Der Cloud-Betrieb von S/4HANA verlagert Sicherheitsfragen auf Identitäten, Berechtigungen, Schnittstellen und kontinuierliche Überwachung. Technische Defaults reichen nicht aus. Entscheidend sind belastbare Konzepte für Zugriffskontrolle, Integration, Monitoring und Compliance im laufenden Betrieb und bei Migrationen.
S/4HANA-Migrationen erzeugen unter Zeitdruck oft Sicherheitslücken – ein Secure-by-Default-Ansatz mit klaren Abnahmekriterien verhindert, dass technische Abkürzungen dauerhaft im Produktivbetrieb bleiben.
Der Cloud-Betrieb von S/4HANA verschiebt Sicherheitsentscheidungen auf Identitäten, Berechtigungen, Schnittstellen und Konfigurationszustände außerhalb des klassischen Transaktionsmodells. Ein tragfähiges Konzept verbindet Secure-by-Default-Defaults, technische Härtung, nachvollziehbare Rollenmodelle, zentrale Protokollierung und kontinuierliche Prüfungen über die gesamte Landschaft.
Architektur und Risikooberfläche im Cloud-Betrieb
S/4HANA in Cloud-Umgebungen verteilt Sicherheitskontrollen über mehrere Ebenen, die nicht alle im ABAP-Stack liegen. Administrativer Zugriff läuft über Web-Konsolen, Identity Services, Plattformrollen, APIs und Integrationsdienste, die mit dem ERP-Kern gekoppelt sind, ohne sich in klassischen Rollenmenüs vollständig abzubilden. Daraus folgt eine Risikooberfläche, die sich weniger an einzelnen Transaktionscodes orientiert, sondern an Identitätsquellen, Vertrauensstellungen, Token- und Zertifikatsflüssen, Zielsystemen von Destinations sowie an der Frage, welche Administrationsrollen im Identity- und Plattform-Layer Zugriff auf Konfiguration, Benutzer und Provisionierung erhalten.
Ein belastbares Betriebsmodell beginnt mit einer vollständigen Inventarisierung. Dazu zählen S/4HANA-Tenants, angebundene BTP-Subaccounts, Identity Authentication Service und Identity Directory, Identity Provisioning Service, Cloud Connector, Destination Service, Audit Log Service, Custom Domain Service sowie alle angebundenen Corporate IdPs. Jede Komponente erhält eine Verantwortlichkeit, ein Zielbild für Authentifizierung und Autorisierung und definierte Nachweiswege über Logs, Snapshots und Change-Historie.
Migration als Sicherheitsprojekt und nicht als Nebenaufgabe
Migrationen auf S/4HANA erzeugen technische Abkürzungen, die sich später nur mit hohem Betriebsrisiko korrigieren lassen. Projektteams öffnen häufig Kommunikationspfade, lockern RFC- und GUI-Schutz, vergeben Debug- und Entwicklungsrechte zu breit oder belassen Standardkonten und Standardkennwörter länger als geplant, sobald Schnittstellen, Datenübernahme und Abnahmeläufe unter Zeitdruck stehen. Ein tragfähiger Ansatz integriert Sicherheitsanforderungen direkt in die technischen Abnahmekriterien für den Produktivstart. Secure-by-Default-Defaults bleiben aktiv, Abweichungen landen nicht in Tickets, sondern in einem kontrollierten Abweichungsregister mit Ablaufdatum, Verantwortlichem, Rückführungsplan und Testkette.
Die Migrationsphase nutzt eine eigene Berechtigungsschicht für Projektkonten, die nach dem Go-Live ausläuft, damit temporäre Rechte nicht in den Regelbetrieb diffundieren. Parallel prüft ein festes Paket an Messpunkten die gefährlichen Stellen. Dazu zählen aktive Audit-Logs, gesicherte RFC-Kommunikation, TLS-Standards, deaktivierte Standardkonten, eingeschränkte Debugger-Rechte, überprüfte Schnittstellenkonten und ein nachvollziehbarer Rollenausbau für Fiori und Backend.
Secure-by-Default technisch ausnutzen und kontrolliert abgleichen
Secure-by-Default liefert eine Grundhärtung, die früh einen Mindestzustand erzeugt. Dazu zählen verschlüsselte Tokens für Login-Tickets, restriktivere Defaults gegen unautorisierte RFC-Aufrufe, starke Kennwortrichtlinien, TLS ab 1.2 und ein aktives Security Audit Log. Dieser Zustand dient als Referenz und nicht als Endpunkt. Im Betrieb zählt der Abgleich gegen diesen Referenzzustand, da Konfigurationsänderungen aus Betrieb, Projekten und Integrationen kontinuierlich abweichen. Ein technischer Abgleich nutzt Konfigurationssnapshots und Change-Historie und verknüpft sie mit konkreten Risiken.
Cloud-seitig übernimmt SAP Cloud ALM Configuration and Security Analysis diese Rolle, da tägliche Snapshots Konfigurationen aus Cloud-Services und angebundenen Systemen in eine zentrale Konfigurations- und Change-Datenbank übernehmen und den Verlauf sichtbar halten. Betriebsteams nutzen die Suche nach Schlüsselbegriffen und den Status „non-compliant“, exportieren Change-Listen und führen Abweichungen direkt auf den verantwortlichen Service und Store zurück. Für On-Prem-Übergangssysteme oder hybride Phasen ergänzt der Konfigurationsvergleich über Solution Manager oder Focused Run den Abgleich, damit Abweichungen zwischen Referenzsystem und Zielsystem sichtbar bleiben.
Identitäten und Administrationszugriffe als primärer Kontrollpunkt
Im Cloud-Betrieb steht die Identitätsschicht an erster Stelle. Identity Authentication Service fungiert als strategischer IdP für Cloud-Applikationen, unterstützt SAML und OpenID Connect und arbeitet häufig als Proxy vor einem Corporate IdP. Daraus folgt ein klares Betriebsziel. Administratorzugriffe auf IAS und verwandte Konsolen laufen mit MFA, und der Betrieb setzt auf passwortlose Verfahren, sobald Unternehmensrichtlinien dies tragen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Self-Registration und Social Sign-In bleiben in Enterprise-Landschaften deaktiviert, sofern keine explizite Consumer-Anforderung existiert. Die Landschaft überprüft regelmäßig angebundene Corporate IdPs, da temporäre Testintegrationen und veraltete Trusts eine realistische Angriffsmöglichkeit öffnen. Cloud ALM spiegelt diese Empfehlungen technisch, da Konfigurationseinträge zu Social Sign-In, Self-Registration, Passwort-Policies und Admin-Konfigurationen als Stores erscheinen, zusammen mit Referenzen auf Empfehlungseinträge und einem Compliance-Status.
Die SAP Secure Operations Map zeigt die wichtigsten Aufgaben zur Absicherung von SAP-Systemen auf.
(Bild: SAP, Dokumentation SAP Security Template)
Administrative Autorisierung in Cloud Identity Services gewinnt zusätzliche Relevanz durch neue policybasierte Modelle. Dieses Modell ersetzt die klassische Vergabe über Admin-Flex im UI durch Policies, die feinere Rechte vergeben, die an Gruppen im Identity Directory gebunden sind. Die Verwaltung erfolgt über Gruppen- und Rollenprozesse, die sich über SCIM und Identity-Management integrieren lassen. Das reduziert das Risiko, dass einzelne Admin-Konten im Laufe der Zeit zu breit wachsen, und es erleichtert Rezertifizierungen, da Gruppenmitgliedschaften und Policy-Zuweisungen als überprüfbare Objekte vorliegen. Teams messen nicht nur, wie viele Admins existieren, sondern kontrollieren, welche Policy-Familien diese Admins erhalten und ob eine Trennung von Konfiguration, Benutzerverwaltung und Trust-Management besteht.
Provisionierung und Secrets in Identity Provisioning Service
Identity Provisioning Service steht im Pfad der Benutzer- und Rollenbereitstellung. Diese Komponente benötigt eine sichere Authentifizierung zum Zielsystem, da eine kompromittierte Provisionierung direkten Zugriff auf Benutzerobjekte und Rollenbindungslogik erlaubt. Das Betriebsdesign setzt daher auf zertifikatsbasierte Authentifizierung statt statischer Kennwörter, und es nutzt Maskierungsfunktionen für Secrets in der UI, damit keine Klartextanzeige in Administrationsoberflächen auftaucht.
Konfigurationen, die TLS-Prüfungen umgehen, bleiben auf nichtproduktive Szenarien beschränkt, dazu zählt insbesondere eine globale Trust-All-Option. Zertifikatslaufzeiten gehören in den Betriebskalender, nicht in Incident-Listen. Automatische Zertifikatserneuerung in IPS reduziert Ausfallrisiken bei ablaufenden Zertifikaten, allerdings kollidiert Certificate Pinning auf Zielsystemseite mit automatischem Key-Rollover. Ein Betrieb, der Pinning einsetzt, plant Zertifikatwechsel als Change und verknüpft ihn mit Abnahmetests der Provisionierungspfade.
Berechtigungen in S/4HANA und die Umgehung transaktionsbasierter Checks
Ein Rollenmodell, das nur Transaktionsberechtigungen betrachtet, greift zu kurz. SAP prüft Transaktionsaufrufe über Autorisierungsobjekte wie S_TCODE, und diese Prüfungen hängen an AUTHORITY-CHECK-Mechanismen. Gleichzeitig existieren reale Umgehungspfade, sobald Programmausführung zu breit freigegeben ist. Der Zusammenhang zwischen Transaktion, Programm und Ausführung bildet die technische Basis für belastbare Rollenpflege.
Betriebsteams analysieren Transaktionen über SE93, ermitteln Programme und vergleichen diese Informationen mit Tabelleninhalten aus TSTC. Ergänzend liefert SU24 Default-Vorschläge für benötigte Autorisierungsobjekte und USOBT zeigt Beziehungen zwischen Transaktionen und Autorisierungsobjekten. Für Text- und Zuordnungsinformationen ergänzt TSTAVT die Sicht. Diese Analyse dient der Kontrolle, ob Rollen nur den Transaktionsaufruf erlauben oder auch die Programmausführung unbeabsichtigt öffnen.
Eine konkrete Risikoquelle liegt in der Ausführung von Programmen über SA38 oder SE38. Sobald ein Benutzer zwar keine Transaktionsberechtigung besitzt, aber Programmausführung erhält, kann er Programme hinter Transaktionen starten, sofern weitere Objekte nicht blockieren. Rollen müssen Transaktionsfreigaben und Programmausführung gemeinsam betrachten, und sie müssen SA38 und SE38 restriktiv behandeln, statt sie aus Bequemlichkeit breit zu vergeben.
Debugging als Privileg und nicht als Komfortfunktion
Debugging stellt in produktiven Systemen ein Hochrisikoprivileg dar, da Debugger-Aktionen Variableninhalte verändern, Sprünge im Kontrollfluss auslösen und Prüfergebnisse manipulieren können. Ein Missbrauchspfad besteht darin, Berechtigungsprüfungen im Debugger zu beeinflussen und so privilegierte Aktionen zu erzwingen, bis hin zur nachträglichen Vergabe von Vollrechten. Technische Steuerung benötigt daher eine feinere Differenzierung als die klassische Nutzung von S_DEVELOP.
Ab ABAP Release 7.57 steht S_DBG als differenzierteres Objekt zur Verfügung, das Softwarekomponente, Paketzuordnung und Aktivität differenziert, einschließlich einer Trennung zwischen Anzeige und Änderung von Variablen sowie der Freigabe für COMMIT WORK und ROLLBACK WORK. Betriebsteams behandeln Debugging in produktiven Systemen als Ausnahmefall mit begrenzter Personengruppe, zeitlichem Rahmen und Auditierbarkeit. Zusätzlich gilt eine harte Regel. Wenn S_DEVELOP und S_DBG parallel auf einen Benutzer treffen, addiert sich faktisch das höhere Privileg aus beiden Welten, daher benötigt jede Zuweisung eine Gegenprüfung, damit keine unbeabsichtigte Eskalation entsteht.
Kritische Autorisierungen, Profile und Rezertifizierung
Kritische Autorisierungen definieren Rechte, die aus Datenschutz- und Datensicherheitslogik heraus Risiken für Datenabfluss und Manipulation tragen. Diese Rechte dürfen nicht unkontrolliert in Rollen und Profilen verbleiben. Technische Auswertung nutzt SUIM zur Analyse von Benutzern mit kritischen Autorisierungen und zur Sicht auf Kombinationen, die ein erhöhtes Risiko darstellen. Die Auswertung arbeitet mit Varianten, die Objekte, Felder und Aktivitäten bündeln und eine Priorisierung nach Risikostufe abbilden.
Regelmäßige Schulungen von Anwendern und Admins bezüglich der Sicherheit in SAP-Systemen sind wichtig.
(Bild: SAP)
In der Praxis zeigen Auswertungen oft, dass globale Profile mit Vollzugriff die Ursache für eine Vielzahl roter Befunde darstellen. Der Abbau beginnt nicht im Audit, sondern im Rollenbau. Rollen erhalten eine sprechende Beschreibung, die den fachlichen Zweck abbildet, und die Vergabe folgt einem Prozess, der genehmigende Stellen in die Lage versetzt, Rechteumfang und Risiko zu verstehen. Stellenwechsel führen nicht zum Aufsammeln von Rechten, sondern zum Entzug alter Zuweisungen und zur Neuvergabe entlang des aktuellen Aufgabenprofils.
Operativ reduzieren Teams Berechtigungsballast, indem sie doppelte und abgelaufene Rollenzuweisungen entfernen. PRGN_COMPRESS_TIMES bereinigt Dubletten und abgelaufene Zuweisungen, zuerst im Simulationslauf und danach produktiv mit expliziter Option zur Entfernung abgelaufener Einträge. Dieses Vorgehen reduziert nicht nur optischen Ballast, sondern senkt reale Privilegien, die aus historischen Zuweisungen stammen. Ergänzend liefert SUIM eine Übersicht über alle ausführbaren Transaktionen eines Benutzers, die sich exportieren lässt und Rezertifizierungen technisch stützt.
Operative Werkzeugkette für Analyse, Fehlerdiagnose und Rollenpflege
SU53 liefert bei fehlenden Berechtigungen die relevanten Objekte und Felder für die Diagnose. SU56 zeigt den aktuellen Pufferzustand der Autorisierungen. ST01 zeichnet Autorisierungschecks als Trace auf und unterstützt die Analyse, welche Objekte real geprüft werden. PFCG dient dem Rollenbau und der Pflege von Autorisierungsobjekten. SU01 und SU10 steuern Benutzerpflege, inklusive Massenvorgängen. SU21 unterstützt die Objektanalyse, inklusive Felder, Domänen und referenzierter Tabellen. SU24 liefert Default-Vorschläge und dient als Einstiegspunkt für die Prüfung, welche Objekte eine Transaktion in der Standardwelt erwartet.
Für Datenbrowser-Analysen liefern SE16N und Tabellen wie TOBJ, TSTC, USOBT und TSTAVT die Grundlage. Diese Werkzeugkette strukturiert die tägliche Arbeit an Berechtigungen, Rezertifizierung und forensischer Nachvollziehbarkeit.
Schnittstellen, Cloud Connector und Connectivity in BTP
Cloud-Betrieb setzt auf Integration, und Integration erzeugt Angriffsflächen. Destination Service verlangt TLS ab 1.2, Serverzertifikatsprüfung und einen Verzicht auf Trust-All-Optionen in produktiven Pfaden. Für Internetpfade nutzt die Architektur OAuth, für On-Prem-Pfade nutzt sie Principle Propagation, sofern das Zielbild dies vorsieht, damit zentrale Identitäten durchgängig wirken. Mutual TLS passt zu produktiven Szenarien, sofern Zertifikatsbetrieb, Erneuerung und Trust-Store-Steuerung organisatorisch abgebildet sind.
SAP-Umgebungen bestehen aus zahlreichen Komponenten, die alle angreifbar sind und Lücken aufweisen.
(Bild: SAP)
Cloud Connector bildet die Brücke zu On-Prem-Systemen und benötigt eine harte Konfiguration. Produktive Pfade laufen über HTTPS, URL-Ausnahmen bleiben restriktiv, LDAPS sichert LDAP-Kommunikation, SNC schützt Backend-Zugriffe. Der Betrieb reduziert die Zahl vertrauenswürdiger Root CAs, begrenzt Cipher Suites und ersetzt Default-Superadmins durch LDAP-basierte Benutzer, damit Nachvollziehbarkeit und Trennung von Aufgaben funktionieren. Audit-Logging bleibt aktiv, Traces laufen nur für konkrete Diagnosen und enden nach Abschluss.
Custom Domain Service reduziert Risiken, wenn Rollenvergabe restriktiv bleibt, TLS-Defaults erhalten bleiben und der Trust-Store nicht unnötig aufgebläht ist. Zertifikatsablaufwarnungen gehören in Betriebsüberwachung, nicht in Einmal-Checks. Für Audit Log Service zählt nicht nur Aktivierung, sondern auch Export und Archivierung. Logs fließen automatisiert in zentrale Audit- oder SIEM-Systeme, Retention-Einstellungen folgen Compliance-Anforderungen und eine definierte Archivstrategie verhindert, dass relevante Ereignisse durch kurze Aufbewahrung verloren gehen.
Monitoring und Konfigurationskontrolle im Dauerbetrieb
Cloud ALM Configuration and Security Analysis liefert tägliche Snapshots, speichert die Historie und erlaubt Abfragen nach Diensten, Stores und Schlüsselbegriffen. Teams nutzen diese Funktion als technische Kontrollfläche. Sie definieren ein Set an Suchmustern, das risikorelevante Bereiche abdeckt, darunter Admin-MFA-Status, Passwort-Policy-Zuweisung, Social Sign-In, Self-Registration, Trust-Konfigurationen, Certificate- und TLS-Parameter, sowie Hinweise auf delegierte Konfigurationen. Change-Listen dienen als täglicher Kontrollmechanismus, und Exporte fließen in Review-Routinen. Roadmap-Funktionen für Validierungsregeln, Alerts und Security-Dashboards erweitern diese Kontrolle, der Betrieb kann bereits jetzt mit API-Zugriffen und strukturierten Auswertungen arbeiten.
Auf der SAP-Systemseite ergänzt der Betrieb Monitoring über Audit Logs, Trace-Auswertungen und Prüfungen kritischer Mandantenparameter. Ergänzend liefert ein Security-Check-Ansatz eine mehrschichtige Sicht auf OS, Datenbank, Kernel, Virtualisierung, Web Dispatcher, Firewall, Cloud Connector und Router, allerdings ohne blindes Durchsetzen von Parametern. Parameteränderungen für verschlüsselte GUI- oder RFC-Verbindungen können Arbeitsfähigkeit brechen, wenn Endpunkte oder Partnerstrecken noch unverschlüsselt laufen. Ein kontrollierter Plan nutzt Testphasen, Abnahmeketten und klare Stichtage.
Patchmanagement und Security Notes als technische Pflicht
SAP veröffentlicht Security Notes in hoher Frequenz, und Security Patch Day etabliert einen festen Rhythmus. Angriffsakteure werten veröffentlichte Fixes aus und bauen Exploits zeitnah nach. Ein Betrieb, der Security Notes ohne Priorisierung behandelt, verliert Zeit an irrelevanten Paketen, ein Betrieb ohne Prozess verliert Zeit an Abstimmungschaos. Eine technische Umsetzung filtert Notes nach Relevanz für installierte Komponenten und konkrete Szenarien, nutzt zentrale Tools zur Auswahl relevanter Notes und koppelt den Rollout an definierte Testfälle entlang realer Endpunkte. Der Betrieb hält nicht nur SAP-Komponenten aktuell, sondern bezieht OS, Datenbank und Kernel in den Updatepfad ein.
Notfallzugriffe und privilegierte Tätigkeiten
Produktive Störungen erfordern gelegentlich weitreichende Rechte. Dauerhafte Vergabe solcher Rechte erhöht das Missbrauchsrisiko und verschlechtert Auditfähigkeit. Ein Firefighter-Ansatz löst das technisch, indem er privilegierte Zugriffe zeitlich begrenzt, einen Genehmigungsworkflow nutzt und alle Aktionen protokolliert, sodass nachträgliche Kontrolle reale Handlungen nachvollziehen kann. Der Ansatz funktioniert nicht nur für SAP, sondern auch für begleitende Systeme wie Datenbanken oder Host-Zugriffe, sofern das Identity-Management die Zuweisung übergreifend steuert.
Glossar
Begriff
Erklärung
ABAP
ABAP ist die von SAP entwickelte Programmiersprache für Anwendungs- und Systemlogik.
AUTHORITY-CHECK
AUTHORITY-CHECK ist der technische Mechanismus in SAP, mit dem Berechtigungen zur Laufzeit geprüft werden.
BTP
BTP (Business Technology Platform) ist die Cloud-Plattform von SAP für Integration, Erweiterung und Entwicklung.
CA / Root CA
Eine Root CA ist eine vertrauenswürdige Zertifizierungsstelle, die digitale Zertifikate ausstellt und validiert.
COMMIT WORK
COMMIT WORK schreibt offene Datenbankänderungen dauerhaft in die Datenbank.
LDAP
LDAP ist ein Verzeichnisdienst-Protokoll zur zentralen Verwaltung von Benutzern und Identitäten.
LDAPS
LDAPS ist die verschlüsselte Variante von LDAP über TLS.
OAuth
OAuth ist ein Standard für sichere, tokenbasierte Autorisierung zwischen Systemen.
PFCG
PFCG ist die zentrale SAP-Transaktion für Rollenbau und Autorisierungspflege.
PRGN_COMPRESS_TIMES
Der SAP-Report PRGN_COMPRESS_TIMES bereinigt doppelte und abgelaufene Rollenzuweisungen.
ROLLBACK WORK
ROLLBACK WORK verwirft noch nicht festgeschriebene Datenbankänderungen.
S_DBG
Das differenzierte SAP-Autorisierungsobjekt S_DBG führt zur feingranularen Steuerung von Debugging-Rechten.
S_DEVELOP
S_DEVELOP ist ein SAP-Autorisierungsobjekt für Entwicklungs- und Debugging-Funktionen.
S_TCODE
S_TCODE ist ein SAP-Autorisierungsobjekt zur Steuerung, welche Transaktionen ein Benutzer ausführen darf.
SA38
SA38 ist eine SAP-Transaktion zur direkten Ausführung von ABAP-Programmen.
SE16N
Der erweiterte SAP-Datenbrowser SE16N zeigt Tabelleninhalte an.
SE38
SE38 ist die SAP-Transaktion zur Anzeige, Pflege und Ausführung von ABAP-Programmen.
SE93
Die SAP-Transaktion SE93 dient der Anzeige und Pflege von Transaktionsdefinitionen und zugehörigen Programmen.
SNC
SNC (Secure Network Communication) schützt SAP-Kommunikation durch Verschlüsselung und Authentisierung.
ST01
ST01 ist ein SAP-Trace-Werkzeug zur Aufzeichnung von Autorisierungs- und Systemprüfungen.
SU01
SU01 dient der Pflege einzelner SAP-Benutzerkonten.
SU10
SU10 ermöglicht die Massenpflege von SAP-Benutzern.
SU21
SU21 dient der Pflege und Analyse von SAP-Autorisierungsobjekten und ihren Feldern.
SU24
SU24 liefert SAP-Standardvorschläge für die Autorisierungsobjekte, die eine Transaktion typischerweise benötigt.
SU53
SU53 zeigt die zuletzt fehlgeschlagenen Berechtigungsprüfungen eines Benutzers an.
SU56
SU56 zeigt den aktuell im Benutzerpuffer geladenen Berechtigungsstatus.
SUIM
SUIM ist ein SAP-Auswertungswerkzeug zur Analyse von Benutzern, Rollen und kritischen Berechtigungen.
TLS
TLS ist ein kryptografisches Protokoll zur verschlüsselten Kommunikation über Netzwerke.
TOBJ
Die SAP-Tabelle TOBJ ordnet Autorisierungsobjekte ihren Berechtigungsprüfungen zu.
TSTAVT
TSTAVT enthält sprachabhängige Texte und Zusatzinformationen zu Transaktionen.
TSTC
Die SAP-Tabelle TSTC verknüpft Transaktionen mit ihren technischen Programmen.
USOBT
USOBT ist eine SAP-Tabelle, die die Beziehung zwischen Transaktionen und Autorisierungsobjekten dokumentiert.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/7e/dd/7edd11607266db35090e96c821b207d2/0129230321v1.jpeg "S/4HANA-Migrationen erzeugen unter Zeitdruck oft Sicherheitslücken – ein Secure-by-Default-Ansatz mit klaren Abnahmekriterien verhindert, dass technische Abkürzungen dauerhaft im Produktivbetrieb bleiben. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ec/c2/ecc2e618bbf663c1b3e61af48af46f9a/0129309223v1.jpeg "Das Tool ordnet Organisationen einem von fünf „Sovereignty Effective Assurance Levels“ (SEAL 0–4) zu. (Bild: Suse)")
:quality(80)/p7i.vogel.de/wcms/a6/4b/a64ba7ed09d84b656d4d19e41a226168/0128867422v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e4/d5/e4d520bff2f353a1a8c319f63a013038/0129223590v1.jpeg "Proton Lumo erhält Projekte für die bessere Strukturierung. Die Arbeit mit Lumo und Projekten ist eingeschränkt auch kostenlos möglich.
(Bild: Joos - Proton)")
:quality(80)/p7i.vogel.de/wcms/2d/37/2d37a6bb4d698c8dccaba75269fc4b66/0129122390v1.jpeg "2026 zeigen sich technologische wie geopolitische Veränderungen auch in der Cloud-Sicherheit: Der Fokus liegt auf neuen Herausforderungen wie KI oder digitale Souveränität. (Bild: © ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/86/9a/869a525ef4074641464bb9d72b6783fc/0129095439v1.jpeg "Pega beschleunigt mit einem neuen KI-Tool die Transformation von Lotus-Notes-Anwendungen in moderne, Cloud-native Workflows. (Bild: © bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/17/40/1740df3260ea9ff0e7e9c8ad4b2b3011/0129143628v1.jpeg "Die IO-River-Gründer: links Michael Hakimi (CTO), rechts Edward Tsinovoi (CEO). (Bild: IO River)")
:quality(80)/p7i.vogel.de/wcms/e0/77/e07748497dc86a369aa419cc69e8c018/0129260796v1.jpeg "Mit dem Cloud Sovereignty Framework führt die EU quantifizierbare Kriterien zur Bewertung von Cloud-Diensten im Hinblick auf Souveränität ein. (Bild: © Daniel - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2d/d7/2dd77eeda1c3ad88f2774ed1f1e94c0e/0129329642v1.jpeg "Bull möchte dazu beitragen, dass Staaten und Unternehmen die volle Kontrolle über ihre KI und ihre Daten behalten. (Bild: Atos)")
:quality(80)/p7i.vogel.de/wcms/55/d6/55d6b9bb8b29e60d6039bf053aa86881/0129232500v1.jpeg "Der digitale Wandel im Handwerk braucht Mut zur Innovation und moderne Prozesse. (Bild: © Fxquadro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/37/f0375f651a7ef4b1fd69ac47f2d07bd9/0129221869v1.jpeg "Mit der Übernahme von Seald bereichert OVHcloud das Portfolio um sichere Lösungen für hochsensible Anwendungsfälle in Unternehmen und öffentlichen Einrichtungen. (Bild: © jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c5/dc/c5dc5a70b3b30c72d140b96c300743b7/0129090945v1.jpeg "Nur wenige Unternehmen schaffen den Sprung vom GenAI-Pilotprojekt zum produktiven Einsatz. Entscheidend ist nicht das Modell, sondern eine orchestrierte Architektur. (Bild: © Andrey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/e0/8de00bb0c72231bc51fe6baa095aaf82/0128995925v1.jpeg "Von der Ressourcenzuteilung bis zur Finanzverwaltung gestalten KI-Agenten die Zukunft der Unternehmensplanung und optimieren die Zusammenarbeit zwischen Mensch und Maschine. (Bild: © Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/06/a4/06a42876449bba06fb5efa3ecb9e189a/0129144465v1.jpeg "Sage Copilot liefert Hinweise und Warnungen direkt in den Arbeitsabläufen der Anwender. (Bild: Sage)")
:quality(80)/p7i.vogel.de/wcms/7a/f9/7af9bb48ac1b02e6dd9f656a3764eafa/0129089298v1.jpeg "Warum klassische MES-Systeme an Grenzen stoßen und wie Cloud-native MOM-Plattformen für mehr Flexibilität und Effizienz sorgen, zeigt der Gastbeitrag. (Bild: © panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cb/e6/cbe64a366696a4ecafe023ba406ea8aa/0129230519v1.jpeg "Die SAP Security Baseline ermöglicht die Absicherung von SAP-Systemen von Anfang an.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/00/1d/001da80e00db45b1a7d4db770bce8595/0129230522v1.jpeg "Die SAP Security Baseline ist eine wichtige Basis für die Absicherung von SAP-Systemen.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/c0/2a/c02a2ee8616a960e8c9dfe012e8bf1fb/0129230524v1.jpeg "Die Sicherheit des Betriebssystems spielt auch bei SAP eine wichtige Rolle. Daher sollte auch Linux abgesichert werden. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/07/1c/071caf6f9074d03da87f4d449f3077db/0129230523v1.jpeg "Linux bietet Basis-Technologien, mit denen sich auch die Sicherheit von SAP-Systemen sicherstellen lässt.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/92/20/9220b5750cce698e3679844fa5d7300d/0127447177v1.jpeg "Onapsis und Microsoft bündeln ihre Kräfte, indem sie ein integriertes SAP-Sicherheitsmonitoring für schnellere SOC-Reaktionen zur Verfügung stellen. Dieses soll mehr Überblick und schnelles Handeln ermöglichen. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/34/7e3419790c7d54a946d0c993cb610bc2/0128589159v2.jpeg "SAP-Landschaften werden häufig angegriffen, weil die Systeme geschäftskritische Daten bündeln und technische sowie organisatorische Schwächen attraktive Angriffspunkte bieten. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1a/4d/1a4d787c3fa4e6a1b86e100f3d0c2b34/0125497186v2.jpeg "Die Migration ihrer ERP-Landschaften in die Cloud bietet Unternehmen immense Chancen für Digitalisierung und Effizienzsteigerung, aber gleichzeitig entstehen dadurch auch neue Angriffsflächen. (Bild: © putilov_denis - stock.adobe.com)")