The global and independent platform for the SAP community.
Business Management, MAG 25-11

Security black box S/4

How to better secure your company's crown jewels - and take care of SAP security? Oliver Villwock, Consulting Director with a focus on SAP security at cbs, and Robert Stricker, Head of Security Consulting at Materna, talk about this in an E3 interview.
E3 Magazine
November 11, 2025
Content:
avatar
This text has been automatically translated from German to English.

Viele Unternehmen betrachten SAP-Security häufig isoliert und binden sie nicht in übergreifende Sicherheitsprozesse wie Patch- und Vulnerability-Management, Threat Detection oder Incident Response ein. Grund dafür ist der hohe Spezialisierungsgrad einer SAP-Umgebung bei gleichzeitiger Kritikalität für die Organisation. Durch diese Berührungsängste entstehen gefährliche Lücken.

Besonders unterschätzt werden Schwachstellen im Berechtigungsmanagement, unzureichende Nutzer-Sensibilisierung sowie eine fehlende durchgängige Sicherheitsarchitektur, die vom Security Design über sichere Konfiguration bis hin zu Code Security und Monitoring reicht. Um SAP-Systeme effektiv abzusichern, braucht es einen ganzheit­lichen, proaktiven Ansatz und ein Umdenken in der Sicherheitsstrategie aller Unternehmen. Denn die Hersteller und Betreiber von Systemen und Applikationen sind nicht für die IT-Sicherheit der Unternehmen verantwortlich.

E3: Herr Villwock, Herr Stricker, SAP-Systeme gelten vielen als Blackbox. Wie könnte man Licht in diese Blackbox bringen?

Oliver Villwock, cbs: Für effektive SAP-­Sicherheit braucht es Transparenz durch spezialisierte Tools, fundiertes SAP-Know-how zur Einordnung von Risiken und daraus abgeleitete wirksame Schutzmaßnahmen.

Robert Stricker, Materna: Es muss geklärt sein, wer für SAP-Security verantwortlich ist. Dann muss das Management SAP als sicherheitskritisch anerkennen, denn kritische Geschäftsprozesse hängen oft direkt von SAP ab, werden sicherheitstechnisch aber unzureichend berücksichtigt.

E3: Wie lässt sich die SAP-Security in bestehende Strukturen integrieren?

Villwock: SAP-Security muss auf Governance-Ebene starten, verankert in der IT-Security-Policy mit klaren Zuständigkeiten und Kommunikationswegen. Operativ braucht es Transparenz, um Altlasten in Konfiguration und Design schrittweise zu beheben. Eine realistische, extern begleitete Roadmap sorgt für Sicherheit ohne Überforderung von Budget und Organisation.

"SAP-Security muss auf Governance-Ebene starten, verankert in der IT-Security-Policy.

Oliver Villwock,
Consulting Director mit Schwerpunkt auf SAP-Security,
cbs Corporate Business Solutions

Stricker: Unternehmen sollten SAP konsequent in bestehende Security-Prozesse integrieren, mit klaren Verantwortlichkeiten, fundierter Risikoanalyse und Einbindung unter anderem in Patch-, Change- und Incident-Management. SAP-Security ist Teil der Gesamtstrategie, kein Sonderfall.

E3: Was sind aus Ihrer Sicht die wichtigsten ersten Schritte für Unternehmen, die SAP-Security ernst nehmen wollen?

Villwock: Ein klares Assessment ist der erste Schritt: Wo stehen wir? Was haben wir? Wer ist wofür verantwortlich? Ohne Bestandsaufnahme fehlt die Grundlage für jede sinnvolle Planung. Durch S/4-Transformation, Cloud-Migration und neue Architekturen entsteht die Chance, Security von Anfang an neu zu denken. Wer jetzt richtig handelt, verhindert den nächsten Security-Stau.

E3: Wie sehen Sie denn die Entwicklung in den nächsten Jahren? Wird SAP-Security jetzt endlich zur Priorität werden?

Stricker: Laut Nis2-Richtlinie müssen kritische Geschäftsprozesse geschützt werden, und da führt kein Weg an SAP vorbei. SAP steuert zentrale Abläufe, teils nicht nur in der IT, sondern auch in OT-Bereichen.

"SAP wird in Sachen Informa­tionssicherheit oft wie eine Blackbox behandelt, die keiner versteht.

Robert Stricker,
Abteilungsleiter Security Consulting,
Materna

Villwock: SAP beinhaltet die Kronjuwelen von Unternehmen. Wer SAP-Security nicht ernst nimmt, gefährdet die eigene Resilienz. Jetzt zu handeln ist unerlässlich, sonst wird es in Zukunft teuer und riskant.

E3: Was ist Ihre Mission in diesem Bereich?

Stricker: Berührungsängste abbauen. SAP wird in Sachen Informationssicherheit oft wie eine Blackbox behandelt, die keiner versteht. Das führt zu Unsicherheit und Stillstand. Unsere Mission ist es, genau hier anzusetzen: SAP darf kein blinder Fleck bleiben, denn die Risiken sind aufgrund der Kritikalität der verarbeiteten Daten hoch. SAP abzusichern und zu überwachen ist jedoch keine Raketenwissenschaft.

Villwock: Unsere Mission ist klar: Kunden helfen, Transparenz zu schaffen und SAP-­Security nachhaltig, effizient, vorausschauend und zukunftssicher umzusetzen. Der Markt ist überladen mit Tools, aber es fehlt fundierte Beratung, die Tools, Prozesse und Menschen sinnvoll verbindet.

Continue to the partner entry:

Write a comment

Why unit tests?

Gehaltstransparenz als Wettbewerbsvorteil

Simplification of SAP infrastructure operation with an AI companion

Working on the SAP basis is crucial for successful S/4 conversion. 

This gives the Competence Center strategic importance for existing SAP customers. Regardless of the S/4 Hana operating model, topics such as Automation, Monitoring, Security, Application Lifecycle Management and Data Management the basis for S/4 operations.

For the second time, E3 magazine is organizing a summit for the SAP community in Salzburg to provide comprehensive information on all aspects of S/4 Hana groundwork.

Venue

FourSide Hotel Salzburg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzburg, Austria
+43-66-24355460

Event date

Wednesday, June 10, and
Thursday, June 11, 2026

Early Bird Ticket

Regular ticket

Subscribers to the E3 Magazine Ticket

reduced with promocode CCAbo26

Students*

reduced with promocode CCStud26.
Please send proof of studies by e-mail to office@b4bmedia.net.
*The first 10 tickets are free of charge for students. Try your luck! 🍀
EUR 390 excl. VAT
available until November 30, 2025
EUR 590 excl. VAT
EUR 390 excl. VAT
EUR 290 excl. VAT

Venue

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Event date

Wednesday, April 22 and
Thursday, April 23, 2026

Tickets

Early Bird Ticket
Regular ticket
EUR 390 excl. VAT
available until 30.11.2025
EUR 590 excl. VAT
Subscribers to the E3 magazine
reduced with promocode STAbo26
EUR 390 excl. VAT
Students*
reduced with promocode STStud26.
Please send proof of studies by e-mail to office@b4bmedia.net.
EUR 290 excl. VAT
*The first 10 tickets are free of charge for students. Try your luck! 🍀
The event is organized by the E3 magazine of the publishing house B4Bmedia.net AG. The presentations will be accompanied by an exhibition of selected SAP partners. The ticket price includes attendance at all presentations of the Steampunk and BTP Summit 2026, a visit to the exhibition area, participation in the evening event and catering during the official program. The lecture program and the list of exhibitors and sponsors (SAP partners) will be published on this website in due course.