Eine strukturierte Security-Planung und saubere Berechtigungen sind nur zwei Bestandteile, die SAP-Systeme vor Cyberangriffen und Manipulationen schützen können. Ralf Kempf (CTO SAST SOLUTIONS bei der akquinet AG) erläutert im Interview, welche Stolperfallen man bei der S/4HANA-Migration vermeiden sollte und was man tun kann, um S/4HANA sicher zu nutzen.
Das folgende Interview zwischen Helge Sanden (Chefredakteur IT-Onlinemagazin) und Ralf Kempf ist erstmals am 11. Dezember 2019 im IT-Onlinemagazin erschienen.
Herr Kempf, welche Fragen zur Sicherheit und Compliance sollte man sich bei der S/4HANA-Migration stellen? Welche sind alt, welche kommen neu hinzu?
Die Themen SAP Basis Parameter- und Datenbank-Sicherheitseinstellungen bleiben weitestgehend erhalten. Ebenso die Authorization-Klassiker, die man seit Jahren aus dem SAP ERP-Umfeld kennt, wie kritische Berechtigungen und Funktionstrennungsrisiken. Und wenn wir mit Kunden über eine S/4HANA-Absicherung sprechen, fällt das Stichwort „Rollen und Berechtigung“ grundsätzlich zuerst.
Neu im S/4HANA-Umfeld ist jedoch, dass sich die technische Architektur verändert, sodass Risiken nun auf unterschiedlichen Ebenen (Frontend Server, Backend Server, Datenbank) ausgewertet und überwacht werden müssen. Bei den Benutzerzugriffen ist künftig darauf zu achten, welche Apps den Informationsbedarf der Anwender decken. Hierzu sollten Unternehmen unbedingt schon jetzt ihre Business Process Descriptions auf einen aktuellen Stand bringen.
Neben den Aufgaben im Berechtigungsumfeld sind aber auch die Themen systemische Sicherheit, insbesondere mit Fokus HANA DB und Webzugriff, sowie die Härtung bzw. Eliminierung von kundeneigenem ABAP-Code essenziell.
Wenn Sie an Gespräche mit Anwenderunternehmen zurückdenken — was wird besonders gerne vergessen?
Wenn Sie mich fragen, ist der schwerwiegendste Fauxpas der, SAP Security & Compliance-Themen erst zu bedenken, wenn alle Systeme bereits konvertiert wurden. Eine feste Berücksichtigung von ebendiesen Aspekten im Migrationsplan ist jedoch unabdingbar. Das beginnt nicht zuletzt damit, dass mit der SAP S/4HANA-Migration auch ein Plattformwechsel verbunden ist. Mit dem Umstieg auf eine neue Technik sowie ein neues Betriebssystem gehen auch immer zusätzliche Anforderungen an die Systemsicherheit einher.
Im Eifer des Gefechts ebenfalls viel zu häufig vernachlässigt wird die Bereinigung von eigenem ABAB-Code. Wir empfehlen, mit der Korrektur nicht bis nach der Migration zu warten und vergleiche das Vorgehen hierbei gern mit einem privaten Umzug: Erst ausmisten, dann umziehen. Und die Arbeit lohnt sich, denn unsere Erfahrungen belegen, dass bis zu 90 Prozent der APAB-Eigenentwicklungen funktionsloser Ballast sind. Und der hindert Kunden schlussendlich daran, S/4HANA effizient nutzen zu können.
Nicht zuletzt geht es natürlich auch um die Anpassung und Aktualisierung der Fachberechtigungen, um von Anfang an neuen Transaktionen und Prozessen gerecht zu werden.
Zu welchem Zeitpunkt sollte man Sicherheitsfragen klären und wie geht man die Absicherung einer S/4HANA-Migration an?
Die Themen Absicherung und Compliance sollten von Beginn an fest in den Projektplan integriert werden. Dabei ergibt sich die Klärung von Sicherheitsfragen während der Architekturphase fast wie von selbst. Ans Eingemachte geht es dann mit der technischen Absicherung der Zielplattform direkt im Anschluss. Mit dem ersten neu umgestellten System (DEV oder Sandboxsystem) ist eine gute Basis geschaffen, auf die Verantwortliche aufbauen können.
Welche Erfahrungen haben Sie im Projekt mit TGW Logistics gesammelt?
Besonders hilfreich – und das knüpft gut an bisher Gesagtes an – war, dass wir im Vorfeld einen gemeinsam abgestimmten Projektplan mit definierten Phasen für Vorbereitung, Durchführung und Abnahme der Test- & Produktivphasen der Berechtigungen definierten. So war es später ein Leichtes, notwendige Anpassungen rasch und effizient durchzuführen und zu kommunizieren.
Workshops mit den jeweiligen Fachbereichen und ihren jeweiligen Anforderungen trugen zudem dazu bei, dass der Großteil notwendiger Transaktionen und Programme dem jeweiligen Benutzerkreis direkt zur Verfügung stand.
Eine gezielte Tool-Unterstützung während des Projekts half nicht zuletzt bei der effizienten Umsetzung der notwendigen Arbeiten – sowohl uns als auch dem Kunden. Und durch den Greenfield-Approach hat es sich bei Erarbeitung der notwendigen Berechtigungen als äußerst nützlich erwiesen, sowohl in der Test- als auch Produktivphase den SAST Safe-Go-Live-Ansatz zu nutzen.
Was erfahren wir von Ihnen bei der IT-Onlinekonferenz 2020?
Neben dem Einblick in ein „Best Case“-Projekt ist uns wichtig, die Teilnehmer auch an Projekt-„Fails“ teilhaben zu lassen. Also an realen Situationen, in denen das Thema Security & Compliance zu spät, teils gar nicht oder auch nicht umfassend genug eingeplant war, bevor es in den Projektplan aufgenommen wurde. Denn gerade diese Fettnäpfchen sind es, die wertvolle Tipps für die eigene S/4HANA-Conversion geben können und sicherstellen, dass eine Migration ohne böse Überraschungen sowohl im geplanten Zeit- als auch Budgetrahmen erfolgen kann.
Können Sie uns vorab schon eine SAP-Security-Empfehlung verraten?
Im Prinzip können wir von vier entscheidenden Schritten einer sicheren S/4HANA-Migration sprechen. Allen voran sollten sich Verantwortliche immer mit dem Aufbau der Zielplattform befassen. Anschließend erfolgt eine Systemhärtung auf allen Ebenen (OS, Datenbank, Application Server) und das Einspielen der SAP Security Notes. Die fortlaufende Dokumentation im Testsystem muss dabei gewährleistet sein, um weitere Systeme analog aufbauen zu können. Last but not least steht der Test (z.B. mit der SAST SUITE), um mögliche Sicherheitslücken und -risiken zu ermitteln. Erst danach erfolgt die eigentliche Datenmigration.
Mit einem Wort (oder Satz) ausgedrückt: Was wird für Sie in den kommenden 12 Monaten das dominierende Thema in der SAP-Community?
Diese Frage mit „erfolgreiche S/4HANA-Migrationen“ zu beantworten fasst es sicher etwas kurz. Aus unserer Sicht ist zu erwarten, dass wir von einer stetig größer werdenden Anzahl äußert erfolgreicher Projekte hören werden. Aber es wird auch die ersten Unternehmen geben, die scheitern – zumindest mit Blick auf den geplanten Projektzeitraum oder das Budget. Ebenso wird es spannend werden, wie Unternehmen, die das Thema Conversion noch deutlich hinauszögern, mit der zu erwartenden weiteren Verknappung an Fachpersonal/Berater-Expertise umgehen werden.
Vielen Dank für das Gespräch.
Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.
TIPP: Sie wollen noch tiefer in das Thema einsteigen? Dann empfehlen wir Ihnen die Aufzeichnung des Expert-Talks mit Helge Sanden. Manuel Rosenthaler (TGW Logistics Group) und Ralf Kempf waren als Gäste bei der IT-Onlinekonferenz 2020 „S/4HANA-Umstieg und Prozessoptimierung mit SAP: Wie machen es andere Unternehmen?“, berichteten dort ausführlich aus ihrem Projekt und gaben Empfehlungen. Den Link zur Aufzeichnung des Webinars „Wie Sie Stolperfallen bei der S/4HANA-Migration vermeiden.“ können Sie jetzt anfordern.
Ralf Kempf (CTO SAST SOLUTIONS)
Helge Sanden (Chefredakteur IT-Onlinemagazin)
Das könnte Sie auch interessieren:
Berechtigungen für Batch-Verarbeitung im SAP NetWeaver und S/4HANA-Umfeld