Mehr Sicherheit durch Zusammenarbeit
DSAG und SAP haben die Multi-Faktor-Authentifizierung weiterentwickelt
Die Multi-Faktor-Authentifizierung (MFA) gilt als ein zentraler Baustein moderner IT-Sicherheitskonzepte. Seit Januar 2026 steht für die MFA auf SAP-Plattformen eine erweiterte Funktion zur Verfügung, die durch Kundenadministratoren gesteuert werden kann. Über die Zusammenarbeit von DSAG und SAP bei der Lösung sprechen Frank Engelbrecht, Sprecher des DSAG-Arbeitskreises CCC/Service & Support und Cüneyt Çam, Senior Program Director der SAP Bring Your Own Identity Initiative bei der SAP SE, im impulsant-Interview.
Die Einführung einer erzwingbaren Multi-Faktor-Authentifizierung (MFA) ist ein wichtiger Schritt. Was hat die SAP dazu bewogen, die MFA dahingehend weiterzuentwickeln?
Cüneyt Çam: Die Diskussion rund um MFA begleitet uns schon länger. Der entscheidende Impuls zur Weiterentwicklung kam aus dem DSAG-Arbeitskreis CCC/Service & Support. Das Gremium hat an uns zurückgespielt, dass die bislang freiwillige Aktivierung der MFA durch einen Endanwender nicht ausreicht, um unternehmensweite Sicherheitsanforderungen zu erfüllen. Das war für uns der Auslöser, gemeinsam mit dem Arbeitskreis diesen Hinweis umzusetzen.
Konkret ging es also um eine Sicherheitslücke?
Çam: Mit „Lücke“ ist der Sachverhalt technisch nicht ganz präzise ausgedrückt. Aus Governance- und Compliance-Sicht würde ich es eher als Schwachstelle definieren. Denn letztlich ging es nur darum, dass Unternehmen mit der vorhandenen freiwilligen MFA-Option nicht sicherstellen konnten, dass alle ihre Nutzer die Multi-Faktor-Authentifizierung verwenden.
Wie verlief der Prozess von der Anforderung bis zur Umsetzung?
Çam: Es war ein intensiver Austausch mit den Arbeitskreisvertretern. Neben konzeptionellen Fragen, wie z. B. zum Umfang der MFA-Funktion, der einfachen Pflege und der Frage, welchen SAP-Plattformen damit abgedeckt werden sollen, ging es auch um die technische Umsetzung, die Usability und die Auswirkungen auf bestehende Prozesse. Konkret um den Schutz kritischer Funktionalitäten bzw. Plattformen wie in HR oder Finance und damit den Zugriff auf entsprechende Daten. Dafür waren die Rückmeldungen aus dem Arbeitskreis und die Diskussionen sehr wertvoll. Daraus entstand dann eine bewusst sehr einfach gehaltene Lösung. Die Super-Administratoren der Unternehmen können MFA gezielt für einzelne oder alle ihre S-User aktivieren, und zwar direkt im User Management Tool auf der SAP-for-Me-Plattform.
Frank Engelbrecht: Das macht die Lösung aus DSAG-Sicht nicht nur sinnvoll, sondern vor allem auch praktikabel.
Demnach gibt es dank MFA nun zwei Wege zur Sicherheit?
Çam: Richtig. Zum Einen die freiwillige Aktivierung durch den Endanwender und zum Anderen die erzwingbare Aktivierung durch den Super-Administrator. Wichtig dabei ist die Tatsache, dass die Administrator-Einstellung Vorrang hat und die Durchsetzung von Sicherheitsprozessen im Unternehmen dadurch einfacher und umfassender gewährleistet werden kann.
Engelbrecht: Genau das war aus unserer Sicht der Baustein, der bislang gefehlt hatte. Viele Unternehmen haben klare Security-Vorgaben, aber keine umfassenden Durchgriffsmöglichkeiten, um diese sauber umzusetzen. Das wird nun mit MFA gewährleistet.
Was ist der konkrete Nutzen für die Unternehmen?
Çam: Mit der erweiterten Funktion lässt sich nun zentral steuern, wer MFA im Unternehmen nutzen muss und wer nicht. Das erhöht die Sicherheit und die Compliance-Fähigkeit gleichermaßen. Die Umsetzung der MFA-Funktion ist bewusst schlank gehalten, um sie zu beschleunigen und dadurch potenzielle Schäden zu vermeiden. Die Nutzer werden z. B. automatisch per E-Mail-Benachrichtung über das Tool informiert und nächsten Log-in auf den SAP-Plattformen die gewünschte MFA-Option auswählen und aktivieren.
Engelbrecht: Die DSAG-Mitglieder empfinden z. B. die zentrale Steuerung und die einfache Umsetzung auf ihre Systeme als besonders positiv. Zudem findet Anklang, dass bestehende individuelle Einstellungen zwar berücksichtigt, im Zweifelsfall aber übersteuert werden können. Das macht die Lösung aus unserer Sicht besonders praxistauglich. Und darum geht es ja am Ende immer.
Also ist MFA ein echter Gewinn an Sicherheit?
Çam: MFA bringt vor allem, dass sich entsprechende Risiken wie z. B. der Missbrauch bestehender S-User-Zugänge durch unbefugte Dritte deutlich reduzieren lassen. Selbst wenn Zugangsdaten kompromittiert werden sollten, verhindert der zweite Faktor den unbefugten Zugriff auf das System und die Daten.
Engelbrecht: Neben dem Plus an Sicherheit auf den SAP-Plattformen als praktischer Nutzen, ist MFA natürlich auch ein schönes Beispiel, wie Hinweise aus den DSAG-Gremien in konkreten Lösungen umgesetzt werden.
Rückblickend betrachtet: Was hat das „Projekt MFA“ ausgezeichnet?
Çam: Der gesamte Prozess ist ein gutes Beispiel für eine gelungene und erfolgreiche Zusammenarbeit von DSAG und SAP. Offenes Feedback, ein strukturierter Austausch und die Bereitschaft, gemeinsam ein konkretes Thema voranzubringen und praktisch umzusetzen. Das waren für mich wichtige Erfolgsfaktoren. Dazu gehört auch die Unterstützung durch den Arbeitskreis Security und Vulnerability Management und seinem einschlägigen Know-how im Bereich MFA.
Engelbrecht: Das kann ich aus der Perspektive der DSAG nur bestätigen. Die MFA-Erweiterung ist nicht nur ein technisches Feature für ein modernes IT-Sicherheitskonzept, sie zeigt auch, wie wertvoll die Zusammenarbeit von SAP und DSAG sein kann. Und vor allem ist sie ein Beleg dafür, dass Hinweise aus der DSAG zu konkreten Verbesserungen von SAP-Lösungen führen können.
Vielen Dank für das Gespräch.
