SAP Enterprise Threat Detection – Cloud Edition

Was generische SIEMs übersehen

Ein gut konfiguriertes Splunk- oder Microsoft-Sentinel-Setup sieht Netzwerkverkehr, Authentifizierungs-Events, OS-Logs, Cloud-API- Aufrufe. Es sieht aber nicht:

Das sind genau die Dinge, die in einer SAP-Compromise-Situation relevant sind. Ein Angreifer mit Standard-Berechtigung kann erheblichen Schaden anrichten, ohne im OS-Layer auffällig zu werden.

SAP ETD Cloud Edition – was es liefert

Datensammler

Über das Cloud Connector und einen on-premise Agenten werden eingesammelt:

Detection-Patterns (Auswahl, Stand 2026)

Mass-Data-Reads

Standard-User liest in 5 Minuten 50.000 Datensätze aus FAGLFLEXA (Hauptbuch-Belege). Im normalen Geschäftsbetrieb passiert das nie.

Privileged-Access-Anomalie

Ein User mit Standard-Berechtigung führt SE38 mit einem ABAP- Programm aus, das nicht zur Standard-Aufgabe gehört. Pattern erkennt das gegen die historische Baseline.

Berechtigungs-Eskalation in der Nacht

Berechtigungs-Profile werden in der Regel nur tagsüber durch spezifische Admins geändert. Eine PFCG-Rollenänderung um 03:14 Uhr durch einen frischen User → Hochpriorität.

RFC-Hopping

Ein User loggt sich in DEV-System ein, springt per SAP-GUI-RFC nach QAS, dann nach PRD, alles innerhalb von Minuten. Klassisches Pivoting.

Direct-Database-Bypass

HANA Studio Query gegen ein produktives Schema, ausgeführt mit einem User, der nicht im Standard-DBA-Pool ist.

Stammdaten-Manipulation

Bankverbindung eines Lieferanten wird geändert, dann sofort Zahlungsfreigabe für eine offene Bestellung – klassischer Vendor-Master-Fraud.

MWST-Veranlagung-Anomalie

MWST-Sätze werden im laufenden Quartal mehrfach pro Tag geändert.

Integration in vorhandene SIEMs

SAP ETD ist nicht dazu gedacht, ein generisches SIEM zu ersetzen. Es füllt die SAP-Lücke und reicht die Events angereichert weiter:

mermaid flowchart TD S4[SAP-Systeme<br/>S/4HANA, ECC, BTP] CC[Cloud Connector<br/>+ Audit-Log Export] ETD[SAP ETD Cloud Edition] Det[Detection<br/>Anreicherung<br/>Korrelation] Fwd[Forwarder] Sp[Splunk] Sn[Microsoft Sentinel] QR[QRadar] El[Elastic / Wazuh] SOC[SOC-Workflows<br/>PagerDuty, Slack, Jira] S4 --> CC CC --> ETD ETD --> Det Det --> Fwd Fwd --> Sp Fwd --> Sn Fwd --> QR Fwd --> El Sp --> SOC Sn --> SOC QR --> SOC El --> SOC click S4 call mmdInfo() "Ihre SAP-Systeme – S4HANA, ECC, BTP, SuccessFactors – produzieren Audit-Logs, Berechtigungs-Events und Anwendungsspuren. Generische SIEMs sehen Netzwerk und Betriebssystem, aber NICHT wenn jemand SE16 auf Tabelle USR02 ausführt oder ein Berechtigungs-Profil im laufenden Betrieb ändert. ETD schliesst diese Lücke." click CC call mmdInfo() "Der Cloud Connector pusht die SAP-spezifischen Logs in die ETD Cloud Edition. Die Verbindung ist verschlüsselt und ausgehend – kein Inbound-Tunnel nötig. Performance ist sub-Sekunden, Volumen-Spitzen werden gepuffert. Compliance bleibt auf Ihrer Seite." click ETD call mmdInfo() "ETD Cloud Edition ist die SAP-Schicht der Threat Detection. Sie versteht SAP-Patterns – Berechtigungs-Eskalationen, kritische Tabellen-Zugriffe, ungewöhnliche Transaktions-Muster, Joule-Skill-Missbrauch. Detection-Regeln sind out-of-the-box vorhanden und kundenspezifisch erweiterbar." click Det call mmdInfo() "Detection erkennt verdächtige Muster anhand von Regeln und Korrelationen. Anreicherung fügt Kontext hinzu – User-Rolle, Geschäftsprozess, kritische Tabellen-Klassifikation. Korrelation verbindet einzelne Events zu einer Story – drei Logins aus verschiedenen Zeitzonen plus Berechtigungs-Änderung sind nicht zufällig." click Fwd call mmdInfo() "Der Forwarder sendet angereicherte ETD-Events an Ihr bestehendes SIEM. Format ist standardisiert – CEF, JSON, OData – je nach Ziel. Sie integrieren ETD in Ihren bestehenden SOC-Workflow, nicht andersrum. Keine Doppelarbeit, keine separate SAP-Insel." click Sp call mmdInfo() "Splunk ist der weitverbreitete SIEM-Standard. ETD liefert sauber strukturierte Events mit SAP-spezifischen Feldern – User, Transaktion, Tabelle, Berechtigungen. Bestehende Splunk-Dashboards lassen sich um SAP-Detail erweitern, ohne Splunk-Logik zu lernen." click Sn call mmdInfo() "Microsoft Sentinel ist Cloud-native und integriert tief mit Entra-ID-Logs. Wenn Ihre SAP-Welt bereits über Entra ID authentifiziert, dann liefert Sentinel die End-to-End-Sicht – User-Login bis SAP-Tabellen-Zugriff in einer einzigen Korrelation." click QR call mmdInfo() "IBM QRadar ist klassischer Enterprise-SIEM-Standard. Stark in regulierten Branchen mit komplexen Compliance-Anforderungen. ETD-Events werden via DSM Plugin oder syslog konsumiert." click El call mmdInfo() "Elastic Stack oder Wazuh – Open-Source-Optionen mit grosser Flexibilität bei Custom-Dashboards und Detection-Logik. Häufig in Kombination mit selbst-gehosteten SIEMs gewählt, wenn Datenresidenz oder Lizenzkosten Themen sind." click SOC call mmdInfo() "Das Security Operations Center reagiert auf Alerts via PagerDuty, Slack und Jira. Aus dem ETD-Alert wird ein Incident-Ticket mit allen Kontext-Daten und einem klaren Runbook. Sub-Minuten-Reaktion auf SAP-spezifische Bedrohungen statt stundenlanger Forensik nach dem Incident."

Pro Detection-Pattern definieren wir den Severity-Level und den Eskalationspfad in Ihrem SOC-Workflow. Falsch-positive werden iterativ getunt.

Implementierung – die Phasen

Phase 1 – Discovery (1-2 Wochen)

Phase 2 – Setup (2-3 Wochen)

Phase 3 – Tuning (4-8 Wochen)

Phase 4 – Operations

FINMA-spezifische Anforderungen (Banken/Versicherungen)

Für FINMA-beaufsichtigte Unternehmen sind folgende Detection- Bereiche besonders relevant:

Die Cloud-Edition unterstützt diese Anforderungen mit konfigurierbaren Aufbewahrungsfristen und Schweizer Region.

Datenschutz beim Audit-Logging

Audit-Logs enthalten personenbezogene Daten (User-IDs, Transaktions-Pfade, gelegentlich Inhalts-Snippets). Wichtig:

Was wir nicht versprechen

Stand: 2026-05-10

SFOUR Consulting — Übersicht · Kontakt