Wenn ich mit einem CISO über SAP spreche, geht es selten darum, dass er etwas nicht weiß. CISOs in deutschen Konzernen und im großen Mittelstand sind in den meisten Fällen Profis. Sie kennen Cloud-Architekturen, Identity-Konzepte, Detection-Stacks und die Spielregeln mit Vorstand, Aufsichtsrat und Behörden meist besser als jeder Externe.
Was in den meisten CISO-Offices nicht ausgebildet ist, ist eine bestimmte Disziplin: SAP-Security in der Tiefe, in der das System sie verlangt. Das ist keine Wertung, sondern eine Beobachtung über eine strukturelle Lücke, die in der gesamten Branche existiert.
Niemand hat „SAP-Sicherheit“ studiert. Die Disziplin entstand neben dem ERP-System, im Schatten der Berechtigungsadministration, oft aus der Basisbetreuung heraus. Sie hat ihren eigenen Wortschatz, eigene Frameworks, eine eigene Community, eigene Bühnen. Wer als CISO aus dem Netzwerk-, Identity- oder Cloud-Umfeld kommt, hat zur SAP-Welt strukturell denselben fachlichen Abstand wie z.B. zur „Operational Technology“ in einer Raffinerie: bekanntermaßen wichtig, fachlich fremd, schwer aus eigener Kraft kompetent zu vertreten.
In den meisten Häusern ist dieser Abstand eigentlich kein Problem, mit dem bekannten „Eigentlich“: Solange das SAP-Team intern stabil ist, solange keine größere Transformation läuft, solange kein Audit-Finding auf SAP zielt, solange keine BSI- oder Aufsichtsrats-Frage zu SAP kommt. Dieser „solange“-Zustand hat in den vergangenen achtzehn Monaten, im krisengeschüttelten Jahr 2026 für viele Häuser geendet, und das ist der Hintergrund, vor dem dieser Text steht.
Wo der Schmerz sichtbar wird
Konkret äußert sich die Lücke immer dort, wo das CISO-Office Position beziehen oder zu Entscheidungen gezwungen wird, aber nicht über Wissen in der Tiefe verfügt, das aus eigener Kraft zu tun. Fünf Beispiele, die mir in unterschiedlichen Häusern mehrfach begegnet sind.
Erstens, der monatliche Strom an SAP Security Notes. Die Notes werden vom Basis-Team gesichtet, eingestuft und meist als „eingespielt“, „nicht zutreffend“ oder „später“ abgehakt. Was selten passiert: die zweite Lesart, die fragt, welche Note im Kontext unserer Landschaft, unserer Schnittstellen und unserer eigenen Custom-Entwicklung wirklich gefährlich ist. Diese Bewertung kommt nicht aus der Note selbst, sondern aus einer Risikoabwägung, die die Lage des eigenen Hauses kennt. Das CISO-Office bekommt die Liste, kann aber strukturell selten die zweite Lesart leisten.
Zweitens, SAP BTP und RISE, S/4. Die großen Transformationsprogramme werden von Systemintegratoren getragen, die ihre eigenen Sicherheitsversprechen mitbringen. Die meisten dieser Versprechen sind sachlich nicht falsch. Aber jeder Integrator hat eine kommerzielle Schnittmenge mit dem Versprechen, aber die unabhängige Verifikation gehört nicht zu seinem Auftrag. Wer im CISO-Office die Versprechen prüfen muss ohne selbst SAP-Tiefe zu haben, ist in einer strukturell schwachen Position.
Drittens, der schleichende Vendor-Zugang. Über Jahre haben Dutzende externe Personen Zugriffe auf produktive SAP-Systeme erhalten — oft mit großzügig gefassten Rollen, oft zur Krisenintervention, oft mit den besten Absichten. Das jährliche Audit findet später eine Liste mit Hundert nicht-bereinigten Konten und produziert ein Finding. Das CISO-Office bekommt das Finding. Die SAP-seitige Ursachenanalyse, warum es passiert ist und wie es strukturell verhindert wird, ist ein anderes Thema, und meistens kein Thema, das im Audit-Bericht steht.
Viertens, Vorstands- und Aufsichtsratsfragen zu NIS2 und SAP. Die Aufsichtsfunktion fragt, wie der SAP-Anteil unter NIS2 aufgestellt ist. Die Frage wird übersetzt und weitergereicht. Was zurückkommt, ist häufig technisch korrekt , aber selten in einer Sprache, die das Gremium als belastbare Antwort versteht. Dieses Übersetzungsproblem zwischen SAP-Detail und Aufsichts-Vokabular ist im vergangenen Jahr eines der häufigsten geworden, das ich höre.
Und am Ende die Entscheidung im Fall eines Security Incidents: Das CISO-Office steht im laufenden Sicherheitsvorfall vor der Frage, ob ein bestimmtes SAP-System heruntergefahren wird. Die Frage „was kostet uns die Stunde an Stillstand“ ist vom Controlling beantwortbar. Die Frage „was bedeuten die nächsten 48 Stunden für die offenen Fertigungsaufträge, für die Materialdisposition, für die Liefertreue gegenüber den drei größten Kunden“ — das ist eine Antwort, die im SAP-System selbst steckt, und die im Stress eines Vorfalls nicht aus dem Stand erreichbar ist.
Alle diese Punkte haben gemeinsam, dass sie nicht durch eine punktuelle Sicherheitsmaßnahme zu lösen sind. Sie sind Symptome einer Lücke durch die fehlende dauerhafte Funktion im CISO-Office.
Warum sich das nicht durch ein Projekt lösen lässt
In der klassischen Beratungslogik wird so etwas mit einem Projekt beantwortet: ein Pentest, ein Audit, ein Konzept, ein Workshop. Das funktioniert für Einzelfragen. Für das, was hier beschrieben ist, funktioniert es nicht, weil die Fragen nicht punktuell sind. Sie kommen jeden Monat in einer neuen Variante.
Eine SAP Note wird heute eingespielt, in vier Wochen kommt die nächste. Ein Audit-Finding wird geschlossen, im nächsten Audit-Zyklus taucht ein verwandtes Finding auf, weil die Ursache nicht adressiert wurde. Ein RISE-Vertrag wird unterschrieben, ein halbes Jahr später bringt SAP ein neues Service-Element auf den Tisch, das vertraglich anders gefasst werden müsste. NIS2 ist nicht im Januar fertig beantwortet, sondern verschiebt sich quartalsweise. Die Aufsichtsratssitzung, in der eine SAP-Frage kommt, ist nicht planbar.
Was hier strukturell fehlt, ist keine zusätzliche Beratungsleistung, sondern eine Funktion, die in der Linie mitläuft — eine Rolle, die einen Sitz im CISO-Office hat, ohne ihn fest zu besetzen. Die meisten Häuser können sich einen vollzeitlichen SAP-CISO nicht leisten und brauchen ihn auch nicht. Was sie brauchen, ist ein Bruchteil seiner Zeit, dauerhaft und kalkulierbar.
Wie eine sinnvolle Auslagerung aussieht
Aus den Mandaten, in denen das funktioniert, lassen sich drei Tiefen unterscheiden — abhängig davon, wie weit das CISO-Office die Funktion intern abdeckt und wie weit es Verantwortung extern repräsentiert sehen will.
Die schmalste Variante ist ein Sparring auf Abruf: zwei Tage im Monat, dazu ein kurzer Eskalationsweg für akute SAP-Fragen. Geeignet für CISO-Offices, die ihre eigene SAP-Linie haben und nur einen externen Sparringspartner brauchen. Sie suchen jemand, dessen Bewertung sie hören wollen, bevor sie eine Entscheidung treffen, und der ihnen einmal im Quartal eine ungeschönte Lageeinschätzung liefert.
Eine mittlere Variante ist die operative Erweiterung des CISO-Office: drei Tage im Monat, mit eigenen Slots in Vorstandsberichten, mit der Begleitung von Audits, mit aktiver Mitgestaltung der SAP-Security-Roadmap. Geeignet für Konzerne in Transformationsphasen, in denen SAP nicht das einzige Thema ist, aber eines, das eigene Vertretung braucht.
Die tiefste Variante ist die temporäre Übernahme der Funktion: vier Tage im Monat, in der Praxis als externer SAP-CISO sichtbar, in Vorstand und Aufsichtsrat berichtend, in Krisenstäben präsent. Geeignet für Häuser ohne dedizierten SAP-CISO oder während der Vakanz- und Aufbauphase. Diese Variante ist oft ein Übergang — sie endet, sobald intern eine Nachfolge aufgebaut ist, was zu den Aufgaben dieser Funktion explizit gehört.
Alle drei laufen typischerweise als 12-Monats-Mandat mit festem Monatspreis. Nicht weil Beratung so verkauft wird, sondern weil die Funktion nur funktioniert, wenn sie planbar ist, und das gilt hier für beide Seiten.
Was zu dieser Funktion gehört
Vier Bereiche, die in unterschiedlicher Gewichtung in allen drei Tiefen vorkommen.
Strategie und Roadmap. Eine SAP-Security-Roadmap, die nicht aus dem Beratungs-Baukasten kommt, sondern aus der realen Lage des eigenen Hauses. Priorisierung aus Angreiferperspektive, abgestimmt mit Audit-, Aufsichts- und Compliance-Anforderungen. Wenig PowerPoint, viel Sortierung.
Vorstands- und Aufsichtsratsreporting. SAP-Risiken in Vorstandssprache übersetzt — also nicht „CVSS 9.2 wurde geschlossen“, sondern „die Wahrscheinlichkeit, dass ein Außenstehender unsere kritische Lohnabrechnungs-Datenbank lesen kann, ist seit dem letzten Bericht von ‚gegeben‘ auf ‚unwahrscheinlich‘ gesunken“. Drei Folien pro Quartal, ein Sonderbriefing bei besonderen Lagen, vorbereitete Antworten auf die zehn wahrscheinlichsten Aufsichtsratsfragen.
Audit- und Compliance-Begleitung. Vorbereitung interner Revisionen, externer Pflichtprüfungen, ISO-27001-, BSI-C5-, NIS2- und SOX-Themen mit SAP-Bezug. Das Ziel ist nicht, das Audit zu „bestehen“, sondern dass Prüfer im Gespräch erleben, dass die Antwortqualität auf SAP-Fragen mit der auf Netzwerk-Fragen gleichgezogen hat. Das ist es, was dem CISO-Office tatsächlich Reputation einbringt — extern wie intern.
Vendor- und Systemintegrator-Management. Sparring bei Verhandlungen mit SAP, mit Implementierern, mit Cloud-Anbietern. Die Sicherheitsversprechen werden gegen die Realität geprüft, nicht gegen die Marketing-Folien. Bei den Mandaten der letzten Jahre war das oft der wirtschaftlich am stärksten messbare Beitrag — nicht weil große Summen direkt eingespart wurden, sondern weil die Verträge auf einem Niveau verhandelt wurden, das ohne SAP-Tiefe im Raum nicht möglich gewesen wäre.
Dazu kommen zwei Querschnittsleistungen, die sich nicht sauber einer der vier Säulen zuordnen lassen: eine SAP-Threat-Intelligence mit konkreter Übersetzung auf die eigene Landschaft (kein generischer Newsletter), und die Präsenz im Vorfall — ohne neuen Vertrag, ohne Eskalationstarif, einfach als verfügbarer Krisenstabs-Teilnehmer, wenn etwas passiert.
Wann es passt und wann nicht
Diese Funktion ist nicht für jedes Haus die richtige Antwort. Sie passt, wenn SAP geschäftskritisch ist, wenn der CISO existiert, aber nicht aus SAP-Tiefe kommt, wenn regulatorischer Druck (NIS2, KRITIS, Branchenstandards) zunimmt, wenn Systemintegratoren und Hersteller in Mehrzahl im Spiel sind, und wenn der Vorstand zunehmend SAP-spezifische Fragen stellt. Sie passt besonders gut in den Übergangsphasen einer RISE-Migration, S/4-Programm, BTP-Einführung, Fusion oder Carve-Out, Wechsel im CISO-Office.
Sie passt nicht in Häusern, in denen SAP eine Randanwendung ist. Sie passt nicht als verkappter Pentest, denn das ist eine andere Leistung. Sie passt nicht, wenn ein interner SAP-CISO bereits existiert, der das Mandat hat, denn dann ist die Funktion in der Linie besetzt, und ein externer Träger würde stören statt ergänzen.
Sie passt auch nicht, wenn das CISO-Office die SAP-Verantwortung an das SAP-Team delegiert hat und mit dieser Delegation zufrieden ist. Wenn diese Trennung funktioniert, soll man sie nicht aus theoretischen Gründen aufbrechen. Die Trennung funktioniert in einer Minderheit der mir bekannten Häuser, aber sie funktioniert.
Was Sie morgen tun könnten
Wer den Text bis hierhin gelesen hat, hat vermutlich schon eine eigene Lesart, ob die hier beschriebene Lücke bei ihm existiert. Vier konkrete Schritte, die in den nächsten zwei Wochen umsetzbar sind, und die unabhängig von jeder externen Funktion einen Status erzeugen, an dem Sie ablesen können, wie weit Sie wirklich stehen.
Erstens: Lassen Sie sich vom SAP-Team eine Liste geben, welche SAP Security Notes des letzten Quartals als „nicht relevant“ oder „später“ eingestuft wurden und welcher Mensch im Haus diese Einstufung verantwortet. Das Gespräch mit diesem Menschen ist erkenntnisreich.
Zweitens: Schlagen Sie das letzte Audit auf und markieren Sie alle Findings, die SAP-spezifisch sind. Fragen Sie für jedes Finding nach der Ursachenanalyse — nicht nach der Behebung. Was zurückkommt, sagt viel über die Reife des SAP-Security-Prozesses.
Drittens: Bereiten Sie eine SAP-Folie für das nächste Quartalsreporting an den Vorstand vor. Drei Kennzahlen, eine Risiko-Heatmap, ein offener Punkt mit Begründung. Wenn diese Folie aus dem Stand möglich ist, ist Ihre Funktion intern besetzt. Wenn sie nicht möglich ist, kennen Sie jetzt den nächsten konkreten Schritt — unabhängig davon, ob er intern oder extern besetzt wird.
Wer nach diesen vier Schritten den Eindruck hat, dass die Funktion in seinem Haus dauerhaft besetzt werden müsste, wer das in einer Form überlegt, die unterhalb einer Vollzeit-Stelle liegt findet die formelle Beschreibung dessen, wie wir das bei log(2) anbieten, auf der entsprechenden Seite. Der dort beschriebene Dreischnitt ist die strukturierte Form dessen, was in diesem Text beschrieben ist. Ein Erstgespräch dauert 60 Minuten, kostet nichts und führt in einer Mehrzahl der Fälle nicht zu einem Mandat. Manchmal ist die ehrliche Antwort, dass die Lücke bereits intern geschlossen ist, oder dass ein anderes Format besser passt. Beides ist ein nützliches Ergebnis.
