Saubere Security-Strategie mit Clean Core Ansatz

24.03.2026

Die Transformation zu SAP S/4HANA ist in vollem Gange und bringt ein neues Paradigma mit sich, das die SAP-Welt nachhaltig verändern wird: Clean Core. Das Ziel ist klar: Der Kern des ERP-Systems soll frei von individuellen Modifikationen bleiben, um die Update-Fähigkeit sicherzustellen und die Innovationsgeschwindigkeit zu erhöhen.

Während die Architektur also agiler wird, stehen IT-Verantwortliche wie IT-Leiter oder Berechtigungsadministratoren vor einer monumentalen Herausforderung. Früher definierte sich die Sicherheit eines SAP-Systems primär über den Schutz der „Zentralsysteme“ – eine Art digitale Festung mit hohen Mauern. Mit Clean Core verschiebt sich die Angriffsfläche jedoch nach außen. Wer hier nur die alten Konzepte anwendet, lässt gefährliche Flanken offen.

Der Abschied vom Monolithen: Die technologische Zeitenwende

Traditionell war SAP ein geschlossenes System mit zentraler Kontrolle. Mit Clean Core entstehen jedoch modulare und skalierbare Architekturen:

Side-by-Side-Extensions auf der SAP BTP: Statt Erweiterungen direkt im ABAP-Stack werden neue Funktionen als eigenständige Cloud Apps auf der SAP BTP betrieben und greifen über Schnittstellen auf Daten und Prozesse zu. Dadurch steigt die Zahl der angebundenen Systeme und Schnittstellen, was neue Anforderungen an Identitätsmanagement und API-Montoring stellt.
Geschäftslogik wandert aus dem ERP in die Cloud: Früher im Kern realisierte Funktionen laufen heute als Cloud-Services (z. B. Node.js, Java, CAP), wodurch die Systemlandschaft auf den ersten Blick komplexer, aber inhaltlich klarer getrennt wird. Rollen und Identitäten müssen konsistent systemübergreifend verwaltet werden, um Sicherheitslücken zu vermeiden.
Datenströme fließen ständig über APIs: Die entkoppelte Architektur erhöht den Datenverkehr zwischen Cloud-Extensions und dem S/4HANA-Backend. APIs wie OData oder REST transportieren kritische Geschäftsdaten und benötigen konsequente Überwachung. Unsichere Schnittstellen werden schnell zum Sicherheitsrisiko.
Benutzeroberflächen werden fragmentierter: Nutzer arbeiten nun mit verschiedenen Oberflächen wie Fiori-Apps, Cloud-Weboberflächen oder mobilen Anwendungen. Das macht das Rollen- und Identitätsmanagement über mehrere Systeme hinweg deutlich komplexer.

Das macht den Kern sauber – aber die Sicherheit komplexer.

Die neuen offenen Flanken: Wo lauert das Risiko konkret und warum?

1. API-Security und die Gefahr der „Schatten-Schnittstellen“

Schnittstellen waren schon immer ein kritisches Thema, doch im Clean-Core-Modell bilden sie den absoluten Dreh- und Angelpunkt. Jede Side-by-Side-Extension benötigt einen Zugriffspunkt in den Kern. Oft werden hierfür technische Benutzer oder Kommunikationsbenutzer mit weitreichenden Berechtigungen verwendet, um den Entwicklungsaufwand gering zu halten.

Das Problem dabei ist: Wenn diese APIs nicht spezifisch gehärtet, versioniert und überwacht werden, entstehen „Hintertüren“. Ein Angreifer, der eine Cloud-Applikation kompromittiert hat, könnte über eine schlecht abgesicherte OData-Schnittstelle beispielsweise massenhaft Daten aus dem Backend abziehen, ohne jemals einen klassischen Login-Bildschirm gesehen zu haben. API-Security ist hier nicht mehr nur eine IT-Aufgabe, sondern eine geschäftskritische Notwendigkeit.

2. Die Identitätslücke (Identity Mapping)

Die Identitätslücke ist ein klassischer Fallstrick für Administratoren bei der Synchronisation von Identitäten über Systemgrenzen hinweg. Ein Benutzer auf der BTP (identifiziert über einen Identity Provider wie Azure AD/Entra ID) ist technisch gesehen zunächst völlig unabhängig vom Benutzer im S/4HANA-Backend.

Hier kommt das Prinzip der „Principal Propagation” ins Spiel:

Es stellt sicher, dass die Identität eines Nutzers über alle Systemgrenzen hinweg sicher weitergereicht wird. Es wird also nicht ein allgemeiner „System-User“ für den Datenabruf genutzt, sondern die Berechtigungen des jeweiligen Anwenders werden bis ins Backend durchgereicht und dort geprüft.

Ohne eine konsequente Umsetzung dieser Identitätskette droht ein massiver Kontrollverlust. Wenn die Anwendung im Vordergrund nicht erkennt, wer im Hintergrund tatsächlich autorisiert ist, sind die Audit-Logs im S/4HANA-System wertlos, da dort nur noch anonyme Systemzugriffe verzeichnet werden.

3. Berechtigungsmanagement in der hybriden Welt

Berechtigungsadministratoren müssen heute zweisprachig arbeiten. Sie verfügen über umfassende Kenntnisse der klassischen PFCG-Welt im ABAP-Backend und der Role-Collection-Logik in der Cloud. Dort werden Zugriffe über Scopes und Attribute gesteuert. Um dies zu gewährleisten, ist es unerlässlich, beide Ebenen konsistent zu gestalten. Andernfalls können zu großzügige Cloud-Berechtigungen jeden ERP-Schutz unterlaufen und Angreifern Missbrauchsmöglichkeiten eröffnen.

Role Collections bilden die Grundlage, doch der Authorization Management Service (AMS) ermöglicht eine zentrale und nachhaltige Steuerung in den SAP Cloud Identity Services. Entwickler liefern Base Policies, Administratoren erstellen daraus Custom Policies und definieren feingranulare Einschränkungen, ohne eine Codeänderung vornehmen zu müssen. Dadurch werden Extensions sicher und wartbar. Da AMS ohne Zusatzkosten verfügbar ist, sollte er im Rahmen der Security & Governance des Clean-Core-Ansatzes Standard sein.

Nötige strategische Ansätze für IT-Verantwortliche

Um den Clean-Core-Ansatz nicht nur technisch, sondern auch organisatorisch sicher zu gestalten, ist ein radikales Umdenken notwendig. Wir müssen weg von der „Burggraben-Mentalität“, bei der man glaubte, alles innerhalb des Firmennetzwerks sei sicher, und hin zu einem modernen Architekturmodell.

Zero Trust: Wo Misstrauen der Standard ist

In einer Clean-Core-Welt gibt es kein „internes“ Netz mehr, dem man blind vertrauen kann. Jede Verbindung, auch die zwischen der eigenen BTP-Instanz und dem S/4HANA-Kern, muss nach dem Zero-Trust-Prinzip geprüft werden:

Verify Explicitly: Jede Anfrage muss authentifiziert und autorisiert sein.
Least Privilege: Zugriff nur auf die Daten, die für die spezifische Extension absolut notwendig sind.
Assume Breach: Gehen Sie davon aus, dass eine Extension kompromittiert werden könnte, und bauen Sie Barrieren im Backend auf.

Ganzheitliche Governance & Security by Design

Sicherheit darf nicht erst bei der Abnahme eines Projekts (Go-Live) zum Thema werden. „Security by Design” bedeutet, dass bereits bei der Architekturentscheidung für eine Side-by-Side-Extension festgelegt wird:

Welches IAM-Szenario (Identity & Access Management) nutzen wir?
Wie werden die APIs geschützt (z.B. über ein API-Gateway)?
Wer ist für die Rezertifizierung der Cloud-Rollen verantwortlich?

Überblick behalten mit zentralem Monitoring

Die klassischen SAP-Logs (Security Audit Log – SAL) stoßen hier an ihre Grenzen. Um Angriffe auf eine verteilte Architektur zu erkennen, müssen die Signale an einer Stelle zusammenlaufen. Dazu müssen die Logs der BTP, die Zugriffe auf die API-Gateways und die Backend-Logs in ein zentrales Monitoring-System (z. B. SAP Enterprise Threat Detection oder ein modernes SIEM-System) eingebunden werden. Nur so lassen sich komplexe Angriffsmuster erkennen, die über mehrere Systeme hinweg ablaufen.

Der menschliche Faktor: Neue Skills für neue Zeiten

Der Weiterbildungsbedarf ist nicht zu unterschätzen. Ein Berechtigungsadministrator, der 20 Jahre lang ausschließlich mit der Transaktion PFCG gearbeitet hat, wird zunächst Probleme mit OAuth2-Flows, SAML-Assertionen und JWT-Tokens (JSON Web Tokens) haben. Die IT-Leitung muss hier aktiv werden und die Teams dazu befähigen, eine Brücke zwischen der alten On-Premises-Welt und der neuen Cloud-Realität zu schlagen.

Fazit: Der Clean Core Ansatz als Chance für eine Security-Strategie mit sauberem Kern

Clean Core ist weit mehr als nur ein technisches Infrastrukturthema oder ein notwendiges Übel, um Updates schneller durchzuführen. Es stellt einen Wendepunkt für die gesamte SAP-Sicherheit dar. Durch die Entkopplung von Kern und Erweiterungen ergibt sich die einzigartige Gelegenheit, historische Altlasten in den Berechtigungskonzepten, die häufig über Jahrzehnte hinweg wie ein Wildwuchs gewuchert sind, endlich zu beseitigen.

„Offene Flanken” entstehen nur, wenn versucht wird, die neue, dynamische Cloud-Welt mit den starren Werkzeugen und dem Mindset der alten On-Premises-Welt zu verwalten. Wer jedoch das Identitätsmanagement, die API-Sicherheit und eine durchgängige Governance in das Zentrum seiner Strategie rückt, macht den Clean Core nicht nur wartungsfreundlicher, sondern auch resilienter und sicherer gegen die Bedrohungen von morgen. Der saubere Kern ist das Fundament, doch die Sicherheit entscheidet sich an den Verbindungswegen.

Haben Sie Fragen zur praktischen Umsetzung Ihrer Clean-Core-Strategie oder benötigen Sie Unterstützung bei der Absicherung Ihrer hybriden SAP-Landschaft? Wir stehen Ihnen jederzeit gerne zur Verfügung, um Ihre Sicherheitsarchitektur gemeinsam zukunftsfähig zu gestalten. Schauen Sie sich auch gerne unser SAP Security Portfolio an.

Hier Kontakt zu unseren Experten aufnehmen!

AUTOR

AUTOR Hannes Kitsche SAP Security Consultant, BLUE STEC GmbH

SAP Benutzermanagement als Managed Service ist die Zukunft der Unternehmens-IT

Entdecken Sie die Potenziale von SAP Benutzermanagement als Managed Service. Hier erfahren Sie, worauf es ankommt und warum auch für Sie das Outsourcen an einen Dienstleister sinnvoll sein könnte!

18.09.2025

SAP|SAP S/4HANA|SAP Technologie und Sicherheit

Nahtlose Bedarfsplanung mit SAP IBP for Demand und SAP S/4HANA Cloud Public Edition

SAP IBP for Demand und SAP S/4HANA Cloud Public Edition bieten eine leistungsstarke Kombination für eine nahtlose Bedarfsplanung in Ihrem Unternehmen. Erfahren Sie in diesem Blogartikel alles zum genauen Prozess und den Vorteilen der beiden Lösungen.

15.05.2025

SAP|SAP SCM

SAP on Azure – keine Sackgasse, sondern eine Zukunftsperspektive

Entdecken Sie die entscheidenden Vorteile von SAP on Azure für Ihr Unternehmen und erfahren Sie, wie ORBIS mit maßgeschneiderten Betriebskonzepten Ihre SAP-Cloud-Transformation optimal unterstützt.

29.04.2025

SAP|Microsoft Azure Cloud|SAP S/4HANA

S/4HANA Service: Die Zukunft des Kundenservice – Funktionen, Vorteile und der Umstieg von SAP CS

SAP Customer Service (CS) ist aufgekündigt! Mit S/4HANA Service steht ein mehr als würdiger Nachfolger bereit. Hier erfahren Sie alles zu Funktionen und Vorteilen.

12.03.2025

SAP|SAP CX|SAP S/4HANA Cloud

Von SAP Single Sign-On auf SAP Secure Login Service for SAP GUI – Eine Neuausrichtung der Authentifizierungstechnologie

Erfahren Sie, wie der SAP Secure Login Service für SAP GUI als cloudbasierte, moderne Authentifizierung das alte SAP Single-Sign-On ersetzt und steigern Sie somit Ihre Sicherheit, Benutzerfreundlichkeit und Betriebseffizienz!

05.02.2025