Mehr Schnittstellen - mehr Schwachstellen

SAP-Infrastrukturen richtig absichern

12.10.2018

Von

Markus Schumacher berät IT Unternehmen strategisch beim Wachstum. Er war zuvor General Manager Europe bei Onapsis, an die er sein Unternehmen Virtual Forge Mitte 2019 verkauft hat. Als Mitgründer, CEO und Geschäftsführer der Virtual Forge GmbH arbeitete er als Experte für Cybersecurity im ERP-Betrieb. Zuvor war er Repräsentant des Fraunhofer Instituts für Sichere IT (SIT) und leitete den Bereich "Security and Embedded Devices". Davor arbeitete er bei SAP als Produktmanager (SAP NetWeaver Security) und Leiter des TCO-Projekts im Bereich der damals neuen Business ByDesign-Lösung.

Alle Posts des Autors Email: Connect:

Schlupfloch durch funktionale Erweiterungen

Um die digitale Transformation zu beschleunigen, können sich Unternehmen jedoch nicht nur auf verfügbare On-Premise- und Cloud-Lösungen verlassen. Wer schnell und flexibel auf neue Markt- und Kundenanforderungen reagieren will, muss seine Anwendungen immer wieder funktional erweitern. Eine Möglichkeit dazu bietet der DevOps-Ansatz, bei dem die Entwicklung und der IT-Betrieb eng zusammenarbeiten, um die Auslieferung hochwertiger Software zu beschleunigen. So können Unternehmen laufend kleinere Funktionen und Lösungen in Betrieb nehmen, die auf ihre individuellen Bedürfnisse zugeschnitten sind.

Eine andere Möglichkeit besteht für SAP-Anwender darin, die benötigte Funktion im SAP App Center direkt bei Partnern zu erwerben. So umfasst das SAP App Center derzeit über 1000 Erweiterungslösungen von Partnern für das gesamte SAP-Lösungsportfolio, darunter SAP S/4HANA sowie SAP Cloud Platform- und SAP Cloud-Lösungen. Bei steigender Nachfrage könnte das SAP App Center in der SAP-Welt bald eine Bedeutung haben, wie sie der App Store von Apple im Consumer-Bereich genießt.

Deutlicher Zuwachs an Komplexität

Allerdings gilt es auch hier, den Sicherheitsaspekt nicht aus dem Auge zu verlieren. Wenn Unternehmen die gewünschten Funktionen selbst programmieren, entstehen jedes Mal neue Rahmenbedingungen. Da SAP die Cloud Foundry, eine quelloffene "Platform as a Service" (PaaS) unterstützt, können Erweiterungen in jeder beliebigen Programmiersprache vorgenommen und an die SAP Cloud Platform angehängt werden. Andere Programmiersprachen, Betriebssysteme, Schnittstellen und Plattformen kommen hinzu.

In der Folge steigen die Komplexität der vorhandenen Systemlandschaft und damit auch insgesamt das Sicherheitsrisiko. Ähnlich sieht es bei Einkaufstouren im SAP App Center aus. Auch wenn SAP dafür sorgt, dass die angebotenen Partnerlösungen bestimmten Sicherheitsstandards genügen, laufen Unternehmen Gefahr, dass die Apps nicht dem eigenen Security-Konzept entsprechen.

Daher sollten alle funktionalen Erweiterungen mit geeigneten Werkzeugen auf mögliche Sicherheitslücken analysiert werden. Dies gilt für Partnerlösungen aus dem SAP App Center genauso wie für DevOps-basierte Eigenentwicklungen. Hier empfiehlt es sich für Unternehmen, von Anfang an Prüfwerkzeuge einzusetzen, die direkt in die Programmierumgebung integriert werden und einen hohen Automatisierungsgrad gewährleisten: von der Code-Entwicklung über die Test- und Build-Phase bis hin zu Laufzeit-Umgebung und Betrieb. In jeder Phase des Software-Produktlebenszyklus sorgen die Analysen dafür, dass die neuen Funktionen und Anwendungen sicher programmiert, konfiguriert und auf das Zielsystem gebracht werden können.

Neues Verständnis von IT-Security

"Neue technologische Herausforderungen wie Digitalisierung oder das Internet of Things (IoT) erfordern bei einer Vielzahl von IT-Verantwortlichen ein neues Verständnis von IT-Security", ist das Ergebnis einer aktuellen IDC-Studie. Zu diesem neuen Verständnis sollten in jedem Fall die Sicherung der Schnittstellen, die Einhaltung der Compliance und automatische Analysen funktionaler Erweiterungen zählen.

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren