SAP-Customer in DACH stehen 2026 vor einer architektonischen Herausforderung, die in den letzten 18 Monaten neu entstanden ist. Vier zentrale Regulierungen verlangen jeweils eigene Audit-Trail-Strukturen, mit unterschiedlichen Aufbewahrungs-Fristen, unterschiedlichen Inhalts-Anforderungen und unterschiedlichen Reporting-Pflichten. Wer sie isoliert behandelt, baut vier Logging-Säulen parallel und zahlt drei mal zu viel. Wer sie integriert, braucht eine Architektur, die dieser Artikel beschreibt.
Die vier Regulierungen sind: SOX Sarbanes-Oxley Act (seit 2002 für börsennotierte Unternehmen mit US-Bezug, Section 802 mit 7 Jahren Aufbewahrung), EU DORA Digital Operational Resilience Act (seit 17. Januar 2025 für Finanzunternehmen), NIS2 in Deutschland (NIS2-Umsetzungsgesetz seit 6. Dezember 2025 in Kraft, betrifft rund 29.500 Unternehmen in 18 Sektoren), EU AI Act Article 26 (ab 2. August 2026 für Deployer von High-Risk-AI-Systemen).
Die zeitliche Häufung ist neu. SOX gibt es seit 2002, aber DORA, NIS2 und Article 26 sind alle in den letzten 16 Monaten in Kraft getreten oder werden in den nächsten 90 Tagen wirksam. Customer, die ihre Audit-Architektur das letzte Mal vor 2024 überprüft haben, finden heute Lücken, die sie schließen müssen.
Die BaFin-Guidance vom Januar 2026 hat explizit klargestellt, dass AI-Systeme in DORA-konforme ICT-Risk-Management-Frameworks eingebettet werden müssen, also nicht in einem getrennten AI-Compliance-Silo. Customer brauchen eine Audit-Trail-Architektur, die diese Verschränkung abbildet.
Geltungsbereich: Public Companies mit US-Börsen-Listing plus deren Wirtschaftsprüfer. Audit-Trail-Pflichten: Section 802 verlangt 7 Jahre Aufbewahrung in tamper-proof-Speicher. Section 404 verlangt jährliche Internal-Controls-Reports mit externer Prüfung. Strafen: Freiheitsstrafen bis zu 20 Jahren bei vorsätzlicher Manipulation. Material-Weakness-Findings im Annual Report. SAP-Implementierung: SAP Security Audit Log (SM19/SM20), BTP Audit Log Service, Cloud ALM Audit Log API. Reporting-Rhythmus jährlich.
Geltungsbereich: 20 Kategorien von Finanzunternehmen (Banken, Versicherungen, Investment-Firmen, Payment-Institute, Crypto-Asset-Service-Provider) plus deren kritische ICT-Drittanbieter. Audit-Trail-Pflichten: Explizites Logging-Programm nach RTS, praktisch 5 Jahre Aufbewahrungs-Dauer. Article 10 verlangt Echtzeit-Erkennung von Anomalien. Article 17 verlangt Incident-Reporting in drei Stufen (24h/72h/1M). SAP-Implementierung: FS-CD, Versicherungs-spezifische SAP-Lösungen, S/4HANA-Finance-Komponenten. Logging-Architektur muss real-time-fähig sein.
Geltungsbereich: Rund 29.500 Unternehmen in 18 Sektoren in Deutschland. Drei Kategorien: KRITIS-Betreiber, besonders wichtige Einrichtungen, wichtige Einrichtungen. Audit-Trail-Pflichten: §30 BSIG-neu: 10 Kernmaßnahmen für Risikomanagement. §32: Meldepflichten in drei Stufen (24h/72h/1M). §39: Wirksamkeits-Nachweis innerhalb von 3 Jahren. Wichtig: Registrierungs-Frist beim BSI endete am 6. März 2026. Verhältnis zu DORA: DORA ist lex specialis für Finanzunternehmen. Strafen: Bis zu 10 Mio EUR oder 2% Jahresumsatz plus persönliche Geschäftsleitungs-Haftung.
Geltungsbereich: Deployer von High-Risk-AI-Systemen aus Annex III (8 Sektoren). Audit-Trail-Pflichten: 6 Monate Aufbewahrung der automatisch erzeugten AI-Logs (Absatz 6). Human-Oversight-Aktivitäten dokumentieren. SAP-Implementierung: SuccessFactors-Recruiting, FS-CD-Kreditscoring, Joule-Agenten. Digital-Omnibus-Status: Trilog 28. April 2026 gescheitert, Folge-Trilog für 13. Mai 2026 angesetzt. Customer planen gegen Original-Deadline.
| Regulierung | Mindest-Aufbewahrung | Anwendbarkeit auf SAP-Logs | Tamper-Proof-Pflicht |
|---|---|---|---|
| SOX Section 802 | 7 Jahre | Alle Finanz-relevanten SAP-Logs | Ja, strafrechtliche Pflicht |
| DORA RTS ICT Risk Management | Praktisch 5 Jahre | ICT-Logs in Finanz-SAP-Systemen | Ja, gemäß Article 9 |
| NIS2 §32 | Praktisch 2-3 Jahre | Incident-relevante Logs | Ja, gemäß §30 Risikomanagement |
| EU AI Act Article 26 Absatz 6 | 6 Monate | AI-System-Logs | Implizit, für Behörden-Zugriff |
| DSGVO | So lange wie nötig | Personenbezogene Daten in Logs | Nein, im Gegenteil Löschpflicht |
Pragmatischer Ansatz: Wer mehrere Regulierungen anwendet, nimmt die längste Frist als Standard. SAP-Customer mit SOX-Bezug bewahren ihre Finanz-relevanten Logs für 7 Jahre auf. AI-System-Logs: 7 Jahre. ICT-Incident-Logs: 5 Jahre. System-Operation-Logs: 2 Jahre.
Der DSGVO-Konflikt: SOX, DORA, NIS2 und EU AI Act verlangen lange Aufbewahrung, DSGVO Artikel 5 verlangt Storage Limitation. Auflösung: Pseudonymisierung beim Logging, Trennung zwischen technischem Audit-Trail und personenbezogenem Tracking, klare DSGVO-rechtliche Grundlage für die lange Aufbewahrung.
DORA verlangt für kritische Daten EU-Rechenzentren. Customer die ihre Audit-Logs in US-Cloud-Diensten speichern, müssen explizit die EU-Region wählen und vertraglich absichern. Bei Datensouveränitäts-strikten Customer sind BSI-zertifizierte Anbieter (C5:2026, vom BSI im April 2026 veröffentlicht) die natürliche Wahl: T-Systems Open Telekom Cloud, IONOS, Plus Server.
SOX Section 802 verlangt tamper-proof-Storage. DORA verlangt Echtzeit-Erkennung. Lösung: WORM-Architektur (Write Once Read Many) mit Read-Optimization. AWS S3 Object Lock, Azure Blob Immutable Storage, Google Cloud Storage Bucket Lock sind die typischen Cloud-Implementierungen. Für On-Premise-Anforderungen: WORM-NAS von NetApp, Dell EMC, IBM.
SAP-Customer haben Logs aus vielen Quellen mit unterschiedlichen Formaten und Zeitzonen. Lösung: Zweistufige Architektur. Erste Stufe: Quell-spezifische Connector, die Daten in ein einheitliches Format normalisieren (CEF, OCSF). Zweite Stufe: Zentrale SIEM-Plattform, die die normalisierten Daten aggregiert und durchsuchbar macht.
Vier Regulierungen, vier verschiedene Wahrheiten und hoher Pflege-Aufwand versus Single-Source-of-Truth. Lösung: Zentrale Daten-Schicht mit regulatorisch-spezifischen Sicht-Filtern. Die Roh-Daten liegen einmal, die Reports werden aus regulatorischen Sichten generiert.
| Datenquelle | SOX | DORA | NIS2 | EU AI Act |
|---|---|---|---|---|
| SAP Security Audit Log (SAL) | Hoch | Hoch | Hoch | Niedrig |
| SAP Read Access Logging (RAL) | Mittel | Mittel | Mittel | Niedrig |
| S/4HANA-Application-Logs | Hoch (Finanz) | Hoch (Finanz) | Hoch (KRITIS) | Mittel |
| SAP Joule Logs | Niedrig | Mittel | Mittel | Hoch |
| BTP Audit Log Service | Mittel | Hoch | Hoch | Hoch |
| Cloud ALM Audit Log API | Mittel | Mittel | Mittel | Mittel |
| MCP-Server-Logs | Niedrig | Hoch | Hoch | Hoch |
| Database Logs (HANA) | Hoch | Hoch | Hoch | Niedrig |
| gCTS und CI/CD-Logs | Hoch | Mittel | Mittel | Mittel |
| Active Directory Logs | Hoch | Hoch | Hoch | Niedrig |
| ServiceNow-Tickets | Mittel | Mittel | Mittel | Niedrig |
Die in der Praxis bewährte Architektur hat fünf Schichten.
Schicht 1, Quell-Connector: Quell-spezifische Module, die Daten aus SAP-Komponenten und Drittsystemen extrahieren und in ein einheitliches Format normalisieren. Optionen: SAP-eigene Splunk-Connector, Microsoft Sentinel SAP Solution, Google Chronicle Forwarder, ELK Beats mit Custom-Parsern, Onapsis, SecurityBridge.
Schicht 2, Zentrale Aggregations-Plattform: SIEM-Plattform, die normalisierten Daten sammelt, indiziert und in Echtzeit korreliert. Für DORA Article 10 Anomaly-Detection und NIS2 §30 Incident-Detection. Marktstandards: Splunk Enterprise Security, Microsoft Sentinel, Google Chronicle, Elastic Stack, IBM QRadar.
Schicht 3, WORM-Compliance-Storage: Unverländerlicher Speicher für die langen Aufbewahrungs-Fristen. Tiered Storage: Hot (0-90 Tage), Warm (90 Tage bis 2 Jahre), Cold (über 2 Jahre bis 7 Jahre).
Schicht 4, Regulatorische Sichten: SOX-ITGC-Dashboard (Logical Access, Change Management, IT Operations), DORA-Incident-Reporting-Dashboard, NIS2-Reporting-Dashboard mit BSI-Portal-Schnittstelle, EU-AI-Act-Compliance-Dashboard.
Schicht 5, Operative Prozesse: Compliance-Officer-Rollen, Eskalations-Prozess, Schulungs-Plan, Review-Zyklen (monatlich operativ, quartalsweise Compliance, jährlich Strategie), Incident-Response-Playbooks. Ohne diese organisatorische Schicht funktioniert keine technische Architektur.
| Werkzeug-Kategorie | SOX | DORA | NIS2 | EU AI Act | EU-Hosting | SAP-Integration |
|---|---|---|---|---|---|---|
| Splunk Enterprise Security | Ja | Ja | Ja | Teilweise | Ja | SAP Connector vorhanden |
| Microsoft Sentinel | Ja | Ja | Ja | Teilweise | Ja | SAP Solution vorhanden |
| Google Chronicle | Ja | Ja | Ja | Teilweise | Ja | Forwarder mit SAP-Parser |
| Elastic Stack (ELK) | Ja | Ja | Ja | Teilweise | Ja | Beats mit Custom-Parsern |
| IBM QRadar | Ja | Ja | Ja | Teilweise | Ja | SAP DSM verfügbar |
| OneTrust GRC | Teilweise | Ja | Ja | Ja | Ja | API-Anbindung |
| ServiceNow GRC | Teilweise | Ja | Ja | Teilweise | Ja | SAP Connector vorhanden |
| Onapsis Platform | Ja | Ja | Ja | Niedrig | Ja | Native SAP-Integration |
| SecurityBridge | Ja | Ja | Ja | Niedrig | Ja | Native SAP-Integration |
| Pathlock | Ja | Ja | Teilweise | Niedrig | Ja | Native SAP-Integration |
| Orchestration Layer¹ | Teilweise | Teilweise | Teilweise | Teilweise | Ja | Native SAP-Integration |
¹ Solutive AG ist Initiator des Change Orchestration Institute. Die Bewertung in der Tabelle ist eine Selbstauskunft des Anbieters und nicht Teil einer redaktionell unabhängigen Validierung.
SIEM-Plattformen sind stark in DORA und NIS2 (Real-Time-Detection), schwächer im EU AI Act. GRC-Plattformen sind stark im EU AI Act und SOX, schwächer in der Real-Time-Detection. Eine Kombination aus SIEM und GRC ist die typische Architektur in Großunternehmen.
Customer, die heute mit einer integrierten Audit-Trail-Architektur starten, brauchen einen 12-bis-18-Monate-Plan.
Phase 1 (60-90 Tage): Compliance-Scope bestimmen, Datenquellen-Inventarisierung, Pflichten-Mapping pro Regulierung, Gap-Analyse, Architektur-Entscheidung (SIEM, GRC, Storage, EU-Hosting). Output: Architektur-Konzept.
Phase 2 (90-180 Tage): Quell-Connector implementieren, Daten-Volumen-Tuning, Korrelations-Regeln definieren, WORM-Storage einrichten, Initial-Dashboards bauen. Output: Funktionsfähige Aggregation.
Phase 3 (60-120 Tage): SOX-ITGC-Dashboard, DORA-Incident-Reporting, NIS2-Reporting mit BSI-Portal-Schnittstelle, EU-AI-Act-Compliance-Tracking, Cross-regulatorische Master-Sicht. Output: Vollständige Reporting-Suite.
Phase 4 (laufend): Compliance-Operations etablieren, Schulungen, Audit-Vorbereitung, Roadmap-Tracking, Cost-Optimierung. Output: Reife Compliance-Architektur.
| Phase | Zeitraum | Hauptergebnis |
|---|---|---|
| 1 Inventory und Gap-Analyse | 60-90 Tage | Architektur-Konzept |
| 2 Connector-Aufbau | 90-180 Tage | Funktionsfähige Aggregation |
| 3 Regulatorische Sichten | 60-120 Tage | Reporting-Suite |
| 4 Betriebs-Reife | laufend | Reife Compliance-Architektur |
Erste Kernaussage: Die vier Regulierungen SOX, DORA, NIS2 und EU AI Act verlangen jeweils eigene Audit-Trail-Strukturen, aber sie teilen eine gemeinsame Datengrundlage. Wer sie isoliert behandelt, zahlt drei mal zu viel. Wer sie integriert, braucht eine Single-Source-of-Truth mit regulatorisch-spezifischen Sicht-Filtern. Die fünfschichtige Architektur aus diesem Artikel (Quell-Connector, Aggregations-Plattform, WORM-Storage, Regulatorische Sichten, Operative Prozesse) ist die in der Praxis bewährte Antwort.
Konkrete Handlungsempfehlung: Die SAP-Daten-Quellen-Mapping-Tabelle aus Abschnitt 5 als Inventar-Grundlage verwenden. Pro Datenquelle prüfen, welche Regulierungen sie abdeckt und ob der Connector bereits existiert oder aufgebaut werden muss.
Zweite Kernaussage: Die Aufbewahrungs-Fristen müssen hierarchisch behandelt werden. 7 Jahre SOX ist die längste Frist, die als Standard gilt für alle Finanz-relevanten Logs. Die DSGVO-Spannung (Storage Limitation) löst sich durch Pseudonymisierung und Trennung zwischen technischem und personenbezogenem Audit-Trail. Tiered Storage (Hot/Warm/Cold) reduziert die Kosten dieser langen Aufbewahrung erheblich.
Konkrete Handlungsempfehlung: WORM-Architektur mit Cold Tier ab 2 Jahren. Die Kosten eines Cold-Tier-Speichers sind etwa ein Zehntel der Hot-Tier-Kosten. 7-Jahres-Aufbewahrung ist damit bei Großunternehmen in den niedrigen sechsstelligen Bereich pro Jahr möglich.
Dritte Kernaussage: Kein einzelnes Werkzeug deckt alle vier Regulierungen vollständig ab. SIEM-Plattformen (Splunk, Sentinel, Chronicle) sind stark in Real-Time-Detection (DORA, NIS2), schwächer in AI-spezifischen Pflichten. GRC-Werkzeuge (OneTrust, ServiceNow) sind stark in SOX und EU AI Act. SAP-spezifische Plattformen (Onapsis, SecurityBridge) sind stark in ITGC, schwach in AI. Die typische Architektur kombiniert SIEM plus GRC, mit SAP-spezifischem Werkzeug als Daten-Lieferant.
Konkrete Handlungsempfehlung: Toolchain-Entscheidung anhand der drei Customer-Profile aus Abschnitt 7.3 treffen. Kosten-Bandbreiten: 300k bis 700k EUR (Profil C, Mittelstand), 800k bis 1,5M EUR (Profil A, börsennotiert KRITIS), 2M bis 5M EUR (Profil B, Großbank).
EU Verordnung 2024/1689 EU AI Act, Articles 12, 14, 26, 27, 99. Amtsblatt der EU, 12. Juli 2024. EU Verordnung 2022/2554 DORA. Amtsblatt der EU, 27. Dezember 2022. Articles 9, 10, 17, 25, 28. Regulatory Technical Standards (RTS) zu Articles 15, 16, 17, 18, 19. NIS2-Umsetzungsgesetz (NIS2UmsuCG). Bundesgesetzblatt vom 4. Dezember 2025. §30, §32, §38, §39, §65. Sarbanes-Oxley Act of 2002. Sections 302, 404, 802. BSI. "BSI-Portal MUK". muk.bsp.de. Aktiv seit 6. Januar 2026. BSI. "C5:2026". bsi.bund.de, April 2026. BaFin. "DORA-Guidance AI Systems in ICT Risk Management". bafin.de, Januar 2026. SAP Help Portal. "SAP Security Audit Log". help.sap.com. SAP Help Portal. "SAP Read Access Logging". help.sap.com. SAP BTP Audit Log Service Documentation. Splunk. "SAP Integration for Splunk". splunk.com. Microsoft. "Microsoft Sentinel SAP Solution". docs.microsoft.com. Onapsis. "SAP Security and Compliance Platform". onapsis.com. SecurityBridge. "SAP Security Platform". securitybridge.com. Pathlock. "SAP GRC and Security Platform". pathlock.com. OneTrust. "AI Governance and GRC Platform". onetrust.com. DSAG. "Investitionsreport 2026". Februar 2026. COI-Querverweis: "SAP Cloud ALM und die Lücken im Change Management", "EU AI Act Article 26: SAP-Deployer-Pflichten", "MCP Server Governance für SAP", "SAP DevOps und CI/CD für ABAP".
"EU AI Act Article 26: Was SAP-Customer als Deployer ab 2. August 2026 zu leisten haben", "MCP Server Governance für SAP", "SAP Cloud ALM und die Lücken im Change Management: Stand 2026", "SAP DevOps und CI/CD für ABAP: gCTS und Project Piper im Realitätscheck 2026", "SAP-Hinweis 11599: Warum Transport-Imports irreversibel sind".
Christian Steiger ist Mitgründer und Geschäftsführer der Solutive AG und beschäftigt sich seit über 15 Jahren mit SAP-Application-Lifecycle-Management, Change Orchestration und Transport-Governance in komplexen Landschaften. Seine Schwerpunkte sind die Verbindung von SAP-Basis-Praxis mit modernen Governance-Architekturen und die Integration regulatorischer Anforderungen in operative SAP-Prozesse.
Sarah Connor (Pseudonym) ist Compliance-Spezialistin mit Schwerpunkt auf europäischer Digitalregulierung, EU AI Act, GDPR, NIS2 und DORA. Sie unterstützt das Change Orchestration Institute als Co-Autorin bei regulatorischen Themen und bringt operative Erfahrung aus Compliance-Programmen in der Finanz- und Industrie-Branche mit.
Das Change Orchestration Institute ist eine unabhängige Wissensressource für SAP ALM, Change Orchestration und KI-Governance. Initiator und Research-Partner: Solutive AG, solutive.ag/kontakt.