SAP-Sicherheit: Zwischen Checklisten, Karriererisiko und dem organisierten Wegsehen

LGR Reutlingen – 28 Mai 2026 | Im digitalen Zeitalter sind SAP-Systeme das Rückgrat zahlreicher Unternehmen. Milliarden von Euro an Unternehmensdaten, Finanzströme, Personalakten und Lieferketten fließen durch diese Systeme. Dennoch wird das Thema SAP-Sicherheit in vielen Vorstandsetagen oft mit einem zustimmenden Nicken nach außen abgetan, während es intern als Problem für die IT-Abteilung abgetan wird. Diese Wahrnehmung ist nicht nur falsch, sondern hat auch weitreichende Konsequenzen.

Regulierungen und Sicherheitsframeworks sind vorhanden, Audits werden durchgeführt und dokumentiert. Dennoch gibt es eine signifikante Lücke in der Wahrnehmung und im Handeln vieler Unternehmen. Diese Lücke wird oft ignoriert, da ihre Schließung nicht nur Unannehmlichkeiten mit sich bringt, sondern auch finanzielle Investitionen erfordert und letztlich eine Übernahme von Verantwortung bedeutet.

Der Chief Information Security Officer (CISO) ist sich der Herausforderungen bewusst. Er kennt die kritischen Punkte und kommuniziert diese nach oben – sei es in Entscheidungsvorlagen oder internen Gesprächen, untermauert mit Zahlen und Argumenten. Doch hier beginnt das Dilemma: Eine Führungsebene, die sich auf Quartalszahlen konzentriert, denkt nicht an langfristige Risikoszenarien. Sicherheitsinvestitionen werden als belastende Ausgaben und nicht als strategische Notwendigkeit wahrgenommen. Dies führt zu einer verhängnisvollen Situation, in der der CISO zwischen den Stühlen sitzt: zwischen der Notwendigkeit, Risiken zu adressieren, und der Gefahr, als Kostentreiber wahrgenommen zu werden. Wer sich zu laut äußert, riskiert seine Karriere.

Die Realität, mit der Unternehmen konfrontiert sind, ist, dass es nicht mehr die Frage ist, ob ein Sicherheitsvorfall eintreten wird, sondern wann. In einem aktuellen Videopodcast diskutiert Andreas Kirchebner, Security Delivery Senior Manager bei Accenture, die unbequemen Wahrheiten hinter Audits, Frameworks und den bestehenden Verantwortungsstrukturen. Er beleuchtet, wo das ISMS-Framework endet und wo das reale Risiko beginnt, das von vielen Checklisten nicht erfasst wird.

Die Herausforderung für Unternehmen liegt auch darin, die Kompetenzen ihrer SAP-Berater zu bewerten. Verfügen diese tatsächlich über das nötige Wissen zur Sicherheit oder verkaufen sie lediglich schön gestaltete Folien? Zudem wird die Rolle der Künstlichen Intelligenz in der Branche kritisch hinterfragt. Kann sie den eklatanten Fachkräftemangel beheben, oder ist sie lediglich ein teures Pflaster auf einem strukturellen Problem, das seit Jahren ignoriert wird?

Die Antworten auf diese Fragen sind alles andere als beruhigend. Die Branche muss sich mit unangenehmen Wahrheiten auseinandersetzen und bereit sein, Verantwortung zu übernehmen. Die Vorstellung, dass Sicherheitsfragen nur die IT-Abteilung betreffen, ist eine gefährliche Illusion. Führungskräfte müssen verstehen, dass eine solide SAP-Sicherheit kein isoliertes Thema ist, sondern einen integralen Bestandteil der Unternehmensstrategie darstellt.

Die aktuelle Situation erfordert ein Umdenken in den Führungsetagen. Sicherheitsstrategien müssen in die Gesamtstrategie des Unternehmens integriert werden, und es bedarf einer Kultur, die Sicherheit nicht nur als Kostenfaktor, sondern als wesentlichen Teil des Geschäftserfolgs betrachtet. Nur so kann das Risiko eines Sicherheitsvorfalls minimiert und die Integrität der Unternehmensdaten gewahrt werden.