Die Digitalisierung läuft in vielen Unternehmen schneller, als Strukturen und Prozesse Schritt halten können – oft auf Kosten von Übersicht und Sicherheit. „Nicht mit der Technik anfangen, sondern mit der Zieldefinition“, sagt Raphael Kelbert, Product Owner Threat Detection & Response bei Pathlock Deutschland. Raphael Kalbert zeigt, warum herkömmliche Rechtekonzepte leicht Lücken lassen, wie sich unnötige Logdaten und Kosten im SIEM deutlich verringern lassen – und weshalb echte Sicherheit nicht von der Datenmenge, sondern von klaren Zielen und Verantwortlichkeiten abhängt.

Herr Kelbert, wo liegen aktuell die größten Schwachstellen in der Unternehmenssteuerung?

In vielen Unternehmen liegt die größte Herausforderung sicherlich darin, dass zwar Prozesse digitalisiert sind, aber weder ganzheitlich verstanden noch wirksam kontrolliert werden. Automatisierung und Digitalisierung schreiten oft schneller voran, als sich Organisationen strukturell und prozessual anpassen können.

Nehmen wir an, dass Arbeit zunehmend agentengestützt (AI Agents) wird, entsteht ein entsprechendes Transparenzdefizit: Häufig ist unklar welche Kompetenzen technisch übernommen werden (dürfen) und wer dafür letztlich fachlich verantwortlich ist.

Hinzu kommt, dass viele Organisationen strukturell noch nicht auf die Realität verteilter, heterogener Systemlandschaften vorbereitet sind. Steuerungs- und Kontrollprozesse bleiben oft in Silos verhaftet, während operative Abläufe längst system- und abteilungsübergreifend funktionieren. Kritisch wird es besonders dort, wo digitale Agenten mit weitreichenden Rechten agieren oder Datensammlung zentralisiert und automatisiert ist. Klassische Prinzipien wie Funktionstrennung werden so durch die Automatisierung und Tools ausgehebelt und verlieren an Wirkung.

Warum wird gerade ihre Absicherung in vielen Organisationen noch immer zu reaktiv behandelt?

Reaktive Sicherheitsstrategien sind oft das Resultat fehlender Sichtbarkeit und unklarer Verantwortlichkeiten. Risiken in digitalen Prozessen bleiben lange unentdeckt – besonders dann, wenn sie System- oder Abteilungsübergreifend entstehen und kontrolliert werden. Viele Organisationen tun sich schwer abstrakte Bedrohungen frühzeitig zu erkennen, bewerten und proaktiv Lösungsstrategien zu erarbeiten. Besonders Rechteausweitungen, Schatten-Workflows und Datenabflüsse bleiben unbeachtet, weil ihr Risiko im Streben nach Effizienz durch Automatisierung nicht ausreichend erkannt oder gar billigend in Kauf genommen wird.



Sicherheitsverantwortung ist zudem häufig verteilt zwischen IT, Fachbereichen und Compliance – aber nur selten klar geregelt. Ohne konkreten Vorfall fehlt so der Impuls proaktiv zu handeln oder strukturell oder personell zu investieren.

Pathlock verspricht, SAP-Security über klassische Rollenmodelle hinauszudenken. Was genau bedeutet das – und was sind heute die größten blinden Flecken in der SAP-Überwachung?

Klassische Rollenmodelle definieren, was Nutzer dürfen, nicht aber, was sie tatsächlich tun. In verteilten Systemlandschaften, die historisch – oder auch hysterisch – gewachsen sind, ist das Thema Rollen und Berechtigungen nur ein Teil der potenziellen Angriffsfläche und darf nicht isoliert betrachtet werden.

Der blinde Fleck liegt im Wesentlichen allerdings darin, dass SAP in vielen Unternehmen isoliert betrachtet wird und wurde. Das auf organisatorischer, aber auch auf organisatorischer Ebene. Aus unserer Erfahrung war die SAP-Abteilung nicht in eine zentrale IT-Security-Strategie eingebunden. Diese Trennung beginnt sich langsam aufzulösen, wirkt allerdings strukturell nach.

Zusätzlich besteht eine „sprachliche“ Barriere: SAP spricht eine eigene funktionale und semantische Sprache. Begriffe wie USR01 (Benutzerstammdatentabelle) oder SMICM (Internet Communication Monitoring) sind ohne tiefes SAP-Know-how schwer verständlich. Das ist keine technische Schwäche, sondern ein Übersetzungsproblem.

Wer SAP-Systeme wirklich absichern, will muss daher mehr tun, als Rollen zu prüfen. Es braucht eine ganzheitliche Übersicht über alle Gefahrenvektoren, von ungepatchten Systemkomponenten bis hin zu fehlerhaften Konfigurationen, sowie kontextbezogenes Monitoring, dass SAP und IT-Security miteinander verbindet und im Ernstfall direkte Reaktionsmöglichkeiten bietet.

Ein zentrales Thema Ihrer Lösung ist die Integration in bestehende SIEM-Systeme. Was unterscheidet Ihre Log-Erfassung dabei konkret vom üblichen Agenten-Ansatz?

Klassischer SIEM-Agenten greifen im SAP-Umfeld meist über generische Schnittstellen wie RFC oder Syslog zu. Dabei werden Logdaten, zum Beispiel aus dem Security Audit Log oder System Log, ungefiltert übernommen. Das führt zu enormen Datenvolumina, hohen SIEM-Kosten und gleichzeitig oft geringer Relevanz: Viele Dieser Logs sind nur für tiefgreifende forensische Analyse und im Ausnahmefall interessant – nicht aber für eine kontinuierliche Sicherheitsüberwachung.

Unser Ansatz ist grundlegend anders: Wir verfolgen einen kontrollierten, filterbasierten Log-Ausleitungs-Ansatz. Relevante Ereignisse werden automatisiert identifiziert und kundenindividuell steuerbar an das SIEM übergeben. Nicht sicherheitsrelevante Informationen bleiben im SAP-System verfügbar und sind dort bei Bedarf abrufbar, ohne unnötigen Datenexport.

Gleichzeitig werten wir zusätzliche SAP-interne Quellen aus, die klassische Agenten durch fehlende SAP-integration nicht erfassen können und stellen weiterführende Kontextinformationen zu SAP-Events zur Verfügung. Das reduziert nicht nur das Datenvolumen, sondern schafft vielschichtige Mehrwerte auch für Security Teams ohne tiefgreifendes SAP-Fachwissen.

Pathlock wirbt mit konkretem ROI – bis zu 70 % Kostensenkung im Security-Bereich. Wo entstehen diese Einsparungen genau?

In der IT Security geht es im Kern um Prozesse. Vor allem um jene des sicheren Betriebs von IT-Lösungen und den „Nachweis“ dieser Sicherheit (z.B. durch Audits). Diese Prozesse sind oft aufwendig und kostenintensiv, insbesondere wenn der Automatisierungsgrad in Unternehmen gering ist.

Pathlock automatisiert und vereinfacht zentrale Sicherheitsprozesse im ERP-Umfeld, ohne die Rolle das Menschen zu ersetzen. Wir bilden die Fachkräfte weiter aus um ihr Wissen gezielt zu erweitern und Sicherheitsprozesse zukünftig noch effizienter zu gestalten und zusammenhänge ganzheitlich zu verstehen.

Ein Beispiel: Unsere Threat Detection & Response filtert Logdaten bereits im SAP-System kontextbasiert vor bevor sie and das SOC bzw. SIEM gesendet werden. So werden nur sicherheitsrelevante Ereignisse (kein Rauschen) übertragen. Das reduziert Fehlalarme, verkürzt die Zeit bis zur Eindämmung und Lösung eines Vorfalls und senkt gleichzeitig SIEM-Lizenzkosten, die direkt vom verarbeiteten Log-Volumen abhängen.

Das Ergebnis: Weniger manuelle Tätigkeiten, weniger Datenvolumen und eine höhere Relevanz.

Die Einbindung von Schwachstelleninformationen gilt als Schwachpunkt vieler nativer SIEM-Agenten. Wie gelingt es Pathlock, diese zyklisch erzeugten Daten intelligent mit Echtzeit-Events zu verbinden?

Eine Schwachstellenbewertung findet bei klassischen SIEM-Agenten für SAP nicht statt, sie beschränken sich auf die Übertragung von direkt verfügbaren SAP-Logs.

Als Ganzheitlicher SAP-Cybersecurity-Anbieter verfolgt Pathlock hier einen anderen Ansatz. Neben der Echtzeitanalyse über unser Threat Detection Modul erlaubt es unser Tool auch zyklisch oder bei Bedarf Schwachstellenanalysen durchzuführen, etwa zur Prüfung des Patch-Standes, der Systemkonfiguration oder zur regemäßigen Prüfung kundeneigener ABAP-Entwicklungen auf potenzielle Schwachstellen.

Das Besondere dabei: Alle gewonnen Erkenntnisse fließen unmittelbar in die Echtzeitüberwachung mit ein. So können etwa Programme mit Auffälligkeiten im Coding automatisch genauer überwacht werden, oder kritische Systemeinstellungen wirken risikobewertend auf aktuelle Sessions. Alle relevanten Ergebnisse, egal ob aus zyklischer Analyse oder Echtzeitaktivitäten werden standardisiert ans SIEM übergeben, um kontextgenaue Bewertungen und Analysen auf SIEM-Seite zu fordern und zu verbessern.

Viele SAP-Verantwortliche fürchten komplexe Integrationen oder Downtime. Wie begegnen Sie dieser Sorge – und wie schnell ist Ihre Lösung tatsächlich produktiv einsatzbereit?

Für viele klassische Sicherheitslösungen mag Integrationsaufwand oder gar Downtime ein Thema sein, bei Pathlock verfolgen wir einen anderen Ansatz. Dank der SAP-nativen Integration arbeiten wir direkt im Applikations-Stack, ohne invasive Eingriffe. Geplante SAP-Aktivitäten, die ohnehin geplant waren sind damit der einzige Grund für eine zu erwartende Downtime während der Inbetriebnahme.

In der Praxis installieren unsere Experten in der Regel eine Systemlinie pro Tag. Denn wir setzen auf ein gezieltes Enablement-Konzept: Während der initialen Implementierung schulen wir Kundenmitarbeiter so, dass sie bei Bedarf selbst weitere Systeme anbinden können. Schnell, sicher und ohne dauerhafte Abhängigkeit von externer Unterstützung.

Insgesamt ist dieser Ansatz so gewählt, um auch in großen und komplexen SAP-Landschaften in kürzester Zeit Transparenz und Sichtbarkeit zu schaffen, mit minimalem Risiko für den laufenden Betrieb.

Zum Schluss ganz praktisch: Welchen Rat würden Sie einem Unternehmen geben, das vor der Entscheidung steht, SAP-Logs erstmals in sein SIEM zu integrieren – aber noch keine klare Strategie hat?

Der wichtigste Grundsatz lautet: Nicht mit der Technik anfangen, sondern mit der Zieldefinition! Was wollen sie durch diese Integration erreichen und was ist die kurz-, mittel- und langfristige Roadmap. Wollen Sie Transparenz schaffen, regulatorischen Anforderungen genügen oder konkrete Risiken, wie Datenabfluss erkennen? Erst wenn diese Fragen gestellt und beantwortet sind, lässt sich sinnvoll entscheiden welche Events zur Zielerreichung wirklich relevant sind.



Mein Rat: Starten sie nicht mit dem Ziel: „alle SAP-Logs ins SIEM zu bringen, sondern mit der Frage: „Welche Szenarien wollen Sie konkret erkennen oder verhindern?“ Auf dieser Basis wählen sie dann gezielt relevante Events und Datenquellen aus, die notwendig sind, um entsprechende Verteidigungsmechanismen einzuführen – für den Beginn nicht mehr und nicht weniger.

Aktivieren Sie die SIEM-Anbindung schrittweise und bedarfsrechet und nur für die Informationen, die Sie zur Umsetzung der definierten Szenarien wirklich benötigten. Ebenso wichtig: Binden Sie Fachbereiche und IT frühzeitig gemeinsam ein. SAP-Sicherheit ist kein klassisches Infrastruktur-Thema und braucht fachliches Verständnis und Austausch.

Fazit: Lieber mit einem fokussierten, gut verankerten Use-Case starten, als alles gleichzeitig erfassen zu wollen. Gute Security beginnt mit Klarheit und Bewusstsein, nicht mit Volumen.