritt
Die gute Nachricht: Zero Trust muss nicht als Großprojekt in einem Schritt umgesetzt werden. Bewährt hat sich ein schrittweiser Ansatz, der auf einer soliden Bestandsaufnahme aufbaut und gezielt Prioritäten setzt.
1 Bestandsaufnahme & Risikoanalyse
Analysieren Sie Ihre aktuelle SAP-Sicherheitslage. Welche Systeme, Schnittstellen und Nutzer existieren? Wo liegen die kritischsten Assets? Welche Schwachstellen gibt es bei Berechtigungen, RFC-Verbindungen und Konfigurationen? Nutzen Sie dabei Best-Practice-Vorlagen wie den DSAG-Prüfleitfaden oder die SAP Security Baseline.
2 Identitätssicherheit zuerst
Führen Sie Multi-Faktor-Authentifizierung (MFA) für alle SAP-Zugänge ein und zentralisieren Sie das Identity Management über SAP IAS. Aktivieren Sie Single Sign-On (SSO) und richten Sie risikobasierte Zugriffsrichtlinien ein. Dies ist der effektivste erste Schritt, da der Missbrauch von Anmeldedaten der häufigste initiale Angriffsvektor bleibt.
3 Berechtigungskonzept bereinigen
Führen Sie eine SoD-Analyse mit SAP GRC Access Control durch. Identifizieren Sie kritische Berechtigungskonflikte, bereinigen Sie Sammelrollen und leiten Sie einen regelmäßigen Rezertifizierungsprozess ein. Setzen Sie für technische Nutzer (Service Accounts) das Least-Privilege-Prinzip konsequent um.
4 Logging & Monitoring aktivieren
Konfigurieren Sie das SAP Security Audit Log gemäß BSI-Empfehlung und leiten Sie es in Ihr SIEM weiter. Definieren Sie Alarmierungsregeln für kritische Ereignisse wie ungewöhnliche Anmeldeversuche, Änderungen an Berechtigungen oder auffälligen RFC-Aufrufmuster.
5 Netzwerk segmentieren & Kommunikation verschlüsseln
Sichern Sie RFC-Verbindungen zwischen SAP-Systemen mit SAP Secure Network Communication (SNC) ab. Prüfen Sie alle bestehenden Trusted-System-Verbindungen und reduzieren Sie sie auf das notwendige Minimum.
6 Kontinuierliche Verbesserung
Zero Trust ist kein Projekt mit einem Enddatum, sondern ein kontinuierlicher Prozess. Orientieren Sie sich am CISA Zero Trust Maturity Model und messen Sie regelmäßig Ihren Reifegrad. Passen Sie Richtlinien an neue Bedrohungen und geänderte Anforderungen an.
Realbeispiel aus der Praxis: Ein mittelständisches Fertigungsunternehmen konnte durch die schrittweise Einführung von Zero Trust-Maßnahmen – darunter MFA, Netzwerksegmentierung und verschärfte Authentifizierung – die Anzahl erfolgreicher Phishing-Angriffe um 60 Prozent senken. Der entscheidende Faktor war die Kombination aus technischen Maßnahmen und gezielten Mitarbeiterschulungen.
9. Fazit: Zero Trust ist kein Luxus – es ist Notwendigkeit
SAP-Systeme gehören zu den wertvollsten und gleichzeitig schutzbedürftigsten Ressourcen in einem Unternehmen. Die traditionelle Idee, dass ein sicherer Netzwerk-Perimeter ausreicht, ist in der Welt hybrider Cloud-Architekturen, mobiler Arbeit und vernetzter Lieferketten schlicht überholt. Zero Trust bietet den zeitgemäßen Rahmen, um SAP-Sicherheit ganzheitlich und wirksam zu gestalten.
Mit dem SAP Identity Authentication Service als zentralem Identitäts-Hub, einem durchdachten Berechtigungskonzept nach Least-Privilege-Prinzip, lückenlosem Logging mit SIEM-Integration und einer an NIST SP 800-207 orientierten Architektur stehen die Werkzeuge bereit. Der entscheidende Schritt ist der Wille zur Umsetzung – beginnend mit einer ehrlichen Bestandsaufnahme und einem klaren Stufenplan.
Angesichts der wachsenden regulatorischen Anforderungen durch NIS-2, BSI IT-Grundschutz und ISO 27001 ist Zero Trust darüber hinaus nicht mehr nur eine technische Entscheidung, sondern auch eine unternehmerische Pflicht. Wer seine SAP-Landschaft heute nicht mit Zero-Trust-Prinzipien absichert, setzt sich morgen erheblichen Risiken aus – technisch, rechtlich und wirtschaftlich.
Der nächste Schritt: Beginnen Sie mit einer Analyse Ihrer aktuellen SAP-Sicherheitslage. Sprechen Sie mit Ihrem SAP-Basis-Team über aktiviertes Security Audit Log, bestehende RFC-Verbindungen und den Stand Ihres Berechtigungskonzepts. Diese drei Punkte allein geben Ihnen ein realistisches Bild – und zeigen, wo Zero Trust unmittelbar helfen kann.