SAP BTP für Unternehmen: Umgang mit der geteilten Verantwortung und der Umstellung auf „Clean Core“
Platform SAP Business Technology Platform BTP) bildet die Grundlage für die moderne SAP-Erweiterbarkeit und ermöglicht es Unternehmen, durch die Verlagerung von kundenspezifischem Code in die cloud auf einen „Clean Core“ umzustellen. Die Absicherung SAP BTP , dass Unternehmensteams das Modell der geteilten Verantwortung umsetzen, DevSecOps in kundenspezifischen Anwendungen durchsetzen und kontinuierlich auf aktive Bedrohungen überwachen. Da BTP öffentliche cloud mit kritischen On-Premise-Daten verbindet, ist die Absicherung dieser Integrationen unerlässlich, um laterale Bewegungen und Datenexfiltration zu verhindern.

Was versteht man unter SAP BTP und der „Clean Core“-Umstellung?
SAP BTP bezeichnet die Maßnahmen zum Schutz von cloud kundenspezifischen Erweiterungen, Integrationen und Datenanalysen, die außerhalb des traditionellen ERP-Perimeters ausgeführt werden. Durch die Umsetzung des „Clean Core“-Ansatzes von SAP migrieren Unternehmen kundenspezifische Logik auf BTP, was den Einsatz spezieller Sicherheitstools erfordert, um cloud und APIs auf Schwachstellen zu überprüfen.
In der Vergangenheit haben Unternehmen benutzerdefinierten ABAP-Code direkt in ihre zentralen SAP-ERP-Systeme eingebettet. Die „Clean Core“-Strategie verändert dieses Paradigma, indem sie die kundenspezifische Entwicklung auf SAP BTP verlagert. Diese Modernisierung verbessert zwar die Systemstabilität und erleichtert zukünftige SAP-S/4HANA-Upgrades, cloud die Migration von Anwendungen in die cloud Sicherheitsrisiken cloud automatisch.
Die Entwicklung sicherer BTP-Erweiterungen erfordert, dass Anwendungssicherheitsteams strenge , sichere SAP-Entwicklungspipelines aufbauen. Die Absicherung des „Clean Core“ erfordert, dass im Rahmen von DevSecOps-Verfahren alle SAPUI5-, Node.js- und Java-Bereitstellungen auf Injektionsschwachstellen und fest codierte Anmeldedaten überprüft werden, bevor böswillige Akteure diese Schwachstellen ausnutzen können.
Einführung in das SAP BTP -Modell der SAP BTP Verantwortung
Das Modell der geteilten Verantwortung SAP BTP sieht vor, dass SAP zwar für die Sicherheit der zugrunde liegenden cloud sorgt, die Kunden jedoch weiterhin die volle Verantwortung für die Sicherheit der von ihnen bereitgestellten Anwendungen, Daten und Zugriffskonfigurationen tragen. Unternehmen müssen das Identitätsmanagement und die BTP-Konfigurationen eigenständig überprüfen, um eine unbefugte Offenlegung von Daten zu verhindern.
Ein weit verbreiteter Irrtum unter IT-Verantwortlichen in Unternehmen ist, dass die Umstellung auf eine von SAPplatform automatisch vollständige Anwendungssicherheit garantiert. In Wirklichkeit ist die Konfiguration einer control SAP BTP gleichbedeutend mit der umfassenden Absicherung dieser control einen längeren Zeitraum control . Kunden müssen die folgenden kritischen Sicherheitsbereiche aktiv verwalten:
Sicherheit der SAP Integration Suite und der APIs
SAP BTP in erster Linie als platform, die zentrale SAP-S/4HANA-Systeme über die SAP Integration Suite mit Anwendungen von Drittanbietern verbindet. Da diese Unternehmensintegrationen auf APIs zurückgreifen, um sensible Geschäftsdaten über Vertrauensgrenzen hinweg zu übertragen, stellen sie einen primären Angriffsvektor für Angreifer dar.
Wenn ein API-Endpunkt ohne strenge Authentifizierungsanforderungen bereitgestellt wird oder wenn SAP Destination Services falsch konfiguriert sind, können Angreifer Daten während der Übertragung abfangen oder schädliche Payloads direkt in das Backend einschleusen. Anwendungssicherheitsteams müssen alle API-Endpunkte und Integrationsabläufe kontinuierlich überprüfen, um sicherzustellen, dass Mutual TLS (mTLS) durchgesetzt wird, die Payload-Validierung aktiv ist und sensible Datenströme verschlüsselt bleiben.
Identitäts- und Zugriffsmanagement (IAM) in der Cloud
Eine effektive Identitätsverwaltung ist ein äußerst komplexer Bestandteil der SAP BTP . Die platform SAP Cloud Services zur Verwaltung der Benutzerzugriffe, doch die Zuordnung detaillierter lokaler SAP-Rollen zu cloud BTP-Rollensammlungen führt häufig zu erheblichen Abweichungen bei den Berechtigungen.
Unternehmen neigen häufig dazu, pauschal weitreichende Administratorrechte zu vergeben, um einen reibungslosen Betrieb cloud zu gewährleisten. Diese Vorgehensweise birgt erhebliche operative Risiken: Wenn ein Angreifer ein BTP-Administratorkonto mit übermäßigen Berechtigungen kompromittiert, kann er Sicherheitskonfigurationen ändern, auf verbundene Datenbanken zugreifen und interne Kontrollen zur Aufgabentrennung (SoD) umgehen. Die Umsetzung strenger Best Practices für cloud stellt sicher, dass Unternehmen das Prinzip der geringsten Berechtigungen durchsetzen, kontinuierlich auf unbefugte Berechtigungserweiterungen überwachen und Zugriffsrechte bei Änderungen der Unternehmensrollen ordnungsgemäß entziehen.
Die häufigsten SAP BTP
Konfigurationsabweichungen und fehlerhafte Einstellungen sind die Hauptursachen für Datenlecks innerhalb von SAP BTP. Obwohl SAP in seiner baseline über 235 spezifische Sicherheitsempfehlungen bereitstellt, haben Unternehmensteams häufig Schwierigkeiten, diese Sicherheitsmaßnahmen umzusetzen und langfristig aufrechtzuerhalten.
Um die platform zu schützen, müssen Sicherheitsteams proaktiv auf die häufigsten und risikoreichsten Konfigurationsfehler in BTP prüfen:
Erkennung aktiver Bedrohungen in der gesamten BTP-Umgebung
Die aktive Erkennung von Bedrohungen in SAP BTP eine Echtzeit-Protokollanalyse, um verdächtiges Benutzerverhalten, die Ausweitung von Berechtigungen und nicht genehmigte Konfigurationsänderungen zu identifizieren. Durch kontinuierliche Überwachung wird sichergestellt, dass Sicherheitsteams kompromittierte Identitäten oder böswillige API-Anfragen erkennen, bevor Angreifer Daten entwenden oder cloud stören können.
Da BTP in hohem Maße auf APIs und Identitätsverbund (Identity Federation) setzt, zielen Angreifer gezielt auf Ziel-Anmeldedaten ab, um primäre Authentifizierungsebenen zu umgehen. Unternehmen benötigen spezialisierte SAP-Funktionen zur Erkennung und Reaktion auf Bedrohungen, um Audit-Protokolle zu überwachen und „Alert on Anything“-Strategien umzusetzen. Durch den Einsatz automatisierter Protokollanalysen können SOC-Analysten anomale Zugriffsmuster erkennen und sofort Vorfallreaktionsprotokolle in der gesamten Hybridlandschaft auslösen.
Häufig gestellte Fragen (FAQ)
Handeln Sie jetzt: Sichern Sie Ihre SAP-Umgebung mit Onapsis
Eine Demo vereinbaren
um zu erfahren, wie Onapsis Ihre SAP-Patching-Strategie optimieren kann
Kontaktieren Sie uns
um zu besprechen, wie Onapsis-Lösungen Ihre SAP-Sicherheit verbessern können
