Stärkere Authentifizierung in allen SAP-Systemen 

Authentifizierung sowie Rollen und Berechtigungen sind zwei unterschiedliche, aber sich ergänzende Ebenen der SAP-Sicherheit. Die SAP-Authentifizierung steuert, wie Benutzer beim Zugriff auf SAP ihre Identität nachweisen – beispielsweise durch Passwörter, Single Sign-On, MFA oder passwortlose Methoden. Rollen und Berechtigungen steuern, was Benutzer tun können, sobald sie sich im System befinden.

Beide sind unverzichtbar und eng miteinander verbunden. Eine starke Authentifizierung verringert das Risiko eines unbefugten Zugriffs, während gut verwaltete Rollen und Berechtigungen die Auswirkungen dieses Zugriffs begrenzen. Eine effektive SAP-Sicherheit erfordert, dass beide Ebenen gut konzipiert und gut verwaltet sind.

Ja, SAP unterstützt Single Sign-On und MFA, aber wie diese in der Praxis funktionieren, hängt von Ihrer SAP-Landschaft ab. Native SAP-Funktionen, SAP Cloud Identity Services und Unternehmens-Identitätsplattformen werden häufig kombiniert, um Benutzer über SAP GUI, Fiori, Webanwendungen und Cloud-Services hinweg zu authentifizieren.

Die Implementierung von SSO und MFA in einer komplexen SAP-Landschaft erfordert eine sorgfältige Planung hinsichtlich Systemarchitektur, Identitätsverbund und Benutzergruppen. In den meisten Umgebungen sind zusätzliche Design- und Integrationsarbeiten erforderlich, um diese Kontrollen konsistent anzuwenden – ohne die Benutzer zu stören oder kritische Integrationen zu unterbrechen.

Die Authentifizierungsansätze unterscheiden sich je nach SAP-Bereitstellungsmodell. In On-Premise-Umgebungen verwalten Unternehmen die Authentifizierung in der Regel direkt – sie konfigurieren SSO und Zugriffskontrollen über ihre SAP-Systeme hinweg.

In Cloud- und RISE with SAP-Umgebungen spielt SAP Cloud Identity Services eine zentrale Rolle und bündelt die Authentifizierung zwischen SAP-Anwendungen und dem Unternehmensidentitätsanbieter des Unternehmens.

Im Rahmen des RISE-Modells der geteilten Verantwortung bleibt die Authentifizierung in der Verantwortung des Kunden. SAP verwaltet die Infrastruktur, aber Unternehmen müssen ihre eigenen SSO-, MFA- und Authentifizierungskontrollen konfigurieren und steuern. Diese unterschiedlichen Verantwortlichkeiten werden oft missverstanden und können zu Authentifizierungslücken führen, wenn sie nicht bewusst berücksichtigt werden.

Passwortlose Authentifizierung wird für SAP zunehmend realistischer, ist jedoch selten eine pauschale Umstellung. Die meisten Unternehmen führen sie schrittweise ein, parallel zu SSO und MFA, und passen sie an verschiedene Systeme, Benutzergruppen und Risikoprofile an.

Der Schlüssel liegt darin, zu verstehen, wo passwortlose Authentifizierung heute sinnvoll ist, wie sie sich in SAP- und Unternehmensidentitätsplattformen integrieren lässt und wie man sie einführt, ohne den Zugriff oder den Betrieb zu stören – insbesondere in Umgebungen mit älteren Anmeldemethoden.

Die SAP-Authentifizierung ist eine gemeinsame Verantwortung, doch die Grenzen sind oft unklar – insbesondere in Cloud- und RISE with SAP-Umgebungen. SAP verwaltet die zugrunde liegende Infrastruktur, doch die Konfiguration der Authentifizierung, die Einrichtung von SSO und die Durchsetzung von MFA liegen weiterhin in der Verantwortung des Kunden.

Innerhalb des Unternehmens erstreckt sich die Zuständigkeit in der Regel über SAP-Teams, Unternehmensidentitätsteams und die IT-Sicherheit. Ohne klare Verantwortlichkeiten kann dies zu Lücken führen. Unternehmen, die die Zuständigkeiten klar definieren – einschließlich der Frage, wer entscheidet, wer implementiert und wer die Authentifizierungskontrollen betreibt –, erzielen konsistentere und effektivere Ergebnisse.