Ein ERP-System besteht aus vielen Einzelkomponenten wie zum Beispiel der Anwendungssoftware, der Middleware und einer Datenbank. Es greift außerdem auf zahlreiche Funktionen des zugrunde liegenden Betriebssystems zu. Bei der Konzeption einer Sicherheitsstrategie bedeutet dies zusätzliche Anstrengungen auch in den Bereichen, die nicht durch eine interne User-Verwaltung abgesichert werden können. Dieses sind zum Beispiel das Netzwerk, die SAP-Server sowie die Datenbank. Nur die Integration aller beteiligten Komponenten in ein einheitliches Konzept ermöglicht einen hohen Sicherheitsstandard.

Mit dem "Sicherheitsleitfaden für SAP R/3" liefert SAP eine gute Dokumentation, die alle Aspekte des Systembetriebs beleuchtet und Maßnahmen zur Absicherung der Einzelkomponenten empfiehlt. Die Erfahrung zeigt allerdings, dass nur wenige Kunden diese Vorschläge vollständig umsetzen: Im Rahmen von Security-Audits werden immer wieder schwere Verstöße gegen selbst simpelste Sicherheitsprinzipien festgestellt.

Dazu zählen unter anderem die im System vorgesehenen Standard-User, deren Kennwörter im Zuge der Installation unbedingt geändert werden sollten. Häufig wird diese ebenso einfache wie grundlegende Maßnahme jedoch schlicht vergessen.

Ein weiterer Schwachpunkt ist oft die Softwarelogistik. Wie mit jeder Programmiersprache lassen sich auch mit der "Abap Workbench" Viren und andere schädliche Programme schreiben. Glücklicherweise ist eine Verbreitung solcher Viren jedoch durch die fehlende Infrastruktur und Vernetzung der Systeme nahezu ausgeschlossen.