SAP Security & Compliance: Herausforderungen im Rahmen von S/4HANA, SAP Cloud und Code-Sicherheit

SAST DAYS: Experten-RoundtableGroße Ereignisse werfen bekanntlich Ihre Schatten voraus. Dazu gehört im SAP-Umfeld vor allem die notwendige Umstellung auf S/4HANA, wenn 2025 die Wartung für SAP ERP ausläuft.

Auf unseren SAST DAYS 2019 haben wir die anstehende Migration aus verschiedenen Perspektiven beleuchtet – besonders die Themen Berechtigungen und Code Security stießen auf großes Interesse. Wir werfen einen Blick zurück auf spannende Tage, die zu gleichen Teilen die aktuellen Herausforderungen und die Vielfalt an Lösungen aufgezeigt haben.

Fiori und S/4HANA-Berechtigungen: Brownfield oder Greenfield?

Als Auftakt der Veranstaltung beleuchteten wir ein Thema, das wohl den meisten Kunden unter den Nägeln brennt, wenn eine Migration zu S/4 HANA ansteht: Berechtigungen im Fiori-Umfeld. Der detaillierte Vortrag machte vor allem deutlich, dass die Unterschiede zwischen ERP und S/4HANA deutlich größer sind, als von der SAP angekündigt. Um nur ein Beispiel zu nennen: Im Vergleich zu ECC 6.0 gibt es in S/4 HANA ca. 16.000 Transaktionen mehr. Diese und weitere Änderungen sollten in einem Migrationsprojekt unbedingt berücksichtigt werden. Dazu stellte Ansgar Rümpker, Projektleiter SAST SOLUTIONS, sowohl ein Projektvorgehen für Greenfield-Ansätze vor, bei denen ein S/4 HANA System komplett neu aufgesetzt wird, als auch für Brownfield-Ansätze, bei denen existierende Systeme migriert werden. Die Auswirkungen auf das Berechtigungswesen sind jeweils unterschiedlich und welcher Ansatz für welches Unternehmen am besten funktioniert, kann nicht pauschal vorhergesagt werden.

SAP Security & Compliance für die Cloud

Zurück in die Zukunft ging es im Anschluss mit dem großen Thema Cloud. Das Feedback der Teilnehmer zeigte eindeutig: Viele Kunden wollen mit einem Einstieg in die Cloud noch warten, gleichzeitig aber vorbereitet sein. „Irgendwann trifft die Cloud jeden. Umso wichtiger ist es, sich bereits jetzt in Vorträgen wie diesen frühzeitig auseinander zu setzen“, so ein Teilnehmer. Die „Cloud First“-Strategie der SAP ist bereits deutlich spürbar – für SAP-Kunden, die auch in Zukunft aktuelle und sichere Systeme haben wollen, gehört die Cloud also unbedingt auf die Agenda. Die Themen für SAP Security und Compliance in der Cloud unterscheiden sich dabei nicht wesentlich von denen, die im On-Premise-Geschäft eine Rolle spielen, die Herangehensweise hingegen jedoch teilweise deutlich. Das zeigte Jonas Kelbert, Software-Entwickler SAST SOLUTIONS, in seinem Vortrag.

Systemschnittstellen im Cloud-Umfeld & SoD-Analysen in SAP Cloud-Apps

Und noch eine Erkenntnis kristallisierte sich heraus: Vor dem Umstieg in die Cloud muss zunächst das existierende System abgesichert werden. Besonders die Schnittstellen stehen dabei im Fokus, so SAST-Produktmanager Patrick Boch in seinem Vortrag. Seiner Erfahrung nach fehlt es oft schon in den existierenden SAP-Systemen an einer Übersicht, welche Schnittstellen überhaupt existieren und wie (bzw. ob) diese abgesichert sind. Diese Schnittstellen zu inventarisieren und abzusichern sollte denn auch der erste Schritt auf dem Weg in die Cloud sein. Welche zusätzlichen Herausforderungen in diesem Umfeld lauern, darauf ging Ralf Kempf, technischer Geschäftsführer SAST SOLUTIONS, in seinem Vortrag zu Identitäten im Cloud-Umfeld ein. Hier sollten Kunden vor allem auf Funktionstrennungskonflikte (Segregation of Duties, SoD) achten. Kempf stellte ein toolgestütztes Vorgehen vor, das es den Kunden einfach macht, trotz verschiedener technischer Services den Überblick zu behalten. Die SAST SUITE ermöglicht, die Identitäten eines Users über verschiedene Systeme hinweg im Auge zu behalten und Funktionstrennungskonflikte schnell und übersichtlich zu identifizieren.

Schritt für Schritt zum sicheren ABAP-Coding

Mit einer Menge Praxiserfahrung ging es beim Vortrag zum Thema Code-Bereinigung weiter. Entwicklungsleitung Stefanie Jasser berichtete von einem aktuellen Code Cleansing-Projekt bei einem großen deutschen Automobilzulieferer. Mithilfe eines integrierten Frameworks konnten das SAST-Team die zu korrigierenden Schwachstellen im kundeneigenen ABAP-Code nicht nur in kurzer Zeit mitigieren. Mit dem integrierten Framework nutzten sie zudem Kontextinformationen aus der SAST SUITE, um relevante Schwachstellen genau zu identifizieren. Mithilfe unseres Soft-Cleansing-Ansatzes, der eine Logging-Phase vorsieht, bevor Eingriffe in das produktive Coding wirklich „scharf“ geschaltet werden, gelang die Bereinigung des Codes sogar ohne Einschränkungen des operativen Betriebs.

SAST Managed Services für SAP Security & Compliance

Ähnlich Positives konnten wir es aus einem Kundenprojekt berichten. Der Kunde, Dienstleister einer der größten deutschen Banken, stand vor der Herausforderung, seine SAP-Systeme auf mögliche Angriffe konsequent und in Echtzeit zu überwachen. Der Aufbau eigener Ressourcen für ein kontinuierliches Monitoring war in diesem Fall allerdings nicht möglich, der Druck durch sehr hohe Security und Compliance-Anforderungen hingegen immens. Daher entschied man sich, mit akquinet zusammen zu arbeiten – einziger Anbieter auf dem Markt, der ein SAP Security Monitoring in Echtzeit und als Managed Services anbietet –, um eben diese Bedarfe zu decken.

Viele Herausforderungen, aber mindestens genauso viele Lösungen mit SAST

Mit dem Blick in die Zukunft gerichtet verließen viele Teilnehmer die Veranstaltungen: „Wir haben durch den Tag gemerkt, wie groß unsere Lücken sind und müssen Gas geben,“ resümierte ein Kunde. „Umso schöner zu wissen, dass es da passgenaue Lösungen gibt.“

Ralf Kempf (SAST SOLUTIONS)Ralf Kempf, technischer Geschäftsführer SAST SOLUTIONS, zog ebenfalls ein positives Fazit der SAST DAYS: „Uns freut natürlich, dass wir unsere Kunden und Vertragspartner bei den vielen Herausforderungen der Zukunft begleiten dürfen. Die Gespräche mit ihnen zeigen aber auch, dass nicht nur auf sie viel Arbeit zukommt: Wir und sicherlich auch die SAP müssen ebenso unsere Hausaufgaben machen. Mit der SAST SUITE und unseren Experten-Teams bleiben wir aber weiterhin der erste Ansprechpartner in Sachen SAP-Sicherheit und Compliance.“

Sie sind an weiteren Informationen zu den genannten Themen interessiert? Dann stöbern Sie in unserem aktuellen Webinar-Angebot oder im Webinar-Archiv.

Stehen Sie vor ähnlichen Herausforderungen oder wollen mehr über die umfassende Absicherung Ihrer SAP-Systeme erfahren? Dann schauen Sie Sie sich auf unserer SAST SOLUTIONS Website um oder nehmen Sie Kontakt zu uns auf: sast@akquinet.de

SAST DAYS für Ihre SAP Security & Compliance: Anmeldung für 2020 ab sofort möglich

SAST DAYS 2020Im Rahmen unserer Experten-Roundtable informieren wir sowohl Endkunden als auch unsere Vertragspartner regelmäßig über aktuelle Entwicklungen im Bereich SAP Security & Compliance, ermöglichen Einblicke in interessante Kundenprojekte und bieten ein Forum für den aktiven Austausch untereinander. Die Termine für das nächste Jahr stehen bereits fest und auf unserer Event-Seite können Sie sich jetzt für die SAST DAYS 2020 anmelden.

Wir freuen uns auf Sie!

 

Das könnte Sie auch interessieren:

Wie migriert man SAP Custom Code schnell nach S/4HANA?

Berechtigungen für Batch-Verarbeitung im SAP NetWeaver und S/4HANA-Umfeld.