Kriminelle zielen immer öfter auf unternehmenskritische Anwendungen wie zum Beispiel ERP-(SAP)-Systeme weil sich solche Daten besonders lukrativ verkaufen lassen. Das ist für SAP-Kunden insofern ein Problem, als SAP-Systeme komplex und schwer zu patchen sind. Noch dazu sind sie für die IT-Security-Teams im Unternehmen oft nicht leicht durchschaubar.
Damit DevSecOps funktioniert, müssen auch bei der SAP-Systementwicklung wichtige Sicherheitsüberlegungen bereits in einer frühen Projektphase erfolgen.
(Bild: Akira Kaelyn - stock.adobe.com)
DevSecOps für SAP könnte vor dem Hintergrund der steigenden Cyber-Risiken für ERP-Systeme ein neuer Ansatz für höhere Sicherheit im SAP-Kontext sein. Das Kunstwort (es steht für Development, Security und Operations) repräsentiert ein Konzept, das den DevOps-Gedanken um die Aspekte der Softwaresicherheit ergänzt. Damit verbindet sich eine neue Denkweise, die jede Person im Unternehmen für die Sicherheit verantwortlich macht.
Traditionelle Sicherheit steht nicht selten im Widerspruch zu den Unternehmenszielen, weswegen wichtige Sicherheitsmaßnahmen unterbleiben. Unwissenheit ist natürlich keine Option, aber sie ist einfach und bleibt mühelos. DevSecOps hingegen umfasst alle Abteilungen eines Unternehmens und bettet das Sicherheitsdenken in den gesamten Veränderungsprozess ein, von der Geschäftsleitung bis hin zu den einzelnen Teams. Dafür brauchen Unternehmen Werkzeuge und Prozesse, die sie dabei unterstützen. Für kontinuierliche Überwachung, zum Scannen auf Sicherheitsmängel, zur Erkennung von Angriffen, für Änderungsmanagement, Steuerung und regelmäßige Beurteilungen.
Warum ist DevSecOps für SAP der Game Changer für Softwaresicherheit?
Sicherheit wurde bei der Durchführung von Projekten oder Veröffentlichung neuer Funktionen in der Vergangenheit oft vernachlässigt – in der Annahme, dass Sicherheitsmängel in einem bestehenden System später vom IT-Security-Team schon behoben werden. Dies führt zu einer zusätzlichen Komplexität bei der Ermittlung und Beseitigung der Sicherheitsmängel. Darüber hinaus erfordert es Budget und qualifizierte Ressourcen, wozu nicht jedes Unternehmen bereits oder willens ist. Auch weil Aktualisierungen und Änderungen stets zu Betriebsunterbrechungen führen können.
Werden Sicherheitsüberlegungen hingegen bereits in einer frühen Projektphase angestellt, lassen sich Mängel rechtzeitig erkennen. Die Behebung potenzieller Schwachstellen macht dies effizienter und einfacher. Mit den entsprechenden Security-Tools ausgestattet, können Unternehmen sogar Schwachstellen identifizieren und beheben, die in früheren Iterationen der Änderungsprozesse eingeführt wurden. Der größte Nutzen ist jedoch, dass jeder Prozess/jede Funktion nach Maßgabe der Sicherheit implementiert wurde. Das führt zu einer Cyberangriffen gegenüber extrem widerstandsfähigen IT-Landschaft.
Startet das Unternehmen etwa ein IT-Projekt mit der Absicht, SAP-Anwendungen oder -Prozesse zu ändern, um neue Funktionen einzuführen, dann sind – wie bei jedem Projekt – Zeit, Budget und verfügbare Ressourcen Schlüsselelemente. Sicherheit wird da schnell mal hinten angestellt. Damit DevSecOps funktioniert, müssen wichtige Sicherheitsüberlegungen aber vielmehr genau in der frühen Projektphase stattfinden. Jedes IT-Vorhaben sollte man im Prinzip von vornherein als Sicherheitsprojekt auffassen, geschäftliche Anforderungen und Ziele dürfen Sicherheitsbedenken nicht ausschließen.
Dafür bedarf es Prozesse und Werkzeuge, die den Teams eine Zusammenarbeit in allen wichtigen Sicherheitsfragen ermöglichen. Wird das Projekt Auswirkungen auf die Sicherheit der enthaltenen Daten und etablierten Prozesse haben? Besteht ein Bedarf an zusätzlicher Software und einer Sicherheitsarchitektur? Sind bestimmte Fähigkeiten erforderlich, die es in das Projekt einzubringen gilt?
Sicherheitsdenken von Beginn an in IT-Projekte einbetten
In einer agilen Umgebung kann die Entwurfsphase beginnen, sobald alle Themen, Themenbereiche (Epics) und die darunterliegenden, nach strategischen Zielen gruppierten User-Stories geschrieben wurden. Ist Sicherheitsdenken in das Projekt von Beginn an eingebettet, wird dies automatisch zu einer Lösung führen, die durch ihr Design sicher ist. Während der Implementierung brauchen die Entwickler Tools, die den Quellcode auf potenzielle Schwachstellen untersuchen. Werden solche Lecks, die SQL-Injections, Cross-Site-Scripting oder fehlende Berechtigungsprüfungen ermöglichen, bereits im Entwicklungsprozess erkannt, lassen sie sich leicht beheben.
Bei SAP-Projekten liegt die Herausforderung nun genau darin, dass der Standard nicht die notwendigen Werkzeuge beinhaltet, um den Quellcode auf Sicherheitslücken zu überprüfen. Zusatztool wie der SecurityBridge Code Vulnerability Analyzer ergänzen SAP daher durch die Integration in SAP Web IDE (Integrated Development Environment), die Entwicklungsumgebung für SAPUI5-Anwendungen, mit dem SAP Code Inspector und dem ABAP Test Cockpit.
SAP-Transportinhalte können nach dem Export und dem Durchlaufen von Test-Deployment und QA-Prozessen angepasst und Schadcode eingeschleust werden.
(Bild: SecurityBridge)
Das Resultat: Neue Geschäftsfunktionen werden ohne signifikante Sicherheitsmängel in der Testumgebung implementiert. Sicherheitsschleusen im SAP-Transportmanagementsystem helfen zu vermeiden, dass Quellcode ohne ordnungsgemäße Validierung verschoben wird. Das Transportmanagementsystem ist anfällig für Angriffe auf die Software Supply Chain, wenn nicht ein entsprechender Sicherheitspatch installiert wurde. Funktionale Probleme, die in der „User Acceptance“-Testphase entdeckt werden, lösen einen Neustart des Validierungszyklus aus.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Produktiv geht die neue Anwendung erst, wenn alle Sicherheits- und Funktionsanforderungen erfüllt sind. Der Go-Live beendet dann nicht den DevSecOps-Prozess, sondern definiert nur die Übergabe an die so genannten „Keep-System-Running“ (KSR) Teams. In dieser Phase des Lebenszyklus konzentriert sich DevSecOps für SAP auf die Überwachung, Erkennung von Angriffen, regelmäßige (kontinuierliche) Bewertung von Schwachstellen und das genaue Einspielen von Sicherheitspatches.
Welche Tools braucht man?
Während viele Unternehmen bereits Lösungen für Change Management und IT Service Management einsetzen, sieht es mit Tools für die DevSecOps-Reise mit SAP noch nicht so üppig aus. Mit ihrer offenen API erlaubt die SAP-Cybersecurity-Lösung von SecurityBridge eine Integration in bereits bestehende SAP-Lösungen und stellt somit das fehlende Bindeglied zwischen Change Management und Security Incident dar. Auch die Gesamtbetriebskosten (TCO) sinken mit einer Sicherheitslösung aus einer Hand, verglichen mit einzelnen, isolierten Tools für Code-Scanning und Schwachstellenmanagement.
* Der Autor Christoph Nagy ist Geschäftsführer von SecurityBridge einem Spezialisten für SAP-Sicherheit mit Hauptsitz in Ingolstadt.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/56/a6/56a6cbd330270db46b739e8e67a3bae9/0127223376v1.jpeg "Nur ein DSGVO-konformes, transparentes und von Multi-Cloud-kompatibles europäisches Cloud-Angebot kann eine zukunftssichere und unabhängige IT sicherstellen. (Bild: T-Systems)")
:quality(80)/p7i.vogel.de/wcms/71/df/71df3b24f4f5b15bbbdddb38e4d46301/0128778046v1.jpeg "Der Recherche- und Schreibassistent Google NotebookLM hilft, eigene hochgeladene Quellen (PDFs, Dokumente, Webseiten, Videos) zusammenzufassen, zu analysieren und zu ordnen. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/da/e6/dae656cdda32066f36e03455976a60f4/0128697357v1.jpeg "Vorinstallierte Browser sind praktisch, aber nicht immer die beste Wahl. Worauf Nutzer bei Datenschutz, Features und KI achten sollten – und wie leicht ein Wechsel gelingt. (Bild: © Sentavio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/f4/aef413ed4859bbee6c1d3c45af147619/0128069563v1.jpeg "Microsoft stellt Microsoft 365 Local vor, das speziell auf europäische Anforderungen zugeschnitten ist: Exchange, SharePoint und Skype for Business lassen sich künftig lokal betreiben – auf Basis von Azure Local. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/87/cc/87cc46c6c556a3562a37df663392d122/0128734661v1.jpeg "Indem Prozesse, Architektur und Technologie Hand in Hand gehen, lassen sich Unternehmen erfolgreich und effizient steuern. (Bild: © Tida - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/1b/b41b9c6e88bd8483a2db60f509d61131/0128435735v2.jpeg "KMU ringen vor allem mit klassischen DSGVO-Pflichten. Aufsichtsbehörden unterstützen mit Vorlagen, Sprechstunden und Checklisten, während Vereinfachungen beraten werden. (Bild: © sam richter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ff/0d/ff0d69bf7d5c6f7dd3def3e53e738e1d/0127916883v1.jpeg "Unternehmen haben ein Interesse daran, Angriffe zu stoppen, bevor sie passieren. Schließlich haben wir für böse Überraschungen keine Zeit. (Bild: © Dece Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/de/b9/deb9b7f5a96c953565fadeea9cf56104/0128573226v1.jpeg "Microsoft Intune ermöglicht die zentrale Steuerung von Secure-Boot-Zertifikatupdates und bindet sicherheitskritische Firmware-Updates in bestehende Windows-Update-Prozesse ein. (Bild: © MT.PHOTOSTOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ee/cb/eecb952ae6889ccdba1ea140958c93ce/0128434850v2.jpeg "Datensicherheit in Unternehmen: Ransomware, Phishing und Malware sollten lieber draußen bleiben. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/03/6703970cd61a6673d249ee1d55fc7d06/0128589163v1.jpeg "KI sollte als praktisches Werkzeug betrachtet werden, das Prozesse vereinfacht. Der Mittelstand kann von ihr profitieren, indem er pragmatisch anfängt, Erfahrungen teilt und Stärken nutzt. (Bild: © Zamrznuti tonovi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898d9a69260db6f7017dcee457fcddab/0128998051v2.jpeg "Amazon Web Services arbeitet am Aufbau einer souveränen Cloud für die EU, der European Sovereign Cloud. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d1/d8/d1d80e4b046fc26390602348bd4105dc/0128575534v1.jpeg "Der EU Data Act bietet der europäischen Industrie die Möglichkeit, Daten souverän und sicher zu teilen, was eine Neupositionierung im internationalen Wettbewerb ermöglicht. (Bild: © Tida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b6/49/b649cf7a6b594f131e92c32c00d1dee4/0128846297v1.jpeg "Cloud-Dienste, digitale Kommunikation und globaler IT-Support machen internationale Datentransfers für viele Unternehmen in Deutschland unverzichtbar. (Bild: © Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/c1/97c1849a879c70ecbc6c2c9861497ef1/0128758121v1.jpeg "Zwei Gesetze stärken das Cloud-Switching: Der EU Data Act durch Vorgaben zu Interoperabilität und Datenexport und die DSGVO, die mit dem Recht auf Datenübertragbarkeit ergänzend personenbezogene Daten beim Anbieterwechsel absichert.
(Bild: © MemoryMan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/10/fd10e4216843219ced118a6c8f6f73f8/0128768369v1.jpeg "Deutsche zeigen ein konservativeres Speicherverhalten und greifen lieber auf externe Datenträger wie Festplatten zurück, statt die Cloud zu nutzen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/ab/8dab258e0eb14a71b53298faffd4aaba/0128585584v2.jpeg "Windows Backup for Organizations sichert Einstellungen und Store-Apps cloudbasiert und bietet die Wiederherstellung bereits im OOBE an. Es ersetzt jedoch kein klassisches Backup. (Bild: © Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/15/a3/15a312732340e5757952d9f4d3afe8ce/0128554930v1.jpeg "Google Drive verfügt über einen KI-basierten Schutz vor Mal- und Ransomware. (Bild: Joos / Google)")
:quality(80)/p7i.vogel.de/wcms/7c/ff/7cff410a07d9a7cbe9f5bb93d5f7f463/0128348762v1.jpeg "Im Gastbeitrag erläutert Uwe Kemmer von Western Digital, wie Architekturen für eine zukunftssichere Datenstrategie beschaffen sein sollten. (Bild: Western Digital Corporation )")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/43/7b4346180c4889f1b8e5f26af7125718/0128436273v2.jpeg "Das LG München sah eine Urheberrechtsverletzung, weil ChatGPT geschützte Liedtexte wörtlich ausgab. Was hat das Landgericht München in diesem Fall entschieden? (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/52/5f522be9df29a2344dee1cdb55de0e33/0128622890v1.jpeg "Effiziente, zuverlässige und digital vernetzte Kühllösungen sind entscheidend für zukunftsfähige Rechenzentren. (Bild: ebm‑papst)")
:quality(80)/p7i.vogel.de/wcms/4e/05/4e055dff3390e2d9145eb533b00dfe1e/0128408277v1.jpeg "Verantwortung statt Blindflug. Wer Zuständigkeiten klärt, sichert Sicherheit, Compliance und Performance – und gewinnt Sichtbarkeit. Professionelle Administration kann aus Websites belastbare, wachstumsfähige Infrastrukturen machen. (Bild: © InfiniteFlow - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/1a/4d/1a4d787c3fa4e6a1b86e100f3d0c2b34/0125497186v2.jpeg "Die Migration ihrer ERP-Landschaften in die Cloud bietet Unternehmen immense Chancen für Digitalisierung und Effizienzsteigerung, aber gleichzeitig entstehen dadurch auch neue Angriffsflächen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/52/89/5289d74705b3956fd1ea5667c9ebc5a8/0123874361v1.jpeg "Damit SAP-Migration und Cloudifizierung von SAP-Workloads nicht zur Herkulesaufgabe werden, bieten die Hyperscaler AWS, Microsoft und Google Cloud umfassende Integrationsmöglichkeiten und leistungsfähige Migrationswerkzeuge. (Bild: frei lizenziert)")