SAP BTP für Unternehmen: Umgang mit der geteilten Verantwortung und der Umstellung auf „Clean Core“

Platform SAP Business Technology Platform BTP) bildet die Grundlage für die moderne SAP-Erweiterbarkeit und ermöglicht es Unternehmen, durch die Verlagerung von kundenspezifischem Code in die cloud auf einen „Clean Core“ umzustellen. Die Absicherung SAP BTP , dass Unternehmensteams das Modell der geteilten Verantwortung umsetzen, DevSecOps in kundenspezifischen Anwendungen durchsetzen und kontinuierlich auf aktive Bedrohungen überwachen. Da BTP öffentliche cloud mit kritischen On-Premise-Daten verbindet, ist die Absicherung dieser Integrationen unerlässlich, um laterale Bewegungen und Datenexfiltration zu verhindern.

Was versteht man unter SAP BTP und der „Clean Core“-Umstellung?

SAP BTP bezeichnet die Maßnahmen zum Schutz von cloud kundenspezifischen Erweiterungen, Integrationen und Datenanalysen, die außerhalb des traditionellen ERP-Perimeters ausgeführt werden. Durch die Umsetzung des „Clean Core“-Ansatzes von SAP migrieren Unternehmen kundenspezifische Logik auf BTP, was den Einsatz spezieller Sicherheitstools erfordert, um cloud und APIs auf Schwachstellen zu überprüfen.

In der Vergangenheit haben Unternehmen benutzerdefinierten ABAP-Code direkt in ihre zentralen SAP-ERP-Systeme eingebettet. Die „Clean Core“-Strategie verändert dieses Paradigma, indem sie die kundenspezifische Entwicklung auf SAP BTP verlagert. Diese Modernisierung verbessert zwar die Systemstabilität und erleichtert zukünftige SAP-S/4HANA-Upgrades, cloud die Migration von Anwendungen in die cloud Sicherheitsrisiken cloud automatisch.

Die Entwicklung sicherer BTP-Erweiterungen erfordert, dass Anwendungssicherheitsteams strenge , sichere SAP-Entwicklungspipelines aufbauen. Die Absicherung des „Clean Core“ erfordert, dass im Rahmen von DevSecOps-Verfahren alle SAPUI5-, Node.js- und Java-Bereitstellungen auf Injektionsschwachstellen und fest codierte Anmeldedaten überprüft werden, bevor böswillige Akteure diese Schwachstellen ausnutzen können.

Einführung in das SAP BTP -Modell der SAP BTP Verantwortung

Das Modell der geteilten Verantwortung SAP BTP sieht vor, dass SAP zwar für die Sicherheit der zugrunde liegenden cloud sorgt, die Kunden jedoch weiterhin die volle Verantwortung für die Sicherheit der von ihnen bereitgestellten Anwendungen, Daten und Zugriffskonfigurationen tragen. Unternehmen müssen das Identitätsmanagement und die BTP-Konfigurationen eigenständig überprüfen, um eine unbefugte Offenlegung von Daten zu verhindern.

Ein weit verbreiteter Irrtum unter IT-Verantwortlichen in Unternehmen ist, dass die Umstellung auf eine von SAPplatform automatisch vollständige Anwendungssicherheit garantiert. In Wirklichkeit ist die Konfiguration einer control SAP BTP gleichbedeutend mit der umfassenden Absicherung dieser control einen längeren Zeitraum control . Kunden müssen die folgenden kritischen Sicherheitsbereiche aktiv verwalten:

Sicherheit für kundenspezifische Anwendungen

Unternehmen müssen Schwachstellen in allen auf SAP BTP entwickelten kundenspezifischen Anwendungen identifizieren und beheben.

Identitäts- und Zugriffsmanagement

Administratoren müssen die Benutzerrechte streng control , die Multi-Faktor-Authentifizierung durchsetzen und auf unbefugte Rechteerweiterungen achten.

Konfigurations-Baselines

Sicherheitsteams müssen sichere Konfigurationsparameter für alle aktiven BTP-Dienste und cloud überprüfen und durchsetzen, um Sicherheitslücken zu vermeiden.

Datenschutz

Der Kunde ist gesetzlich dafür verantwortlich, sensible Datenströme zu verschlüsseln und die Einhaltung der DSGVO bzw. des SOX-Gesetzes platform sicherzustellen.

Sicherheit der SAP Integration Suite und der APIs

SAP BTP in erster Linie als platform, die zentrale SAP-S/4HANA-Systeme über die SAP Integration Suite mit Anwendungen von Drittanbietern verbindet. Da diese Unternehmensintegrationen auf APIs zurückgreifen, um sensible Geschäftsdaten über Vertrauensgrenzen hinweg zu übertragen, stellen sie einen primären Angriffsvektor für Angreifer dar.

Wenn ein API-Endpunkt ohne strenge Authentifizierungsanforderungen bereitgestellt wird oder wenn SAP Destination Services falsch konfiguriert sind, können Angreifer Daten während der Übertragung abfangen oder schädliche Payloads direkt in das Backend einschleusen. Anwendungssicherheitsteams müssen alle API-Endpunkte und Integrationsabläufe kontinuierlich überprüfen, um sicherzustellen, dass Mutual TLS (mTLS) durchgesetzt wird, die Payload-Validierung aktiv ist und sensible Datenströme verschlüsselt bleiben.


Identitäts- und Zugriffsmanagement (IAM) in der Cloud

Eine effektive Identitätsverwaltung ist ein äußerst komplexer Bestandteil der SAP BTP . Die platform SAP Cloud Services zur Verwaltung der Benutzerzugriffe, doch die Zuordnung detaillierter lokaler SAP-Rollen zu cloud BTP-Rollensammlungen führt häufig zu erheblichen Abweichungen bei den Berechtigungen.

Unternehmen neigen häufig dazu, pauschal weitreichende Administratorrechte zu vergeben, um einen reibungslosen Betrieb cloud zu gewährleisten. Diese Vorgehensweise birgt erhebliche operative Risiken: Wenn ein Angreifer ein BTP-Administratorkonto mit übermäßigen Berechtigungen kompromittiert, kann er Sicherheitskonfigurationen ändern, auf verbundene Datenbanken zugreifen und interne Kontrollen zur Aufgabentrennung (SoD) umgehen. Die Umsetzung strenger Best Practices für cloud stellt sicher, dass Unternehmen das Prinzip der geringsten Berechtigungen durchsetzen, kontinuierlich auf unbefugte Berechtigungserweiterungen überwachen und Zugriffsrechte bei Änderungen der Unternehmensrollen ordnungsgemäß entziehen.

Die häufigsten SAP BTP

Konfigurationsabweichungen und fehlerhafte Einstellungen sind die Hauptursachen für Datenlecks innerhalb von SAP BTP. Obwohl SAP in seiner baseline über 235 spezifische Sicherheitsempfehlungen bereitstellt, haben Unternehmensteams häufig Schwierigkeiten, diese Sicherheitsmaßnahmen umzusetzen und langfristig aufrechtzuerhalten.

Um die platform zu schützen, müssen Sicherheitsteams proaktiv auf die häufigsten und risikoreichsten Konfigurationsfehler in BTP prüfen:

Offen gelegte BTP-Dienste

Das Versäumnis, IP-Zulassungslisten zu konfigurieren, wodurch kritische cloud versehentlich direkt dem öffentlichen Internet ausgesetzt werden, anstatt den Zugriff ausschließlich auf vertrauenswürdige interne Netzwerke zu beschränken.

Abgelaufene Ziel-Anmeldedaten

Die Festcodierung von Anmeldedaten von Dienstnutzern in SAP-Zielkonfigurationen und das Fehlen einer automatisierten Richtlinie zur Passwortrotation. Dies ermöglicht es Angreifern, die die cloud kompromittieren, sich lateral in lokale Systeme vorzuarbeiten.

Uneingeschränkter Administratorzugriff auf das BTP-Unterkonto

Die Vergabe dauerhafter „Global Administrator“- oder „Subaccount Administrator“-Rechte an Benutzer im täglichen Betrieb, wodurch kompromittierte Identitäten unbemerkt Sicherheitsrichtlinien ändern und die Protokollierung von Überwachungsereignissen deaktivieren können.

Absicherung Cloud SAP Cloud für hybride Architekturen

Der SAP Cloud stellt eine dauerhafte, sichere Verbindung zwischen SAP BTP lokalen Backend-Systemen her. Die Absicherung dieser hybriden Brücke ist von entscheidender Bedeutung, da falsch konfigurierte Zugriffskontrollen oder fehlende Patches es externen Angreifern ermöglichen, direkt von cloud in den zentralen Unternehmenskern vorzudringen.

Wenn Unternehmen SAP BTP in hybriden Architekturen einsetzen, fungiert der Cloud als oberster Wächter. Um das interne Netzwerk vor kompromittierten cloud zu schützen, müssen Infrastrukturteams strenge Sicherheitsmaßnahmen durchführen:

Voraussetzungen

Administratorzugriff auf die Verwaltungsoberfläche des SAP Cloud sowie umfassende Zuordnung aller erforderlichen Backend-Ressourcen.

Schritt-für-Schritt-Anleitung

Schritt 1 – Strenge Control durchsetzen: Ordnen Sie interne Systeme präzise virtuellen Systemen zu und legen Sie dabei explizit fest, auf welche spezifischen ICF-Backend-Dienste und Funktionsmodule von der cloud aus zugegriffen werden darf.
Schritt 2 – Patch-Baselines aktualisieren: Wenden Sie kontinuierlich die neuesten Hersteller-Patches auf das Betriebssystem und die Anwendungsschicht Cloud an.
Schritt 3 – Datenverkehr verschlüsseln: Schreiben Sie gegenseitiges TLS (mTLS) für die gesamte Kommunikation zwischen SAP BTP dem Cloud vor . Erweitern Sie die Verschlüsselung so weit wie möglich aufden Datenverkehr zwischen internen Systemen und dem SAP Cloud .

Überprüfung

Führen Sie mithilfe von Onapsis Assess automatisierte Konfigurationsprüfungen durch, um sicherzustellen, dass die Cloud der Baseline entsprechen und dass unbefugten Backend-Ressourcen cloud auf cloud vollständig verwehrt wird.

Erkennung aktiver Bedrohungen in der gesamten BTP-Umgebung

Die aktive Erkennung von Bedrohungen in SAP BTP eine Echtzeit-Protokollanalyse, um verdächtiges Benutzerverhalten, die Ausweitung von Berechtigungen und nicht genehmigte Konfigurationsänderungen zu identifizieren. Durch kontinuierliche Überwachung wird sichergestellt, dass Sicherheitsteams kompromittierte Identitäten oder böswillige API-Anfragen erkennen, bevor Angreifer Daten entwenden oder cloud stören können.

Da BTP in hohem Maße auf APIs und Identitätsverbund (Identity Federation) setzt, zielen Angreifer gezielt auf Ziel-Anmeldedaten ab, um primäre Authentifizierungsebenen zu umgehen. Unternehmen benötigen spezialisierte SAP-Funktionen zur Erkennung und Reaktion auf Bedrohungen, um Audit-Protokolle zu überwachen und „Alert on Anything“-Strategien umzusetzen. Durch den Einsatz automatisierter Protokollanalysen können SOC-Analysten anomale Zugriffsmuster erkennen und sofort Vorfallreaktionsprotokolle in der gesamten Hybridlandschaft auslösen.

Automatisierung SAP BTP mit der Onapsis Platform

Die Platform bietet umfassende Transparenz und Schutz in cloud Hybridumgebungen, um SAP Business Platform zu sichern. Als einzige von SAP empfohlene Sicherheitslösung ermöglicht Onapsis Sicherheitsteams, die Einhaltung von Compliance-Vorgaben zu automatisieren, sichere Entwicklung durchzusetzen und auf aktive Bedrohungen zu überwachen.

Die Absicherung einer modernen SAP BTP erfordert spezialisierte Erkenntnisse, die generische Netzwerkscanner nicht liefern können. Onapsis lässt sich direkt in die DevSecOps-Pipeline und das unternehmensinterne SOC integrieren und bietet so umfassenden End-to-End-Schutz für die cloud:

Onapsis Control for SAP BTP

Lässt sich direkt in bekannte, von SAP empfohlene IDEs (wie SAP Business Application Studio, Eclipse und Visual Studio Code) integrieren und bietet so eine Inline-Sicherheitsprüfung in Echtzeit, die Schwachstellen in benutzerdefinierten BTP-Anwendungen bereits während der Eingabe durch die Entwickler kennzeichnet und behebt.

Onapsis Assess for SAP BTP


Automatisiert Konfigurationsprüfungen für BTP-Dienste, die Einstellungen von Identitätsanbietern und den Cloud , um das Prinzip der geringsten Berechtigungen durchzusetzen und die kontinuierliche Einhaltung der SAP-Sicherheitsrichtlinien sicherzustellen.

Onapsis Defend for SAP BTP


Erweitert die kontinuierliche Bedrohungsüberwachung auf die cloud und analysiert BTP-Auditprotokolle, um Echtzeit-Warnmeldungen zu unbefugten Verbindungen und zu weitreichenden Rollenzuweisungen direkt an die SIEM-Lösungen des Unternehmens zu übermitteln.

Häufig gestellte Fragen (FAQ)

Das SAP-Modell der geteilten Verantwortung für BTP ist ein Rahmenwerk, das klar definiert, wer im Falle von cloud für die Verwaltung und Absicherung welcher Komponenten verantwortlich ist. Bei BTP ist SAP für die Absicherung der cloud (Server, Netzwerk, Betriebssysteme) verantwortlich, während der Kunde für die Absicherung der Anwendungen, Daten, Benutzeridentitäten und Konfigurationen zuständig ist, die innerhalb der platform bereitgestellt werden. Unternehmen müssen eigenständige Sicherheitstools implementieren, um die im Besitz des Kunden befindlichen Ressourcen zu prüfen und zu überwachen.

Um SAP BTP abzusichern, müssen Entwicklungsteams DevSecOps-Verfahren implementieren, die benutzerdefinierten Code (wie SAPUI5, Node.js und Java) während der Build-Phase automatisch auf Schwachstellen wie OS-Befehlsinjektionen und fest codierte Anmeldedaten überprüfen. Unternehmen nutzen spezialisierte Tools wie Onapsis Control die Anwendungslogik zu analysieren und zu verhindern, dass anfälliger Code in die Produktionsumgebung gelangt.

Die Platform SAP BTP durch automatisierte Schwachstellenanalysen für cloud , Inline-Code-Scans für benutzerdefinierte BTP-Anwendungen und eine kontinuierliche Überwachung auf anomale Benutzeraktivitäten. Diese spezialisierte platform Sicherheitslücken bei SAP und integriert hochpräzise Bedrohungswarnungen nativ in die SOCs und SIEM-Systeme von Unternehmen.

SAP BTP Business Technology Platform) ist die direkte Weiterentwicklung und Umbenennung der ehemaligen SAP Cloud Platform SCP). Während sich die SCP in erster Linie auf die Anwendungsentwicklung im Rahmen von platform(PaaS) konzentrierte, SAP BTP diese Funktionen zu einer einheitlichen Umgebung, die Anwendungsentwicklung, Automatisierung, Integration (SAP Integration Suite), Datenanalyse (SAP HANA Cloud) und Dienste im Bereich der künstlichen Intelligenz umfasst.

SAP BTP standardmäßig SAP BTP native, vom Kunden konfigurierbare Web Application Firewall (WAF) für alle bereitgestellten Anwendungen SAP BTP . Während SAP seine eigene zugrunde liegende Infrastruktur gegen volumetrische Netzwerkangriffe schützt, sind Kunden, die benutzerdefinierte Webanwendungen oder öffentlich zugängliche APIs auf BTP bereitstellen, dafür verantwortlich, eigenständige Schutzmaßnahmen auf Anwendungsebene zu implementieren oder den Datenverkehr über eine WAF eines Drittanbieters zu leiten, bevor er den BTP-Endpunkt erreicht.

Handeln Sie jetzt: Sichern Sie Ihre SAP-Umgebung mit Onapsis

Eine Demo vereinbaren

um zu erfahren, wie Onapsis Ihre SAP-Patching-Strategie optimieren kann

Kontaktieren Sie uns

um zu besprechen, wie Onapsis-Lösungen Ihre SAP-Sicherheit verbessern können