logo

Are you need IT Support Engineer? Free Consultant

SAP SuccessFactors Cybersecurity Übersicht – SAP Community

  • By Sanjay
  • 04/06/2026
  • 14 Views


Bgr4Sf_0-1780475581407.Png

SAP SuccessFactors gehört als Human Capital Management (HCM) Suite zu den sensibelsten Cloud-Anwendungen im SAP-Portfolio: SuccessFactors verarbeitet personenbezogene Mitarbeiterdaten, darunter Gehaltsabrechnungen, Leistungsbeurteilungen und Bewerbungsunterlagen. Datenkategorien, die unter den regulatorischen Schutz der Datenschutz-Grundverordnung (DSGVO) fallen.

Dieser Artikel möchte Ihnen einen Einblick in die Cybersecurity-Maßnahmen rund um SAP SuccessFactors geben. Folgende Themen greifen wir auf:

  • SAP SuccessFactors Cloud Security Konzept
  • Datensicherheit – Verschlüsselung, Trennung, Löschung von Daten
  • Anwendungssicherheit – Zugriffe, Protokolle, SuccessFactors Mobile App
  • Betriebssicherheit – Monitoring, Resilienz, Patch-Mgmnt, Business Continuity
  • Vertragliche Grundlage
  • Transparenz und Compliance – Zertifikate  und Prüfberichte
  • Übergreifendes Cybersecurity Konzept für SAP Cloud Services

Cloud Security Konzept SAP SuccessFactors

SAP SuccessFactors ist eine Software as a Service (SaaS) Lösung. In diesem Cloud Modell liegt eine erhebliche Sicherheitsverantwortung beim Cloud Service Provider.

SAP verantwortet die Infrastruktur, einschließlich Bereitstellung der kundenspezifischen Instanzen. Dies umfasst auch die folgenden Leistungsmerkmale und Aufgaben:

  • Sichere Softwareentwicklung
  • Betriebsführung
  • Sicherung der Plattformarchitektur
  • 24×7 Security Monitoring & Logging
  • Patch- und Bedrohungsmanagement
  • Pentests und Schwachstellentests
  • Resilienz und Hochverfügbarkeit
  • Business Continuity Management
  • Managed Backup and Restore
  • Incident and Change Management
  • 24×7 Kunden Support
  • Prüfung und Einbindung von Unterauftragsverarbeitern
  • Security-Zertifikate und Prüfberichte
  • Dokumentierte Compliance der Cloud-Services

Bei SAP SuccessFactors verantwortet der Kunde die Konfiguration sowie die Benutzer- und Datenpflege in einer Instanz. Das umfasst auch die folgenden Aufgaben:

  • Einrichtung Benutzer
  • Einrichtung Identity Management
  • Definition und Zuweisung von Benutzerrollen und Benutzergruppen
  • Definition der Berechtigungen
  • Konfiguration der Geschäftsprozesse
  • Einrichtung und Aktivierung von Integrationen
  • Berücksichtigung von Compliance-Anforderungen
  • Security Audit Logging Verantwortung in der Instanz
  • Pflege der Daten
  • Fristgerechte Löschung von Daten

SAP klassifiziert alle Kundendaten in SAP SuccessFactors als vertraulich und wendet die im Datenverarbeitungsvertrag (SAP DPA) definierten Sicherheitsmaßnahmen (TOMs) an.

SAP SuccessFactors wird im Rahmen eines regionalen Bereitstellungsmodell angeboten. Die Rechenzentren für unsere europäischen Kunden befinden sich in der Europäischen Union, dem EWR oder der Schweiz. Dabei greift SAP auf eine Kombination aus eigenen Rechenzentren und Hyperscaler Infrastrukturen zurück.

Cloud Datensicherheit

Der Schutzbedarf der Daten in SAP SuccessFactors ist hoch. Personenbezogene Daten, darunter möglicherweise besondere Kategorien personenbezogener Daten gemäß Artikel 9, DSGVO, treten im Kontext mit unternehmensbezogenen Daten auf, die vertraulich und geschäftskritisch sein können, aber auch Konfigurationsdaten, die als sicherheitsrelevant eingestuft werden müssen, da Fehlkonfigurationen die Verarbeitung gefährden können.

Zum Schutz dieser Daten werden die folgenden Maßnahmen bereitgestellt.

Verschlüsslung gespeicherter Daten

SAP stellt Data-at-Rest-Verschlüsslung im Standard bereit. Wenn Daten abgelegt werden, dann werden sie auch verschlüsselt. Die Verschlüsselung erfolgt mittels AES 256 Standard. Für die Verwaltung der Schlüssel ist SAP verantwortlich.

Darüber hinaus bietet SAP für SAP SuccessFactors auch kundeneigene Verschlüsselung an d.h. Unternehmen und Organisationen, die Kontrolle über ihre kryptografischen Schlüssel benötigen, können den (aufpreispflichtigen) SAP Key Management Service (SAP KMS) nutzen. Dieser unterstützt drei Betriebsszenarien:

  • Customer Specific Encryption Keys (CSEK)
  • Bring Your Own Key (BYOK)
  • Hold Your Own Key (HYOK)

SAP KMS bietet FIPS-140-2-Konformität im Level 3, Funktionstrennung (Segregation of Duties), Master Key Management und die Protokollierung aller Schlüsselzugriffe.

Verschlüsslung übertragener Daten

Daten während der Übertragung (Data-in-Transit) werden mittels TLS 1.2 oder TLS 1.3. Protokoll und starken Chiffren verschlüsselt.

Beim Datenaustausch via OData API‘s wird zertifikatbasierte Authentifizierung unterstützt.

Dateiaustausche werden via SFTP geschützt. Der Schutz der Dateien kann durch eine Verschlüsselung auf Pretty Good Privacy (PGP) Basis noch ausgeweitet werden.

Datensicherung

SAP SuccessFactors stellt standardmäßig für alle Kundendatenbanksicherungen folgendes bereit:

  • Tägliche inkrementelle Sicherungen.
  • Wöchentliche vollständige Datenbanksicherungen.
  • Alle Sicherungen werden nach dem AES-256-Bit-Standard verschlüsselt.
  • Sicherungen werden sowohl im Produktivrechenzentrum als auch im Backuprechenzentrum des Kunden gespeichert.
  • Sicherungen werden 30 Tage lang gespeichert.
  • Produktionskunden können eine Wiederherstellung aus einer Sicherung über den Kundensupport anfordern.

SAP verfügt über einen formalen Systemsicherungsprozess und -zeitplan für die SAP-Cloud-Lösungen, der hardwareunabhängige Wiederherstellungs- und Wiederherstellungsfunktionen umfasst. Es sind geeignete Prozesse und automatisierte Tools vorhanden, um die Integrität der Sicherung zu validieren, und Sicherungsprotokolle werden täglich überprüft, um Sicherungsfehler zu erkennen und zu korrigieren.

Sichere Datentrennung

SuccessFactors läuft als Mehr-Mandanten-Anwendung mit logischer Datentrennung auf Datenbankebene. Die logische Trennung von kundenspezifischen Daten wird mittels HANA Datenbankschemen umgesetzt. Ein Kunde kann nur auf die Daten seines Unternehmens zugreifen.

Datenlöschung

Die Einhaltung von Löschfristen wird durch das Datenaufbewahrungsmanagement in SAP SuccessFactors gesteuert. Hier können maßgeschneiderte Löschkonzepte abgebildet werden, orientiert an relevanten Zeitpunkten und abgestimmt auf die relevante Datenkategorie z.B. Daten der Bewerbenden sowie auf das betroffene Land, in dem die Löschregel zum Einsatz kommt.

Basierend auf diesen Regeln, können wiederkehrende Löschläufe durch den Kunden eingeplant werden. Sobald die erfolgreiche Prüfung der Ergebnisse vorliegt, kann eine Freigabe erfolgen und die Löschung durchgeführt werden.

Nach Vertragsende werden SAP SuccessFactors Daten durch SAP gemäß den vereinbarten Prozessen und den geltenden Datenschutzvorgaben sicher gelöscht. Der Datenlöschungsprozess wird automatisch ausgelöst, sobald ein Vertrag endet oder gekündigt wird. Die vollständige Löschung der Daten erfolgt nach Validierung und Ablauf von Kulanzfristen. Die sichere Entfernung und Vernichtung von Datenträgern ist Bestandteil der SAP-Standards und wird durch Audits überprüft.

Bgr4Sf_1-1780474754880.Png

 

 

 

 

 

 

Cloud Anwendungssicherheit

Identitätsmanagement

SAP SuccessFactors wird mit dem SAP Identity Management Services bereitgestellt. Diese bieten Authentifizierung über Industriestandards wie SAML 2.0 und unterstützen Single Sign-On sowie die Delegation an unternehmenseigene Identity Provider wie Azure Active Directory.

Benutzeridentitäten zwischen Quell- und Zielsystemen können auf Basis des SCIM-Standards synchronisiert werden.

SAP SuccessFactors unterstützt zudem die  zertifikatsbasierte Authentifizierung für die sichere API-Kommunikation.

Zugriffssteuerung

Die Zugriffssteuerung von SAP SuccessFactors basiert auf rollenbasierten Berechtigungen, einem granularen, rollenbasierten Zugriffssteuerungssystem. Zugriffsrechte sind granular, werden auf Feld-, Datensatz- und Funktionsebene definiert und werden Benutzern, Rollen oder Gruppen zugewiesen.

Sichere Softwareentwicklung

SAP entwickelt SAP SuccessFactors nach dem Secure Software Development and Operations Lifecycle, der risikobasierte Sicherheitsanforderungen in jede Entwicklungsphase integriert.

Security Gates, Threat Modeling  sowie Statische (SAST) und dynamische (DAST) Sicherheitsanalysen sind nur einige Elemente dieses umfassenden Vorgehens bei der Entwicklung.

Audit Trails und Protokolle

SAP SuccessFactors bietet Kunden Zugang zu Application Security Audit Logs auf Anwendungsebene, darunter befinden sich u.a. der General Audit Bericht, die Änderungsverfolgung (Change Audit), Kontrollierte Einsicht (Read Access) für sensible Daten. Sicherheitsprotokolle auf Ebene der SAP SuccessFactors Instanz können in ein kundeneigenes SIEM-System überführt werden.

Darüber hinaus existieren spezialisierte Audit-Funktionen wie Audit Trails im Recruiting und in Performance & Goals, wesentlich für die Nachvollziehbarkeit von Personalentscheidungen.

SAP SuccessFactors Mobile App

Die SAP SuccessFactors Mobile App wird für iOS und Android Betriebssysteme bereitgestellt. Die Installation ist auf unternehmenseigenen und privaten Endgeräten möglich.

Die Authentifizierung bei Zugriffen durch die Mobile App erfolgt mittels OAuth Token. Die App kann mittels Passwortes oder gerätespezifischer Möglichkeiten (Fingerabdruck, Gesichtsscan) vor unberechtigtem Zugriff geschützt werden.

Unabhängig vom Endgerät sind die Berechtigungen der Nutzenden auf der SAP SuccessFactors Mobile App: Basis sind die im System hinterlegten Berechtigungen.

Alle Datenübertragungen sind verschlüsselt, wenn es zu einer Ablage von Daten auf der App kommt, so sind auch diese verschlüsselt.

Die SAP SuccessFactors Applikation für Mobilgeräte unterstützt die marktführenden Mobile Device Management (MDM) Systeme.

Cloud Betriebssicherheit

Netzwerksicherheit

SAP hat eine mehrstufige Netzwerk-Architektur implementiert, die Zero-Trust-Prinzipien folgt und eine Strategie der “Tiefenverteidigung“ nutzt. Der Netzwerkverkehr wird kontinuierlich durch ein Intrusion Prevention System (NIPS) überwacht und protokolliert.

SAP unterhält intern eine strikte Zugriffssteuerungsrichtlinie, die einen rollenbasierten Zugriff auf alle Ressourcen (Anwendungen, Betriebssysteme, Netzwerkgeräte usw.) fordert sowie eine eindeutige ID für alle Personen. Berechtigungen werden nach den Segregation-of-Duties und Need-to-Know Prinzipien vergeben.

Die Sicherheit des SAP-Netzwerks einschließlich der SAP-Endbenutzerausrüstung wird zusätzlich durch Lösungen wie Netzwerkzugangssteuerung, Netzwerkfilterung, starke Authentifizierung, Internet-Inhaltsfilterung und Antiviren-Scanner gewährleistet.

Monitoring

SAP betreibt ein 24/7 Security Monitoring für die SAP SuccessFactors-Plattform. Sicherheitsereignisse werden zentral in einem SIEM System korreliert; bei verdächtigen oder bösartigen Aktivitäten werden automatische Alerts und Security Incident Tickets erzeugt.

Die Nachverfolgung von Tickets durch die Mitarbeitenden im Operations-Team folgt dem SAP Security Incident Management Prozess, die Tätigkeiten werden dokumentiert und sind revisionsfähig.

Logging

Alle relevanten technischen Infrastruktur-Komponenten die den Betrieb des SAP SuccessFactors Service unterstützen, sind an ein SIEM System angeschlossen. Die dort protokollierten Daten umfassen auch alle Login-Versuche um ggf. forensische Untersuchungen zu unterstützen.

Resiliente Plattformarchitektur

SAP stellt für SAP SuccessFactors eine Multi-Availability-Zone-Architektur bereit. Diese wird jeweils ergänzt durch ein Sekundär-Rechenzentrum um eine zeitnahe Widerherstellung des Services bei einem Rechenzentrumsausfall zu gewährleisten.

Business Continuity Management

SAP SuccessFactors ist nach ISO 22301 zertifiziert (Business Continuity Management System).

SAP SuccessFactors sichert die Daten seiner Auftraggeber kontinuierlich und hält diese über einen Zeitraum von 30 Tagen zur Verfügung. Eine Kopie der Datensicherung befindet sich jederzeit in dem vorgesehenen  BackUp Rechenzentrum.

Es werden jährliche Disaster Recovery Tests durchgeführt, der zu Grunde liegende Disaster Recovery Plan wird regelmäßig geprüft und aktualisiert.

Vulnerability Management und Penetration Testing

SAP führt regelmäßige Schwachstellenanalysen (Vulnerability Scans) und Penetrationstests durch und stellt diese seinen Kunden auf Nachfrage zur Verfügung. Kunden können, in Abstimmung mit SAP, eigene Penetrationstests durchführen.

Patch- und Change-Management

SAP verwaltet das Patching der SAP SuccessFactors-Plattform, einschließlich Sicherheits-Patches für Betriebssysteme, Datenbank, Middleware und Anwendungsschicht.

Bei der Priorisierung von Schwachstellen orientiert sich SAP am Common Vulnerability Scoring System (CVSS).

Vertragliche Grundlage

Die SAP SuccessFactors Vertragsgrundlage umfasst folgende Dokumente:

Vertragsbestandteil

Inhalt

Order Form

Kunde & SAP (Kontaktdaten, Leistungsumfang, Beginn & Ende…)

AGB’s

Nutzungsrechte, SAP Verantwortlichkeiten und Pflichten, Vergütung, Gewährleistung, Vertraulichkeit, Kündigung…

Ergänzende Bedingungen

Nutzungsmetriken, zusätzl. Bedingungen, Disaster Recovery…

Support Schedule

Kontaktkanäle, Sprachen, Prioritäten und Reaktionszeiten

Service Level Agreement

Systemverfügbarkeit, Wartungsfenster, Gutschriften

Auftragsverarbeitungs-vertrag

Sicherheit Verarbeitung, Leistungspflichten SAP, Zertifizierung und Audits, Unterauftragsverarbeiter…

Sicherheitsmaßnahmen (TOM´s)

Governance der Informationssicherheit, Sicherheits-zertifizierungen und -bescheinigungen, Organisatorische, physische und technische Sicherheitsmaßnahmen, Resilienz, Umgang mit Sicherheitsvorfällen…

Transparenz und Compliance

SAP SuccessFactors unterliegt regelmäßigen, unabhängigen Audits und hält eine Vielzahl von anerkannten Zertifikaten und Prüfberichte bereit. Darunter befinden sich:

Aktuelle Zertifikate und Prüfberichte können im SAP Trust Center eingesehen oder beantragt werden: Alle Zertifikate Auditberichte SF

Übergreifendes Cybersecurity Konzept für SAP Cloud Services

Alle vorgestellten Sicherheitsmaßnahmen betten sich in die übergeordneten, konzernweiten Maßnahmen der SAP ein, beschrieben durch das SAP Security Policy Framework und durchgesetzt mit dem NIST Cyber Security Framework.

SAP Security Policy Framework

Die SAP Global Security Policy ist das übergeordnete Dokument, das die Management-Intention, Erwartungen und strategische Ausrichtung festlegt. Es definiert die strategischen Ziele und Vorgaben für ein höchstmögliches Sicherheitsniveau bei der Bereitstellung von SAP Cloud Services.

Konkret dient es als Leitfaden, der mit anerkannten Standards, klaren Sicherheitsregeln und Best Practices die Grundlage für Planung, Entwicklung, Konfiguration und Betrieb von SAP Cloud Lösungen darstellt.

Das Ziel: Einen einheitlichen, hohen Sicherheitsstandard über alle SAP Cloud Services zu gewährleisten!

Secure Data, Applications, and Data Centers | SAP Security

Einsatz des NIST Cyber Security Frameworks

SAP hat erfolgreich das NIST Cyber Security Framework (NIST CSF) implementiert und den Tier 3 Reifegrad erreicht.

In einer sich kontinuierlich wandelnden Bedrohungslandschaft bietet das NIST Cybersecurity Framework (CSF) eine effektive und strukturierte Grundlage, um Sicherheits-Maßnahmen flexibel anzupassen und kontinuierlich weiterzuentwickeln. Es unterstützt uns dabei, neue Risiken systematisch zu identifizieren, zu bewerten und geeignete Schutzmaßnahmen gezielt an sich verändernde Anforderungen und Bedrohungen auszurichten.

SAP Security Policy Framework und NIST Cyber Security Framework ergänzen sich, stellen in ihrer Verbindung sicher, das alle Sicherheits-Vorgaben im Rahmen eines aktiven Risiko-Managements kontinuierlich geprüft und gegebenenfalls angepasst werden.

Das Erreichen von NIST CSF Tier 3 soll nicht nur das Vertrauen in unsere Produkte und Dienstleistungen stärken, sondern auch unser Engagement, Kunden zu schützen sowie Prozesse und Daten dauerhaft wirksam abzusichern.

How SAP is safeguarding its customers: Implementing the NIST Cybersecurity Framework achieving Tier …

Fazit

SAP SuccessFactors steht aufgrund der Sensitivität von HR-Daten im Brennpunkt regulatorischer und sicherheitstechnischer Anforderungen.

SAP verfolgt einen durchgängigen Sicherheitsansatz, vom Shared-Responsibility-Modell mit klarer Verantwortungstrennung zwischen SAP und Kunde, über Datenverschlüsselung, granulare rollenbasierte Berechtigungen, nativ integrierte SAP Identity Management Services, bis hin zu 24×7-Security-Monitoring, Cyber Threat Intelligence und umfassender Audit- und Compliance-Berichte.

Die Wirksamkeit dieses Sicherheitsmodells hängt jedoch auch von der aktiven Mitwirkung des Kunden ab — insbesondere bei der Konfiguration von Berechtigungen, beim Identity Management, Datenschutzeinstellungen und der regelmäßigen Überprüfung von Security Audit Logs.

Bgr4Sf_2-1780474754882.Png

 

 

 

 

 

 

 

 

 

Erfahren Sie mehr zu Sicherheit mit SAP für Daten, Anwendungen und Rechenzentren



Source link

Leave a Reply

Your email address will not be published. Required fields are marked *

Related Posts

SAP DIGITALIZATION NEWS
Supporting data migration from other systems (SAP …
SAP DIGITALIZATION NEWS
S/4HANA Public Cloud in the Age of AI and Business…
SAP DIGITALIZATION NEWS
Displaying CDS Views in ALV using SALV IDA
SAP DIGITALIZATION NEWS
Building a Procurement Agent for SAP S/4HANA Cloud…