SAP-Systeme richtig absichern

Im eigenen ABAP-Code lauern die SAP-Risiken

Langfristige Sicherheitsstrategie erforderlich

Der aktuelle ABAP Quality Benchmark ist die weltweit umfassendste Untersuchung zu Anteil und Qualität von Kundencode in SAP-Systemen. Da dieser Code entweder von unternehmenseigenen Entwicklern oder externen Beratungshäusern geschrieben wird, können beide Gruppen die Verursacher fehlerhafter Programmierungen sein - vorsätzlich, aber auch unbewusst. So dürfte schon mancher Programmierer beim Übergang vom Entwicklungs- ins Qualitätssicherungssystem vergessen haben, die erforderlichen Berechtigungsprüfungen einzubauen.

Doch was können SAP-Kunden tun, um ihren selbstgeschriebenen Code von Fehlern zu bereinigen und künftige Risiken zu vermeiden? Ein Fahrplan nennt die wichtigsten Stationen:

1. Scannen Sie Ihre SAP-Produktivsysteme auf schadhaften Kundencode! Dazu gibt es spezielle Prüf-Tools, die die Fehler und Risiken in Ihrem ABAP-Code automatisch identifizieren und, soweit möglich, korrigieren. Im Durchschnitt dauert es keine zwei Stunden, um Klarheit über die Ist-Situation in einem SAP-System zu gewinnen.

2. Sichern Sie Ihre Code-Qualität durch eine langfristige Strategie und wirksame Maßnahmen, wie

  • ABAP-Sicherheitsschulungen für die Entwickler, um Fehler schon bei der Programmierung auszumerzen. Dazu bieten sich der Prüfleitfaden der Deutschsprachigen SAP-Anwendergruppe e. V. (DSAG) oder die Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) an;

  • Scan aller neuen ABAP-Erweiterungen, bevor sie produktiv gehen;

  • Aufnahme von Code-Qualitätsstandards in die Verträge mit Zulieferern;

  • Zeitnahes Einspielen von Sicherheitspatches;

  • Monitoring aller SAP-Systeme, um Angriffe möglichst zeitnah zu erkennen;

  • Definition geeigneter Notfallpläne.

HANA bietet Neuanfang

Jeder SAP-Kunde sollte prüfen, ob seine aktuellen Maßnahmen zur Sicherung der Anwendungen tatsächlich sinnvoll und ausreichend sind. In der Praxis ist immer wieder zu beobachten, dass Unternehmen meinen, wenn die Rollen und Berechtigungen für die Mitarbeiter nur richtig konfiguriert sind, stellt ihr SAP-System eine uneinnehmbare Festung dar. Dies ist leider falsch, da solche Maßnahmen durch fehlerhaften Code unterlaufen werden. Besser ist es, auf Management-Ebene ein umfassendes SAP-Sicherheitskonzept zu erstellen und dieses Top-down umzusetzen. Dies bietet gerade aktuell große Vorteile, da viele SAP-Kunden mit der Einführung von SAP HANA und der SAP Business Suite 4 HANA (SAP S/4HANA) Neuland betreten. Eine fundierte Sicherheitsstrategie bietet ihnen die Chance, auf den neuen Technologien von Anfang an fehlerfreien Code zu produzieren.

Ein weiteres wichtiges Argument für mehr Code-Sicherheit ist auch die fortschreitende Digitalisierung der Wirtschaft, Stichwort: Industrie 4.0, durch die sich das IT-Gefährdungspotenzial potenziert. So war im vergangenen Jahr von einem Hacker-Angriff auf den Hochofen eines Stahlwerks zu lesen, der dadurch massiv beschädigt wurde. Die Angreifer hatten sich zunächst mit auf einzelne Mitarbeiter zugeschnittenen Fake-E-Mails Zugriff auf das Büro-Netzwerk der Anlage verschafft und sich von dort bis in die Produktionsnetze vorgearbeitet.

Unternehmen haften für Schäden aus Datenklau

Aus den Beispielen der jüngsten Vergangenheit wird auch deutlich, dass Unternehmen in jedem Fall für entstandene Schäden durch die Entwendung sensibler Mitarbeiter- und Kundendaten haften müssen. Da ist es vernünftiger, potenzielle Einfallstore bei selbstgeschriebenem ABAP-Code zu schließen. Einen ersten Ansatzpunkt bietet SAP-Kunden die Teilnahme am laufenden ABAP Quality Benchmark. Dabei wird der Kundencode eines ausgewählten SAP-Systems mit einer speziellen Prüfsoftware komplett gescannt. Im Ergebnis erhält jeder Teilnehmer einen Prüfbericht, der Auskunft gibt über den Umfang und die Qualität seines eigenentwickelten ABAP-Codes. Er erfährt, welche Risiken mit den vorhandenen Programmierfehlern verbunden sind und warum es sich lohnt, damit schleunigst aufzuräumen. Denn zahlreiche Praxiserfahrungen belegen, dass ein SAP-System danach nicht nur sicherer, sondern auch wesentlich stabiler und schneller läuft.